Aller au contenu principal
Retour aux phishing
Phishing

Phishing Microsoft et Office 365 : les emails frauduleux en entreprise

Les attaques de phishing ciblant Microsoft et Office 365 sont les plus repandues en entreprise. Guide de detection.

Partager

Microsoft est la marque la plus usurpee au monde dans les campagnes de phishing. Avec plus de 400 millions d'utilisateurs de Microsoft 365 en entreprise, les cybercriminels disposent d'un vivier enorme de cibles potentielles. Les emails frauduleux imitant Microsoft sont responsables de la majorite des compromissions de comptes professionnels en France.

Pourquoi Microsoft est la cible numero un

Une position dominante en entreprise

Microsoft 365 (anciennement Office 365) est la suite bureautique et collaborative utilisee par la grande majorite des entreprises francaises. Outlook, Teams, SharePoint, OneDrive : ces outils sont au coeur de la vie professionnelle quotidienne.

| Statistique | Chiffre | |-------------|---------| | Utilisateurs Microsoft 365 dans le monde | Plus de 400 millions | | Part de Microsoft dans le phishing de marque | 32% (1ere place mondiale) | | Attaques BEC ciblant Microsoft 365 par mois | Plus de 15 millions | | Cout moyen d'une compromission de compte pro | 50 000 EUR | | PME francaises utilisant Microsoft 365 | Plus de 60% |

Source : Microsoft Digital Defense Report, Proofpoint, ANSSI

Ce qu'un pirate peut faire avec un compte Microsoft 365

L'acces a un compte Microsoft 365 compromis est extremement precieux pour un attaquant :

  • Lire tous les emails professionnels (contrats, donnees clients, informations confidentielles)
  • Envoyer des emails en votre nom (pour pieger vos collegues et contacts)
  • Acceder aux fichiers SharePoint et OneDrive (documents internes, bases de donnees)
  • Utiliser Teams pour contacter vos collegues avec des messages frauduleux
  • Configurer des regles de redirection pour intercepter vos emails a votre insu
  • Lancer des attaques internes contre d'autres employes de l'entreprise

Les scenarios de phishing Microsoft les plus repandus

1. Fausse alerte de securite du compte

Le phishing le plus classique : un email vous informe qu'une activite suspecte a ete detectee sur votre compte Microsoft et vous demande de "verifier votre identite" en cliquant sur un lien.

Variantes courantes :

  • "Tentative de connexion inhabituelle detectee"
  • "Votre compte a ete temporairement verrouille"
  • "Votre mot de passe expire dans 24 heures"
  • "Mise a jour de securite obligatoire pour votre compte"

2. Fausse notification Outlook ou OneDrive

Un email pretend qu'un collegue vous a partage un fichier sur OneDrive ou SharePoint, ou que vous avez un nouveau message vocal sur Outlook. Le lien mene vers une fausse page de connexion Microsoft.

Exemples de sujets :

  • "Jean Dupont a partage un document avec vous"
  • "Vous avez 3 messages non lus en quarantaine"
  • "Nouveau message vocal de +33 1 XX XX XX XX"
  • "[Action requise] Document en attente de validation"

3. Fausse page de connexion Microsoft

C'est le coeur de la plupart des attaques. L'arnaqueur cree une replique quasi parfaite de la page de connexion Microsoft (login.microsoftonline.com). Ces pages sont souvent hebergees sur des domaines qui ressemblent a des domaines Microsoft ou sur des services cloud legitimes (ce qui complique la detection).

Les fausses pages de connexion Microsoft sont de plus en plus realistes

Les pages de phishing modernes copient parfaitement l'interface de connexion Microsoft, y compris les animations et le design responsive. Certaines utilisent meme des techniques d'adversary-in-the-middle (AiTM) capables de capturer les codes 2FA en temps reel. La seule verification fiable est l'URL dans la barre d'adresse.

4. L'arnaque au PDG (Business Email Compromise)

Un email semblant provenir du directeur general ou d'un cadre superieur demande a un employe d'effectuer un virement urgent ou de communiquer des informations sensibles. L'email provient en realite d'un compte Microsoft 365 compromis ou d'une adresse usurpee.

Exemples typiques :

  • "Pouvez-vous effectuer un virement de 25 000 EUR aujourd'hui ? C'est urgent et confidentiel."
  • "Merci d'envoyer la liste des salaries avec leurs coordonnees bancaires au cabinet comptable."
  • "J'ai besoin que vous achetiez 5 cartes cadeaux de 200 EUR chacune pour un client."

5. Fausse notification Teams

Avec l'adoption massive de Microsoft Teams, les phishing imitant les notifications Teams se multiplient : faux messages directs, fausses invitations a des reunions, fausses alertes de mentions.

Comment reconnaitre un faux email Microsoft

Verifier l'expediteur

Les emails officiels de Microsoft proviennent de :

  • @microsoft.com
  • @accountprotection.microsoft.com
  • @email.microsoft.com
  • @e.microsoft.com

Les domaines frauduleux courants :

  • microsoft-security.com -- Frauduleux
  • microsoft365-alert.com -- Frauduleux
  • office365-login.net -- Frauduleux
  • microsoftonline-verify.com -- Frauduleux
  • outlook-security.com -- Frauduleux

Verifier les liens

Les liens legitimes Microsoft pointent vers :

  • login.microsoftonline.com (connexion)
  • portal.office.com (portail Office)
  • outlook.office365.com (Outlook web)
  • teams.microsoft.com (Teams)
  • support.microsoft.com (support)

Attention aux liens trompeurs

Les arnaqueurs utilisent des techniques avancees pour masquer les URLs frauduleuses :

  • Sous-domaines trompeurs : microsoft.com.malicious-site.ru
  • Services de raccourcissement : bit.ly, tinyurl qui masquent la destination reelle
  • Services cloud legitimes : Pages de phishing hebergees sur Azure, AWS ou Google Cloud
  • Encodage d'URL : Caracteres speciaux qui rendent l'URL illisible
  • Caracteres Unicode : microsоft.com (avec un "o" cyrillique au lieu du "o" latin)

Les elements de contenu suspects

  • Formule generique : "Cher utilisateur" au lieu de votre nom
  • Urgence extreme : "Votre compte sera supprime dans 2 heures"
  • Fautes d'orthographe ou de mise en page
  • Demande de mot de passe : Microsoft ne demandera jamais votre mot de passe par email
  • Piece jointe inattendue : Fichier HTML, HTM ou ZIP pretendant etre un document partage
  • Menace de perte d'acces : "Vous ne pourrez plus envoyer d'emails"

Les attaques avancees ciblant Microsoft 365

L'attaque adversary-in-the-middle (AiTM)

Cette technique avancee place un serveur proxy entre vous et le vrai site Microsoft. Quand vous saisissez vos identifiants et votre code 2FA sur le faux site, le proxy les transmet en temps reel au vrai site Microsoft, capturant votre cookie de session. L'attaquant peut alors acceder a votre compte sans avoir besoin de votre mot de passe ni de votre code 2FA.

Le consent phishing (phishing par consentement OAuth)

Au lieu de voler votre mot de passe, l'attaquant vous pousse a autoriser une application malveillante a acceder a votre compte Microsoft 365. Une fenetre de consentement apparemment legitime demande des permissions d'acces a vos emails, contacts et fichiers. Une fois autorisee, l'application a un acces permanent meme si vous changez votre mot de passe.

Le detournement de conversation (thread hijacking)

A partir d'un compte compromis, l'attaquant repond a de vrais fils de conversation existants en y inserant des liens malveillants ou des pieces jointes infectees. Comme le message s'inscrit dans un echange en cours, le destinataire est beaucoup moins mefiant.

L'exploitation des regles Outlook

Apres avoir compromis un compte, l'attaquant cree des regles de messagerie automatiques pour :

  • Rediriger certains emails vers une adresse externe
  • Supprimer automatiquement les alertes de securite
  • Deplacer les emails des collegues dans la corbeille

Que faire en cas de suspicion ou de compromission

Si vous avez saisi vos identifiants sur un faux site

  1. Changez immediatement votre mot de passe Microsoft 365 sur account.microsoft.com
  2. Revoquez toutes les sessions actives depuis les parametres de securite du compte
  3. Verifiez les regles de messagerie Outlook (recherchez des regles de transfert suspectes)
  4. Verifiez les applications connectees et revoquez celles que vous ne reconnaissez pas
  5. Alertez votre service informatique immediatement
  6. Verifiez les emails envoyes depuis votre compte pendant la periode de compromission

Si vous etes administrateur IT

  1. Forcez la reinitialisation du mot de passe du compte compromis
  2. Revoquez les jetons de session (refresh tokens)
  3. Examinez les journaux d'audit pour identifier l'etendue de la compromission
  4. Verifiez les regles de transfert sur tous les comptes potentiellement affectes
  5. Bloquez les adresses IP suspectes identifiees dans les journaux
  6. Lancez une investigation sur les comptes ayant communique avec le compte compromis
  7. Notifiez les partenaires et clients si des emails frauduleux ont ete envoyes en interne ou externe

Comment proteger votre entreprise

Mesures techniques essentielles

  • Activez la MFA (authentification multi-facteurs) pour tous les comptes, idealement avec des cles de securite FIDO2 plutot que des SMS
  • Deployez Conditional Access pour restreindre les connexions selon la localisation, l'appareil et le niveau de risque
  • Activez Safe Links et Safe Attachments dans Microsoft Defender for Office 365
  • Configurez DMARC, DKIM et SPF sur votre domaine de messagerie
  • Desactivez l'authentification basique (legacy authentication) qui ne supporte pas la MFA
  • Activez les alertes de securite pour les connexions suspectes et les modifications de regles
  • Limitez le consentement OAuth aux applications approuvees par l'administrateur

Formation et sensibilisation

  • Organisez des campagnes de simulation de phishing regulieres
  • Formez les employes aux signaux d'alerte specifiques a Microsoft 365
  • Etablissez des procedures claires pour la verification des demandes de virement
  • Creez un canal de signalement simple (bouton "Signaler un phishing" dans Outlook)
  • Partagez les exemples de phishing reels recus par l'entreprise (anonymises)

Procedures organisationnelles

  • Double validation obligatoire pour tout virement superieur a un seuil defini
  • Verification telephonique pour toute demande urgente d'un superieur
  • Procedure de gestion des incidents documentee et testee
  • Revue reguliere des applications tierces autorisees

Points de vigilance au quotidien pour les employes

  • Ne saisissez jamais vos identifiants Microsoft apres avoir clique sur un lien dans un email
  • Accedez toujours a Microsoft 365 via votre marque-page ou en tapant l'adresse
  • Verifiez l'URL dans la barre d'adresse avant de vous connecter (login.microsoftonline.com)
  • Mefiez-vous des fichiers "partages" par des collegues si la demande semble inhabituelle
  • Signalez tout email suspect a votre service informatique meme en cas de doute

Conclusion

Le phishing ciblant Microsoft et Office 365 est la menace numero un pour la securite des entreprises. Les attaques sont de plus en plus sophistiquees, capables de contourner meme l'authentification a deux facteurs classique. La protection efficace repose sur trois piliers : des mesures techniques robustes (MFA avancee, Conditional Access, Safe Links), une formation continue des employes et des procedures organisationnelles strictes pour les operations sensibles.

Chaque employe est un maillon de la chaine de securite. En adoptant les bons reflexes et en signalant systematiquement les emails suspects, vous contribuez a proteger non seulement votre propre compte mais l'ensemble de votre organisation.

Analyser un email

Ressources

Articles connexes

Protegez-vous contre d'autres types de phishing :

Articles similaires

Phishing en entreprise : BEC, spear phishing et whale phishing expliqués

BEC, spear phishing, whale phishing : comprendre les attaques ciblées en entreprise et former efficacement vos employés pour s'en protéger.

Lire

Fraude a la fausse facture : l'arnaque au virement

La fraude a la fausse facture et au changement de RIB fait des ravages dans les entreprises. Comment reconnaitre et prevenir cette arnaque au virement.

Lire

Arnaque au faux support technique Microsoft

Pop-up alarmant, écran bloqué, numéro à appeler : découvrez comment fonctionne l'arnaque au faux support technique et comment vous en protéger.

Lire