Oktalink
Accueil
Nos Solutions
Nos Outils
Blog
09 70 70 40 79 Contactez un expert

Microsoft 365 : le FBI alerte sur des attaques capables de contourner le MFA

Accueil / Actualités / Microsoft 365 : le FBI alerte sur des attaques capables de contourner le MFA

Le FBI vient de publier une alerte importante concernant une nouvelle vague d’attaques ciblant Microsoft 365, notamment Outlook et OneDrive. Le point le plus inquiétant : certaines techniques permettent désormais de contourner la double authentification pourtant considérée comme une protection essentielle.

En bref :

Les cybercriminels utilisent désormais des techniques avancées de phishing et de vol de session capables de récupérer des accès Microsoft 365 même après validation MFA. Les PME doivent renforcer la sécurité de leurs comptes cloud au-delà du simple mot de passe.

Pourquoi l’alerte du FBI est particulièrement importante

Microsoft 365 est aujourd’hui utilisé dans une immense majorité de PME :

  • Outlook ;
  • Teams ;
  • OneDrive ;
  • SharePoint ;
  • applications cloud Microsoft.

Depuis plusieurs années, les entreprises ont fortement amélioré leur sécurité grâce au MFA (authentification multifacteur).

Mais les cybercriminels adaptent désormais leurs méthodes.

Selon le FBI, certaines attaques récentes utilisent :

  • de faux portails Microsoft 365 ;
  • des emails de phishing très crédibles ;
  • des vols de cookies de session ;
  • des interceptions de connexions authentifiées ;
  • des outils automatisés de compromission cloud.
Attention :

Même avec le MFA activé, un utilisateur peut involontairement donner accès à sa session Microsoft 365 s’il valide une connexion sur un faux portail ou clique sur un lien frauduleux.

Comment fonctionne ce type d’attaque

Les cybercriminels cherchent désormais à contourner le MFA non pas en cassant le mot de passe, mais en volant directement une session déjà authentifiée.

Le scénario est souvent le suivant :

  1. L’utilisateur reçoit un faux email Microsoft ;
  2. Il clique sur un portail très crédible ;
  3. Il saisit son mot de passe ;
  4. Il valide le MFA ;
  5. Le pirate récupère le cookie de session ;
  6. Le compte devient accessible sans nouveau MFA.

Cette technique est parfois appelée :

  • AiTM (Adversary-in-the-Middle) ;
  • session hijacking ;
  • vol de session cloud.
À retenir :

Le MFA reste indispensable, mais il ne suffit plus à lui seul face aux nouvelles attaques ciblant les sessions cloud et les comportements utilisateurs.

Pourquoi Outlook et OneDrive sont particulièrement ciblés

Une fois un compte Microsoft 365 compromis, les attaquants peuvent accéder à :

  • la messagerie Outlook ;
  • les fichiers OneDrive ;
  • les documents SharePoint ;
  • les conversations Teams ;
  • les informations internes de l’entreprise.

Cela permet ensuite :

  • des fraudes au virement ;
  • des campagnes de phishing internes ;
  • des vols de données ;
  • des attaques ransomware ;
  • des compromissions plus larges du système d’information.

Pourquoi les PME sont particulièrement exposées

Beaucoup de PME pensent être suffisamment protégées dès que le MFA est activé.

Pourtant, plusieurs problèmes restent fréquents :

  • absence de supervision des connexions ;
  • collaborateurs peu sensibilisés ;
  • aucune politique anti-phishing ;
  • accès cloud trop ouverts ;
  • sessions persistantes mal contrôlées ;
  • appareils personnels non supervisés.
MFA

Indispensable, mais plus suffisant à lui seul.

Phishing moderne

Les faux portails deviennent extrêmement crédibles.

Sessions cloud

Les cookies de connexion deviennent des cibles critiques.

Sensibilisation

Le facteur humain reste central dans les compromissions.

Les bonnes pratiques pour mieux protéger Microsoft 365

Bonne pratique Pourquoi c’est important Priorité
Activer le MFA Réduire les vols de comptes classiques Très élevée
Former les utilisateurs au phishing Limiter les validations frauduleuses Très élevée
Limiter les sessions persistantes Réduire les risques de vol de session Élevée
Superviser les connexions inhabituelles Détecter rapidement les compromissions Élevée
Utiliser des appareils conformes Sécuriser les accès cloud Moyenne
Mettre en place des politiques Conditional Access Renforcer les contrôles Microsoft 365 Élevée
Conseil Oktalink :

La sécurité Microsoft 365 moderne doit combiner MFA, supervision des connexions, politiques Conditional Access, protection anti-phishing et sensibilisation régulière des collaborateurs.

Ce qu’une PME devrait faire dès maintenant

  1. Vérifier que tous les comptes utilisent le MFA ;
  2. Contrôler les connexions inhabituelles Microsoft 365 ;
  3. Former les équipes aux faux portails Microsoft ;
  4. Limiter les accès administrateurs permanents ;
  5. Analyser les règles de sécurité Conditional Access ;
  6. Superviser les appareils connectés ;
  7. Prévoir une procédure de réponse rapide en cas de compromission.

Les entreprises qui surveillent activement leurs accès cloud détectent généralement beaucoup plus rapidement les tentatives de compromission.

Conclusion

L’alerte récente du FBI confirme une évolution importante du cybercrime : les attaquants ciblent désormais directement les sessions cloud et les comportements utilisateurs plutôt que les seuls mots de passe.

Le MFA reste une protection essentielle, mais il doit désormais être complété par une véritable stratégie de sécurité Microsoft 365 intégrant supervision, sensibilisation et contrôle des accès.

Pour les PME, la sécurité cloud devient aujourd’hui un enjeu critique de continuité d’activité et de protection des données.

Vous voulez savoir si votre environnement Microsoft 365 est réellement sécurisé ?

Oktalink accompagne les PME dans la sécurisation de Microsoft 365, Outlook, Teams et OneDrive. Nous pouvons analyser vos accès, vos politiques MFA et vos protections cloud afin d’identifier rapidement les points faibles prioritaires.

Demander un audit Microsoft 365

Le MFA est-il encore utile face à ces nouvelles attaques ?

Oui, le MFA reste indispensable et bloque encore énormément d’attaques classiques. Mais il doit être complété par d’autres protections cloud.

Qu’est-ce qu’un vol de session Microsoft 365 ?

Il s’agit du vol d’un cookie ou d’une session déjà authentifiée permettant à un attaquant d’accéder au compte sans redemander le MFA.

Pourquoi Outlook et OneDrive sont-ils ciblés ?

Parce qu’ils contiennent des emails, des documents et des informations sensibles utilisées ensuite pour des fraudes ou des attaques internes.

Les PME sont-elles vraiment concernées ?

Oui. Les PME utilisant Microsoft 365 sont aujourd’hui des cibles fréquentes pour les campagnes automatisées de phishing cloud.

Que sont les politiques Conditional Access ?

Ce sont des règles de sécurité Microsoft permettant de contrôler les accès selon l’utilisateur, l’appareil, le pays ou le niveau de risque.