La suite de productivité Microsoft 365 fait l’objet de campagnes de phishing toujours plus ciblées et élaborées. Elles évoluent rapidement, exploitent des canaux surprenants et font preuve d’une crédibilité trompeuse, même pour un œil averti.
Ces attaques commencent par un simple email à l’air tout à fait authentique - et peuvent avoir des conséquences graves à l’échelle d’une entreprise.
A la fin de cet article, vous serez en mesure d’examiner et reconnaître les principales arnaques de phishing Microsoft grâce à des analyses d’exemples d’emails malveillants. Vous saurez précisément comment réagir face à un spam email. Vous aurez également toutes les clés pour comprendre comment protéger au mieux votre entreprise du phishing.
Avec ses plus de 2 millions d’entreprises utilisatrices à travers le monde, Microsoft 365 (ou M365) est un véritable parc d’attraction pour hackers : entre les données et fichiers sensibles stockées sur OneDrive et SharePoint, les secrets commerciaux échangés via Outlook et Teams voire l’accès direct aux personnes en charge de valider des transactions financières au sein de l’entreprise, les possibilités d’arnaques ne manquent pas.
Via des attaques de phishing rendues plus performantes par l’IA et plus difficiles à détecter pour les outils de sécurité « traditionnels », les cybercriminels tentent de gagner accès à des comptes Microsoft pour infiltrer les réseaux d’entreprise, voler des données et obtenir de l’argent.
Cette attaque de phishing repose un principe simple : se faire passer pour Microsoft pour tromper l’utilisateur et obtenir des informations sensibles.
Le spam reproduit le plus fidèlement possible l’identité visuelle, le ton et le type de contenu attendu de la part de Microsoft afin de ne pas éveiller les soupçons de la victime.
Ces emails de phishing poussent la victime à effectuer une action : saisir des identifiants, des coordonnées bancaires, télécharger un fichier, exécuter un programme.
Les informations ainsi obtenues par hameçonnage serviront ensuite au cybercriminel à s’infiltrer dans le réseau de l’entreprise pour poursuivre son attaque ou à obtenir de l’argent.
Le recours à l’IA par les hackers rend la détection de certains spams difficile. Il existe toutefois des caractéristiques faciles à examiner pour reconnaître des emails malveillants :
Pour vous aider à reconnaître efficacement les emails de phishing Microsoft, voici une sélection d’exemples examinés à la loupe.
Certaines attaques de phishing commencent par un mail informant la victime qu’elle a reçu un message vocal.
Ici, c’est le nom de domaine d’expéditeur qui dévoile l’arnaque : “ommicrosoft.com”, au lieu du microsoft.com légitime.
Exemple de phishing Microsoft par message vocal
Ce type de spam joue sur la curiosité de la victime. De vrais messages vocaux sont inclus pour rendre le mail plus crédible.
Toutefois, un clic sur l’un des liens ou pièces jointes peut lancer le téléchargement ou l’exécution d’un malware. Le plus souvent, liens et pièces jointes redirigent la victime vers une fausse page de connexion Microsoft qui permet aux attaquants de récupérer les identifiants de compte.
Exemple de fausse page de login M365 d’attaque par message vocal
Le recours à l’urgence est une tactique très courante dans les attaques de phishing email.
Les hackers font passer leurs spams pour des emails automatiques ou pour des requêtes du support Microsoft.
La pression monte dès l’objet du message : appels à l’action, “maintenant”, “important”, “urgent”, “alerte”, “sécurité”, “suspension”, tous les moyens sont bons pour intimider la victime et l’inciter à agir sans réfléchir.
La plupart de ces emails ont pour objectif d’obtenir les identifiants de compte Microsoft de la victime en l’amenant à les saisir sur de fausses pages de connexion :
Exemple de fausse page de connexion Microsoft
Malgré son aspect légitime, il s’agit d’une fausse page. L’url qui ne correspond pas au domaine microsoft.com nous permet de détecter facilement l’arnaque.
Dans l’exemple ci-dessous, des informations de paiement sont demandées :
Exemple de phishing Microsoft demandant la mise à jour d’informations de paiement “maintenant”
Notez le faux nom de domaine “microsoftonline.com”.
Dans l’exemple suivant, c’est la menace de suspension de campagnes publicitaires qui est utilisée :
Ici, c’est le corps du message qui nous alerte sur sa nature : pas personnalisé, il contient des informations contradictoires.
D’autres campagnes jouent sur la sécurité via de fausses notifications d’expiration de mot de passe ou de fausses alertes de sécurité comme dans les exemples suivants :
Exemple de phishing par alerte de sécurité
Une autre technique de phishing Microsoft repose sur la possibilité de partager des fichiers via SharePoint et OneDrive.
Exemple de phishing par partage de fichier OneDrive
Un email informe la victime qu’une personne au nom très générique souhaite partager un document avec elle ou obtenir des modifications.
Ce type d’attaque redirige en général vers une fausse page de connexion qui permet aux attaquants de récupérer les identifiants Microsoft de la victime.
Si vous avez un doute sur l’authenticité du message ou de la demande, confirmez toujours avec la personne concernée par un ou plusieurs autres moyens avant de cliquer.
Quelles que soient les précautions prises, n’importe qui peut être confronté à un phishing Microsoft. Et n’importe qui peut en venir à cliquer.
Voici comment réagir face aux tentatives de phishing Microsoft :
Il est essentiel de signaler tout email malveillant comme spam. Cela permettra d’empêcher ces emails de phishing d’atteindre d’autres boîtes mail.
Pour signaler un email de phishing dans Microsoft Outlook, il vous suffit de cliquer sur le bouton dédié :
Pour signaler des attaquants qui tentent de se faire passer pour des membres de l’équipe support de Microsoft : https://msrc.microsoft.com/report/
Si vous réalisez après clic que le lien était un phishing, déconnectez votre appareil d’internet rapidement.
Une fois votre équipement hors ligne, contactez au plus vite le département informatique de votre entreprise pour expliquer la situation : cela permettra de prendre les mesures de sécurité qui s’imposent.
Si vous avez saisi des identifiants sur une fausse page de connexion, rendez-vous au plus vite sur l’application légitime du service concerné et changez ces identifiants.
S’il s’agissait de services de votre entreprise, comme les identifiants de votre compte Microsoft, contactez ensuite votre support technique et expliquez leur la situation : des mesures de sécurité ou de vigilance supplémentaires pourront être nécessaires.
Si votre réponse à l’email de phishing ne contient aucune information critique, vous pouvez tout simplement signaler l’email et redoubler de vigilance à l’avenir.
Si votre email de réponse contient des informations importantes, changez celles qui peuvent l’être (comme les identifiants) et prévenez les services et personnes concernées le plus rapidement possible.
Les conséquences d’une attaque de phishing peuvent être graves : vol d’identifiants M365, extorsion de fonds, violation de données… Il est donc essentiel pour les entreprises de mettre en œuvre toutes les mesures de prévention disponibles pour limiter les risques.
Une protection efficace contre le phishing Microsoft repose sur deux piliers : la sensibilisation des employés et le renforcement de la sécurité de l’email.
Activer les outils de protection contre le phishing mis à disposition par Microsoft ne devrait pas être une option.
Ces outils ne sont toutefois pas suffisants.
Assurer une sécurité de l’email robuste qui évolue en même temps que la menace passe par l’ajout d’une couche supplémentaire.
Une solution basée sur l’IA - retournons les outils des hackers contre eux ! - et les LLMs comme Advanced Threat Protection qui s’intègre de manière transparente à votre environnement Microsoft renforce les capacités de détection et de protection des outils traditionnels.
Lorsque les spams contournent les filtres techniques, la capacité de la victime à réagir de manière appropriée face au phishing devient la dernière protection de l’entreprise.
Il est donc essentiel de former tous les collaborateurs à reconnaître et signaler les tentatives de phishing Microsoft.
Parce que ces attaques évoluent en permanence, une formation en continu et en conditions réelles est nécessaire pour être efficace.
Il est également important de prévoir régulièrement des simulations de phishing pour vérifier le niveau d’intégration des équipes.
Les attaques de phishing Microsoft ne sont pas prêtes de s’arrêter.
Les conséquences de telles arnaques mail peuvent être graves pour l’entreprise - mais peuvent être prévenues.
Intégrer les bons outils de protection de l’email réduit l’exposition au spam des employés, tandis que formation de sensibilisation en continu et simulations de phishing régulières éliminent les risques résiduels.