Microsoft 365

Source: Proofpoint Threat Research (18 décembre 2025). Dans ce billet de recherche, Proofpoint détaille l’adoption à grande échelle du phishing exploitant le flux d’autorisation OAuth 2.0 par code appareil pour compromettre des comptes Microsoft 365, par des acteurs financiers et étatiques. • Panorama: Des campagnes multiples, parfois amorcées par e‑mail ou QR code, redirigent l’utilisateur vers un processus Microsoft légitime (microsoft.com/devicelogin). La victime saisit un code présenté comme un OTP alors qu’il s’agit d’un code appareil lié à une application malveillante; une fois validé, le jeton confère à l’attaquant l’accès au compte M365. Cette technique, observée sporadiquement auparavant, devient « à grande échelle » dès septembre 2025. Les impacts incluent prise de contrôle de compte, exfiltration de données, mouvement latéral et persistance. ...

Selon le message MC1193689 du centre de Messages pour administrateurs, Microsoft lance « Baseline Security Mode », une expérience centralisée dans le centre d’administration Microsoft 365 pour aligner Office, SharePoint, Exchange, Teams et Entra sur les standards de sécurité recommandés. Le service s’appuie sur l’intelligence des menaces Microsoft et des insights issus de deux décennies de cas traités par le Microsoft Response Center, afin de renforcer la posture de sécurité et se préparer aux menaces alimentées par l’IA. Aucun impact utilisateur immédiat n’est prévu tant que les administrateurs n’appliquent pas de changements. 🛡️ ...

Selon Volexity (blog Threat Intelligence, 4 décembre 2025), le groupe russe UTA0355 mène de nouvelles campagnes ciblées abusant des flux d’authentification OAuth et Device Code pour phisher des utilisateurs et accéder à leurs comptes, en usurpant des événements de sécurité internationaux en Europe. — Campagne « Belgrade Security Conference » (BSC) 🎣 Utilisation de courriels dans un fil légitime et de conversations WhatsApp avec construction de confiance, puis envoi d’un lien menant à un flux OAuth Microsoft. L’utilisateur était incité à transmettre l’URL contenant le code/token pour « finaliser l’inscription ». Après compromission, accès étendu aux fichiers Microsoft 365; persistance via enregistrement d’un nouvel appareil dans Microsoft Entra ID avec le même nom qu’un appareil existant; user-agent Android « Dalvik/2.1.0…; Xiaomi » alors que l’accès prétendait venir d’un iPhone. — Extension des opérations (site bsc2025[.]org) 🌐 ...

BleepingComputer rapporte que Microsoft enquête sur une panne DNS en cours qui affecte des clients à l’échelle mondiale, empêchant l’accès à Microsoft Azure et Microsoft 365. Depuis environ 16h00 UTC, Microsoft subit une panne majeure affectant ses services Azure, Microsoft 365, Intune, Exchange Admin Center et Azure Front Door (AFD). L’incident, toujours en cours, provoque des problèmes d’authentification et de connectivité à travers le monde, touchant entreprises, institutions et infrastructures publiques — y compris les chemins de fer néerlandais, dont les systèmes de billetterie et de planification de trajets sont indisponibles. ...

Source: Rapid7 (blog) — Rapid7 signale une augmentation marquée d’abus de la fonctionnalité Direct Send de Microsoft 365 par des acteurs malveillants, afin d’envoyer des emails usurpant l’interne et contournant les contrôles de sécurité classiques. Résumé de la menace: Des campagnes de phishing utilisent la fonctionnalité légitime Direct Send pour envoyer des emails non authentifiés qui semblent provenir de l’organisation elle-même. Cette technique permet de contourner des contrôles de messagerie standards et de passer sous les radars de certaines protections. Détails techniques et détection: ...

Selon BleepingComputer, Microsoft (Digital Crimes Unit) et Cloudflare (Cloudforce One et Trust & Safety) ont mené début septembre 2025 une opération conjointe pour perturber l’opération de Phishing-as-a-Service (PhaaS) « RaccoonO365 », également suivie par Microsoft sous l’identifiant Storm-2246. Mesure de disruption : saisie de 338 sites web et comptes Cloudflare Workers liés à l’infrastructure RaccoonO365. Impact constaté : depuis juillet 2024, le groupe a volé au moins 5 000 identifiants Microsoft dans 94 pays. Les identifiants, cookies et autres données issus de OneDrive, SharePoint et des comptes e-mail ont été réutilisés pour des fraudes financières, extorsions ou comme accès initial à d’autres systèmes. En avril 2025, une campagne massive à thème fiscal a visé plus de 2 300 organisations aux États-Unis ; les kits ont aussi été utilisés contre plus de 20 organisations de santé américaines, avec des risques directs pour les patients (retards de soins, compromission de résultats, fuites de données). ...

Selon Trend Micro, des cybercriminels et acteurs étatiques détournent les fonctionnalités légitimes de Microsoft Power Automate pour mener des opérations discrètes, profitant de l’essor de l’automatisation et de lacunes de visibilité dans les environnements Microsoft 365. • Constat principal : des fonctionnalités natives et connecteurs de Power Automate sont utilisées pour des activités de Living off the Land, facilitant la fuite de données, la persistance, le contournement des contrôles, le Business Email Compromise (BEC), le soutien à des campagnes de ransomware et des opérations d’espionnage. ...

Selon Cato Networks, une campagne de phishing a abusé de l’infrastructure légitime de Simplified AI pour dérober des identifiants Microsoft 365, en combinant usurpation d’identité d’un cadre d’un distributeur pharmaceutique mondial et pièces jointes PDF protégées par mot de passe. Le mode opératoire s’est déroulé en quatre étapes : (1) envoi d’un email d’« executive impersonation » contenant un PDF protégé, (2) inclusion dans le PDF d’un lien vers la plateforme Simplified AI avec un habillage de marque usurpé, (3) redirection via le domaine app.simplified.com afin de conserver une apparence de légitimité, (4) bascule finale vers un portail de connexion Microsoft 365 contrefait hébergé sur pub-6ea00088375b43ef869e692a8b2770d2.r2.dev. ...

Source: Microsoft Community Hub (techcommunity.microsoft.com) — Microsoft annonce que les clients Exchange Online utilisant un domaine MOERA (onmicrosoft.com) pour envoyer des emails doivent migrer vers des domaines personnalisés, et introduit une limitation d’envoi pour réduire les abus et améliorer la réputation/délivrabilité des emails. 📧 Contexte et raison: Les domaines par défaut MOERA (par ex. contoso.onmicrosoft.com) servent au démarrage/test des locataires mais ne reflètent pas l’identité de marque et offrent un contrôle limité. Parce que ces domaines sont partagés, leur réputation est collective et dégradée par des abus (envois de spam depuis de nouveaux tenants avant intervention), impactant les usages légitimes. ...

Selon BleepingComputer, Varonis met en lumière une technique de « phishing natif » où des outils de confiance deviennent des vecteurs d’attaque. Les chercheurs montrent comment des applications Microsoft 365 – notamment OneNote et OneDrive – peuvent être instrumentalisées pour envoyer des leurres internes convaincants. Phishing natif : des attaquants exploitent les outils intégrés de Microsoft 365 pour diffuser des contenus malveillants en interne, évitant ainsi les filtres de sécurité traditionnels. Cette méthode, baptisée native phishing, s’appuie sur la confiance accordée aux applications par défaut et sur l’usage de services légitimes. ...