Une nouvelle faille critique dans Microsoft SharePoint expose de nombreuses organisations à travers le monde. Selon Microsoft, trois groupes de pirates informatiques chinois (Linen Typhoon, Violet Typhoon et Storm‑2603) sont à l’origine d’une vaste campagne d’espionnage numérique. Parmi les cibles touchées : des universités, des agences gouvernementales et même l’administration américaine en charge de l’arsenal nucléaire. L’affaire relance les tensions autour de la cybersécurité et de l’ingérence étatique dans les infrastructures numériques occidentales.
ToolShell : comment SharePoint a été compromis par deux vulnérabilités critiques
Les failles CVE-2025-49704 et CVE-2025-49706 surnommées ToolShell affectent les versions auto-hébergées de Microsoft SharePoint (2016, 2019, SE). Elles permettent à un attaquant non authentifié d’exécuter du code à distance via une requête malformée envoyée au composant ToolPane. La vulnérabilité provient d’une mauvaise validation des entrées utilisateur côté serveur.
Une fois le serveur compromis, les pirates déploient un web shell baptisé spinstall0.aspx. Ce fichier leur donne un accès total à l’environnement Windows du serveur, permet d’exécuter des commandes, d’extraire des clés de chiffrement locales (répertoire MachineKeys), de créer des portes dérobées ou encore de désactiver les journaux d’audit pour éviter la détection.
Cette faille concerne uniquement les déploiements on-premises (hébergés localement). Les utilisateurs de SharePoint Online (Microsoft 365) ne sont pas concernés. Microsoft a publié des correctifs complets à la mi-juillet 2025 mais un patch initial partiel a permis aux attaquants de lancer une campagne à grande échelle avant leur application.
Microsoft identifie trois groupes chinois derrière les failles SharePoint ToolShell
Trois groupes de pirates informatiques, tous liés à la Chine, ont été formellement identifiés par Microsoft comme responsables de l’exploitation active des failles SharePoint connues sous le nom de ToolShell afin d’infiltrer des infrastructures sensibles.
Linen Typhoon (APT31) : l’armée chinoise au cœur de la cyberattaque SharePoint
Linen Typhoon également connu sous le nom d’APT31 est un groupe de pirates informatiques liés à l’armée chinoise. Actif depuis plusieurs années, il est spécialisé dans l’espionnage étatique et industriel. Ce groupe cible principalement les gouvernements, les organisations internationales et les entreprises stratégiques, avec pour objectif le vol d’informations sensibles à haute valeur géopolitique ou technologique.
Violet Typhoon : le groupe chinois discret qui cible santé et éducation
Moins médiatisé que ses homologues, Violet Typhoon agit dans l’ombre en ciblant des secteurs tels que la santé, l’éducation et les organismes à but non lucratif. Il se distingue par l’utilisation d’infrastructures proxy mondiales pour dissimuler ses activités, compliquant ainsi les tentatives de traçage. Son mode opératoire suggère une approche discrète mais structurée, axée sur la collecte d’informations plutôt que sur la destruction de systèmes.
Storm‑2603 : un groupe de pirates émergent dans le viseur de Microsoft
Storm‑2603 est un groupe émergent, classé dans la catégorie Storm par Microsoft, une désignation réservée aux acteurs récemment identifiés. Bien que ses objectifs précis ne soient pas encore pleinement connus, les similarités techniques observées dans ses attaques suggèrent des liens opérationnels avec d’autres groupes APT chinois. Il aurait activement participé à l’exploitation des failles ToolShell lors des campagnes de juillet 2025.
Déjà plus de 50 organisations ciblées dans le monde
L’attaque exploitant les failles SharePoint a visé plus de 50 organisations dans le monde, selon les premières analyses de Microsoft. Les groupes de pirates informatiques liés à la Chine ont ciblé des serveurs SharePoint auto-hébergés dans des environnements sensibles ou stratégiques.
Parmi les cibles confirmées figure la National Nuclear Security Administration (NNSA), l’agence américaine chargée de la sécurité des armes nucléaires. Bien que Microsoft et les autorités affirment qu’aucune donnée classifiée n’ait été exfiltrée, l’accès non autorisé à ce type d’infrastructure souligne la gravité de l’attaque. Plusieurs ministères de l’énergie (aux États-Unis et à l’international) figurent également parmi les victimes.
Les universités, les centres de recherche et certaines entreprises stratégiques du secteur technologique, énergétique ou médical ont également été pris pour cibles. Cette diversité montre que l’objectif n’était pas le sabotage mais plutôt l’espionnage à large spectre, cherchant à capter des données confidentielles ou des informations exploitables à des fins économiques, scientifiques ou géopolitiques.
Ce que cette attaque nous dit sur l’état réel de la cybersécurité
L’exploitation des failles ToolShell rappelle que les solutions on-premises, aussi robustes soient-elles, deviennent des cibles privilégiées dès lors que les correctifs ne suivent pas le rythme des menaces. Microsoft SharePoint, massivement déployé dans les environnements sensibles, illustre ici la fragilité d’un écosystème qui repose encore largement sur l’hébergement local et des chaînes de mise à jour lentes.
Au-delà de la dimension technique, cette campagne d’intrusion montre à quel point la cybersécurité dépasse aujourd’hui le cadre de l’IT. L’enjeu n’est plus uniquement de protéger des données, mais d’empêcher des puissances étrangères d’accéder à des leviers d’influence stratégiques. C’est une nouvelle forme de confrontation silencieuse, où les lignes de front sont des ports ouverts et des serveurs mal maintenus.
Face à cette réalité, la sécurisation des outils collaboratifs (qu’ils soient auto-hébergés ou non) devient un impératif structurel. Audits réguliers, durcissement des configurations, supervision active et réponse rapide aux alertes ne relèvent plus de la bonne pratique, mais du minimum opérationnel dans un monde où la surface d’attaque ne cesse de s’étendre.
Cet article vous a-t-il été utile ?
À propos de l'auteur
Adrien Piron
