Une nouvelle vague de ransomwares secoue la scène mondiale de la cybersécurité. Depuis la mi-juillet 2025, des groupes liés à la Chine exploitent activement des failles critiques dans les serveurs Microsoft SharePoint on‑premises. Microsoft et la CISA confirment la compromission d’au moins 400 organisations, marquant l’un des plus gros déploiements de ransomware depuis l’affaire Hafnium en 2021.
Failles critiques SharePoint toujours exploitées malgré le patch Microsoft
Malgré leur divulgation publique début juillet, les failles CVE‑2025‑49704 (exécution de code à distance) et CVE‑2025‑49706 (contournement d’authentification) continuent d’être activement exploitées. Ces vulnérabilités affectent les versions on‑premises de Microsoft SharePoint Server (2016, 2019, et Subscription Edition), exposant directement les serveurs connectés à Internet à une compromission sans authentification préalable.
Microsoft avait pourtant publié un correctif initial peu après la détection des failles SharePoint. Mais ce patch s’est rapidement révélé incomplet : des chercheurs en sécurité ont démontré qu’il pouvait être contourné avec des variantes de la méthode d’attaque initiale. Résultat : de nombreux serveurs corrigés en apparence restaient toujours vulnérables, ouvrant la voie à une deuxième vague d’intrusions.
Plus inquiétant encore, des milliers de serveurs SharePoint restent non patchés à ce jour. Plusieurs facteurs expliquent cette persistance :
- Auto‑hébergement en dehors d’un cadre MSP ou cloud
- Méconnaissance du risque par les DSI ou prestataires n’ayant pas perçu l’urgence
- Problèmes de compatibilité ou de validation interne retardant l’application des correctifs
- Négligence liée au manque de visibilité sur les services exposés
Les attaquants profitent de ce contexte pour déployer à grande échelle des backdoors, voler des identifiants, et désormais, déclencher des ransomwares. La situation prouve une nouvelle fois que la vitesse d’application d’un patch est aussi critique que sa disponibilité.
Storm 2603 passe à l’attaque avec un ransomware ciblant SharePoint
Depuis le 24 juillet 2025, les premières campagnes de chiffrement de données ont été observées sur des serveurs SharePoint compromis. Après plusieurs jours d’exploitation discrète à des fins d’espionnage, certains groupes d’attaquants ont changé de tactique : les intrusions se soldent désormais par le déploiement de ransomware. L’infection ne se limite plus à l’exfiltration d’informations sensibles, elle aboutit à l’encryption complète des serveurs, suivie d’une demande de rançon en cryptomonnaie.
Parmi les acteurs à l’origine de cette évolution, le groupe Storm‑2603 joue un rôle central. Identifié comme étant lié à des intérêts étatiques chinois, ce groupe combine des outils de persistance avancés avec un ransomware maison nommé Warlock. Warlock chiffre les fichiers critiques du système, neutralise les sauvegardes locales et affiche une note de rançon typique, tout en restant discret pour éviter une détection précoce.
Cette stratégie à plusieurs niveaux reflète une logique :
- Sabotage des systèmes internes en paralysant les opérations via le chiffrement
- Monétisation directe par extorsion financière en exploitant la pression opérationnelle des victimes
- Effacement des traces d’espionnage en rendant les preuves forensiques inaccessibles une fois les fichiers chiffrés
Ce pivot vers le ransomware marque une escalade significative : le risque ne concerne plus uniquement la confidentialité des données, mais aussi la disponibilité des systèmes et la continuité d’activité. Il confirme que les attaquants ne se contentent plus d’observer, ils exploitent, détruisent et monnayent, dans une logique offensive de plus en plus agressive.
La faille SharePoint devient une crise ransomware d’ampleur mondiale
Ce qui avait commencé comme une fuite d’informations ciblée est rapidement devenu une crise ransomware à part entière. L’affaire SharePoint dépasse désormais le cadre de la cybersurveillance pour entrer dans une phase d’extorsion massive où les systèmes sont chiffrés et les opérations paralysées.
Le scénario n’est pas sans rappeler celui de Hafnium en 2021, avec les failles Exchange, mais à une échelle plus ciblée : ici, ce sont les serveurs SharePoint auto‑hébergés qui sont visés et aujourd’hui transformés en vecteurs d’attaque pour des groupes à la fois opportunistes et organisés.
Le temps d’attente est révolu. Les administrateurs, DSI et prestataires doivent vérifier immédiatement la version de leurs serveurs SharePoint, appliquer les derniers correctifs de sécurité, désactiver l’exposition publique si nécessaire et auditer l’ensemble de leur infrastructure. L’attaque n’est plus théorique. Elle est en cours et elle frappe sans distinction.
À propos de l'auteur
Adrien Piron
