Pourquoi une nouvelle vulnérabilité critique dans Microsoft SharePoint, déjà exploitée par des hackers, prend-elle de court à la fois les entreprises et les autorités federales américaines, alors même que Microsoft n’a pas encore publié de correctif complet ? Comment une telle faille, identifiée sous le nom de CVE-2025-53771, peut-elle exposer des milliers d’organisations à un risque immédiat de piratage massif ?
Depuis ce week-end, la CISA et les chercheurs en cybersécurité multiplient les alertes : des groupes malveillants exploitent activement cette faille que Microsoft considère comme un « zero-day ». Qu’est-ce qui rend cette vulnérabilité si attractive pour les attaquants ? Leur cible : toutes les versions de SharePoint installées sur des serveurs locaux, c’est-à-dire celles que les entreprises gèrent elles-mêmes, hors du cloud sécurisé. Microsoft reconnaît travailler sur un correctif, mais dans l’intervalle, des milliers de structures se retrouvent démunies alors que les attaques se multiplient.
Combien de serveurs sont actuellement compromis ? Impossible de le savoir précisément, mais l’ampleur de la menace dépasse à présent les frontières américaines. Selon le Washington Post, des agences gouvernementales, des universités, mais aussi des compagnies du secteur énergétique figureraient parmi les premières victimes. La société Eye Security, qui a été la première à révéler l’existence du bug, a recensé des dizaines de serveurs SharePoint déjà compromis et met en garde : il suffit que la faille soit exploitée pour que les hackers puissent s’emparer des clés numériques confidentielles des serveurs, sans même disposer d’identifiants.
Face à une vulnérabilité aussi critique, la question de la réactivité de Microsoft et de la protection des utilisateurs se pose avec une urgence inédite.
La situation s’aggrave encore lorsque l’on comprend que SharePoint, loin de fonctionner en vase clos, s’interface avec d’autres outils aussi centraux qu’Outlook, Teams ou OneDrive. Sommes-nous au bord d’une cascade de compromissions avec des ramifications à travers tout le réseau d’entreprise ? Les experts exhortent les responsables IT à agir immédiatement — et pourtant, sans correctif, que peuvent-ils réellement faire ? Faut-il couper purement et simplement l’accès à Internet de leurs serveurs, au risque de paralyser leur activité ?
Eye Security rappelle qu’il ne suffira pas de corriger la faille, mais qu’il sera impératif pour les victimes de révoquer et régénérer toutes les clés numériques compromises. Ce type de manœuvre complexe, bien au-delà d’une simple mise à jour habituelle, risque-t-il de déborder les équipes techniques, notamment dans les PME déjà fragilisées par le manque de ressources ?
Qui se cache derrière ces attaques ? Mystère pour l’instant. Mais une chose est certaine : ce nouvel épisode fait suite à une série de cyberattaques majeures ciblant, elles aussi, Microsoft. On se souvient de Hafnium et de l’exploitation massive des serveurs Exchange, des clés dérobées sur le cloud par des hackers chinois, ou encore des incursions russes rapportées par Microsoft. Pourquoi l’écosystème Microsoft semble-t-il être devenu le terrain de jeu favori des cybercriminels étatiques ?
Pour le moment, le conseil est clair : « Si vous avez un serveur SharePoint accessible depuis Internet, partez du principe qu’il est compromis, » prévient Michael Sikorski, expert de Palo Alto Networks. Mais une question fondamentale demeure : comment expliquer que tant d’infrastructures stratégiques reposent encore sur des solutions aussi vulnérables, alors même que les risques sont désormais connus de tous ?
Source : Techcrunch
