Il y a des arnaques tellement réalistes et bien faites qu’elles font douter de tout. Celle-ci en fait partie. Depuis plusieurs mois, des cybercriminels envoient des messages de phishing à partir d’une adresse email authentique de Microsoft.
Il ne s’agit pas d’une copie, pas d’un nom d’expéditeur retouché, l’adresse réelle est utilisée par l’éditeur pour ses alertes de sécurité et ses codes d’authentification à double facteur.
L’adresse officielle Microsoft détournée
L’adresse en cause est msonlineservicesteam@microsoftonline.com. Les messages reçus imitent des alertes de transactions suspectes ou signalent un message privé en attente avec, dans chaque cas, un lien pointant vers un site frauduleux. L’organisation anti-spam Spamhaus a confirmé que l’activité remonte à plusieurs mois et que Microsoft avait été prévenu. Bien que la fraude date, à ce jour, l’éditeur a reconnu le problème sans avoir encore publié de correctif.
Pourquoi c’est particulièrement dangereux
Le mécanisme précis reste en cours d’investigation, mais les premières analyses suggèrent que des comptes Microsoft légitimes auraient été créés pour détourner le système de notifications automatisées de l’éditeur. Ce n’est donc pas un cas classique de spoofing : l’adresse n’est pas falsifiée, elle est réellement utilisée. C’est ce qui est à la fois terriblement ingénieux mais qui est demeure un piège qu’il est difficile d’éviter.
Conséquence directe : le réflexe numéro un enseigné dans toutes les formations en cybersécurité reste celui de vérifier l’adresse de l’expéditeur. Ce réflexe de bon sens, dans ce cas précis, ne sert ici à rien. Les filtres antiphishing sont tout autant mis en échec. Pour les collaborateurs dont les boîtes mail sont rattachées à des comptes Microsoft 365, l’exposition est réelle et massive compte tenu du nombre de comptes associés au géant américain.
Ce qu’il faut faire concrètement
La règle reste inchangée : ne jamais cliquer sur un lien reçu par email, même lorsque tout paraît en ordre. Si un message signale une activité anormale sur votre compte Microsoft, rendez-vous directement sur le portail officiel pour vérifier. Quelques signaux méritent malgré tout votre attention : un ton alarmiste, des formulations approximatives, un lien pointant vers un domaine étranger à Microsoft, ou une demande d’informations personnelles. Ces indices restent valables même quand l’expéditeur semble irréprochable. Cet épisode confirme que les campagnes de phishing ciblant les entreprises gagnent régulièrement en sophistication. La vigilance humaine demeure le premier rempart mais elle ne suffit plus seule. La coupler à des solutions antispam adaptées et à un audit de sécurité informatique régulier constitue aujourd’hui le minimum pour toute PME qui veut protéger sérieusement ses accès et ses données.
