Une nouvelle campagne de phishing massive cible les utilisateurs de Microsoft Teams via de fausses invitations à des réunions professionnelles.

Une vague d’attaques par hameçonnage (phishing) d’un réalisme troublant sévit actuellement, exploitant la popularité de l’outil de collaboration Microsoft Teams. Les cybercriminels déploient des courriels imitant à la perfection les notifications de la plateforme afin de dérober les identifiants professionnels des salariés et de s’infiltrer dans les réseaux d’entreprise. Cette méthode, redoutable d’efficacité, mise sur la routine et la confiance des utilisateurs pour les piéger.

Un mode opératoire décrypté

L’arnaque repose sur un courriel en apparence anodin, tel qu’une invitation à une réunion de travail. L’objet est souvent professionnel et crédible, par exemple « Project Review with Presseagence », et le corps du message reprend fidèlement la mise en page de Microsoft, indiquant un prétendu organisateur, comme un certain « Alexandre De RUYVER », et une heure de début imminente pour inciter à une action rapide.

Le piège se referme lorsque la victime clique sur le bouton « Join Meeting ». Au lieu d’ouvrir l’application légitime, le lien redirige vers une page web frauduleuse, copie conforme de la page d’authentification de Microsoft. L’URL, unique indice visible de la supercherie, trahit l’arnaque. Dans un exemple intercepté, le lien ne pointe pas vers le domaine officiel `microsoft.com`, mais vers une adresse suspecte comme `login.orbitgenix.sa.com/l/microsoftauth`. Une fois sur cette fausse page, l’utilisateur est invité à saisir son adresse électronique et son mot de passe. Ces informations sont alors instantanément récupérées par les pirates.

Des risques critiques pour les entreprises et les salariés

La compromission d’un seul compte professionnel peut avoir des conséquences dévastatrices. En possession de ces identifiants, les attaquants peuvent accéder à la totalité de l’écosystème de l’employé : messagerie, documents confidentiels stockés sur OneDrive ou SharePoint, conversations Teams, et contacts internes et externes.

Les risques sont multiples. Cela va de l’usurpation d’identité pour lancer d’autres attaques (notamment des fraudes au président) à l’espionnage industriel, en passant par le vol de données personnelles ou la propagation d’un rançongiciel (ransomware) au sein de tout le système d’information de l’entreprise. Pour le salarié, les conséquences peuvent également être personnelles si des informations privées sont stockées sur son compte professionnel.

Comment se prémunir efficacement contre cette menace ?

Face à la sophistication de ces attaques, la vigilance reste la meilleure des défenses. Les experts en cybersécurité rappellent plusieurs règles d’or à appliquer systématiquement.

Premièrement, il est impératif de ne jamais cliquer sur un lien sans en avoir vérifié la destination. Sur un ordinateur, il suffit de survoler le bouton ou le lien avec le curseur de la souris, sans cliquer, pour que l’adresse web de destination s’affiche en bas du navigateur ou du logiciel de messagerie. Toute URL qui ne se termine pas par `microsoft.com` ou `teams.microsoft.com` doit être considérée comme extrêmement suspecte.

Deuxièmement, l’activation de l’authentification multifacteur (MFA), qui requiert une seconde validation via un téléphone ou une application dédiée, constitue une barrière de sécurité quasi infranchissable, même si les pirates parviennent à voler le mot de passe.

Enfin, en cas de doute sur la légitimité d’une invitation, il est conseillé de contacter directement l’expéditeur présumé par un autre canal de communication (téléphone, SMS) pour confirmer son envoi. Tout courriel suspect doit être immédiatement signalé au service informatique de l’entreprise.