Semaine 5 : L’hameçonnage via « SharePoint » sévit aussi en Suisse

Service navigation

Recherche

Navigation

Semaine 5 : L’hameçonnage via « SharePoint » sévit aussi en Suisse

03.02.2026 - Ces dernières semaines, l’OFCS a reçu plusieurs annonces relatives à des courriels dont le contenu indiquait que l’expéditeur avait partagé un fichier sur la plateforme Microsoft « SharePoint ». Le lien indiqué dans les messages aboutit effectivement à la plateforme « SharePoint » officielle. Vous découvrirez dans la rétrospective hebdomadaire les mauvaises intentions qui se cachent derrière ces courriels et ce que cela signifie pour les utilisateurs et utilisatrices.

Aujourd’hui, les courriels d’hameçonnage sont très difficiles à détecter, car les outils de traduction basés sur l’IA empêchent les erreurs de langage. Les données concernant l’expéditeur ne sont pas non plus fiables, car elles peuvent être facilement falsifiées. Par ailleurs, les pirates utilisent aussi des données personnelles provenant de fuites pour utiliser les bonnes formules de politesse ou des détails personnels qui rendent leurs messages plus crédibles.

Le lien contenu dans un courriel frauduleux est donc souvent le seul indice qui permet d’identifier une tentative potentielle d’hameçonnage. Mais pour tromper le destinataire, les pirates falsifient également ces informations. Ces dernières semaines, l’OFCS a repéré plusieurs tentatives d’hameçonnage ciblées. Le lien contenu dans les courriels renvoie à la plateforme officielle Microsoft « SharePoint ». De telles attaques sont actuellement observées dans le monde entier (en anglais).

La méthode

Avec la variante « SharePoint » actuelle, la victime est invitée, généralement par une personne qu’elle connaît, à ouvrir un document enregistré sur « SharePoint ». Ce message est envoyé automatiquement par « SharePoint ».

Courriel indiquant que quelqu’un a partagé un fichier PDF avec le destinataire.
Courriel indiquant que quelqu’un a partagé un fichier PDF avec le destinataire.

Pour télécharger le document, la victime doit d’abord se connecter à « SharePoint ». Après avoir cliqué sur le lien, un formulaire s’ouvre et le destinataire est invité à y saisir son adresse électronique.

Page d’authentification sur le serveur « SharePoint » officiel.
Page d’authentification sur le serveur « SharePoint » officiel.

Un mot de passe unique est ensuite envoyé à l’adresse électronique enregistrée. L’analyse du courriel montre qu’il a effectivement été envoyé par Microsoft ou « SharePoint ».

Lors de cette étape, le mot de passe unique provient effectivement de « SharePoint ».
Lors de cette étape, le mot de passe unique provient effectivement de « SharePoint ».

Le code de vérification du compte envoyé à l’adresse électronique doit ensuite être enregistré dans le formulaire pour confirmation. Jusqu’ici, la procédure est tout à fait habituelle, mais c’est à partir de là que la fraude commence. Un autre lien vers un prétendu document PDF apparaît alors sur le « SharePoint ». Si la victime clique sur le lien pour télécharger le document PDF, une demande de mot de passe s’ouvre. Cette fois, il n’est pas question de saisir un code, mais directement le login Microsoft et le mot de passe.

Le lien d’hameçonnage se trouve dans « SharePoint ».
Le lien d’hameçonnage se trouve dans « SharePoint ».

Dans ce cas, il s’agit d’une attaque de phishing en temps réel. Ce ne sont alors pas seulement le nom d’utilisateur et le mot de passe qui sont volés, mais une connexion au compte Microsoft se déroule aussi en temps réel en arrière-plan. Dans un deuxième temps, Ia demande de deuxième facteur, qui sert à protéger le compte, est aussi envoyée au site de phishing pour que la victime réponde également à cette demande. L’authentification à deux facteurs est ainsi contournée.

Le lien d’hameçonnage renvoie vers une page de phishing en temps réel.
Le lien d’hameçonnage renvoie vers une page de phishing en temps réel.

Où les pirates ont-ils obtenu ces données ?

Très souvent, ces courriels d’hameçonnage sont envoyés de manière ciblée à des entreprises. Mais comment les pirates peuvent-ils faire le lien entre les entreprises et leurs collaboratrices et collaborateurs ?

Il y a trois possibilités :

  • Les données requises proviennent de sources publiées et les pirates recherchent par exemple directement sur les sites web des entreprises les données des collaborateurs et collaboratrices ainsi que leurs fonctions dans l’entreprise ou les entreprises partenaires. Ces informations suffisent souvent pour lancer une attaque ciblée.
  • Les données proviennent d’un compte Microsoft déjà piraté auparavant avec cette méthode. Dans ce cas aussi, les pirates obtiennent les données nécessaires.
  • Ces demandes « SharePoint » peuvent aussi être envoyées au hasard. Dans un courriel directement envoyé à l’OFCS, aucun lien n’a pu être établi. L’OFCS n’avait jamais eu un contact par courriel avec l’entreprise et aucune relation avec l’OFCS n’apparaît sur son site web.

Recommandations

  • Ne saisissez jamais des mots de passe, des données de cartes de crédit ou d’autres informations confidentielles sur des sites web auxquels vous avez accédé en cliquant sur un lien reçu par courriel ou par SMS.
  • Méfiez-vous des courriels non sollicités ou inhabituels.
  • Effectuez une vérification supplémentaire par un autre canal d’information si vous recevez un courriel qui semble avoir été envoyé par une personne que vous connaissez, mais dont l’authenticité est douteuse.
  • Informez régulièrement les collaboratrices et collaborateurs au sujet des nouvelles variantes d’hameçonnage.

Statistiques et chiffres actuels

Les annonces de la dernière semaine selon les catégories sont publiées sous:

Chiffres actuels

Dernière modification 03.02.2026

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/2026/wochenrueckblick_5.html