Microsoft a fait appel à des ingénieurs basés en Chine pour maintenir SharePoint ce qui l'aurait rendu vulnérable

L'application a été exploitée par au moins trois groupes de cybercriminels affiliés à la Chine

Microsoft a fait appel à des ingénieurs basés en Chine pour maintenir SharePoint ce qui l'aurait rendu vulnérable, l'application a été exploitée par au moins trois groupes de cybercriminels affiliés à la Chine.

Précédemment, Microsoft a révélé que des pirates informatiques chinois ont exploité avec succès une vulnérabilité zero-day critique touchant sa plateforme populaire SharePoint. Un nouveau rapport a révélé que Microsoft aurait fait appel à des ingénieurs basés en Chine pour maintenir SharePoint, ce qui l'a rendu vulnérable. Un système interne de suivi du travail a montré que des employés basés en Chine ont récemment corrigé des bogues pour SharePoint sur site.

Un vent de panique souffle sur les infrastructures informatiques mondiales. Une faille critique de type zero day affectant Microsoft SharePoint (identifiée sous le nom de CVE-2025-53770) est activement exploitée dans le monde entier. Classée avec un indice de gravité de 9,8 sur 10, cette vulnérabilité a conduit Microsoft à publier en urgence un correctif de sécurité. Malgré cela, les attaques se poursuivent, révélant l’ampleur de la menace qui pèse sur les réseaux d’entreprise et les institutions gouvernementales.

Les attaques exploitant cette vulnérabilité ont été baptisées « ToolShell » et peuvent conduire à une compromission complète du serveur ciblé, y compris l'accès aux données sensibles et la possibilité d'installer des shells web malveillants pour un accès persistant. Les attaquants peuvent exfiltrer des données sensibles, telles que les clés de machine ASP.NET, qui pourraient permettre d'autres attaques, telles que la falsification de jetons d'authentification ou l'accès persistant.

Les rapports font état d'attaques coordonnées visant les serveurs SharePoint à l'échelle mondiale. Les pirates auraient compromis environ 400 organisations, dont l'agence américaine chargée de l'armement nucléaire. Les experts en sécurité indiquent que ce nombre pourrait augmenter au fur et à mesure que l'enquête avance. Cette attaque fait suite à l'intrusion profonde de Salt Typhoon dans le réseau de la Garde nationale d'un État américain, qui a compromis toutes les forces américaines.

Microsoft a identifié au moins trois groupes de menaces soupçonnés d'être affiliés à la Chine qui ont exploité des vulnérabilités connues de SharePoint : Linen Typhoon, Violet Typhoon et Storm-2603, ce dernier ayant déployé le ransomware Warlock. Mais un nouveau rapport a révélé que Microsoft aurait fait appel à des ingénieurs basés en Chine pour maintenir SharePoint, ce qui l'a rendu vulnérable.


Quel est le lien entre la Chine et l'exploit ToolShell SharePoint ?

Une chaîne d'exploits pour une attaque d'exécution de code à distance (RCE) sur des serveurs SharePoint sur site, baptisée ToolShell, a été identifiée pour la première fois lors d'un concours de piratage en mai ; cependant, Microsoft n'a publié de correctifs pour les vulnérabilités qui l'ont rendue possible qu'à l'occasion du Patch Tuesday de juillet. Microsoft recommande notamment à tous les opérateurs d'un serveur SharePoint sur site, qu'il s'agisse de la version 2016 ou 2019, de déployer dès que possible les mises à jour de sécurité hors bande appropriées.

Dans l'intervalle, des dizaines de systèmes ont été piratés, notamment ceux appartenant à l'Administration nationale de la sécurité nucléaire et au Département de la sécurité intérieure. Les attaques ToolShell réussies permettent aux pirates d'accéder au contenu SharePoint, de déployer du code malveillant et potentiellement de se déplacer latéralement vers d'autres services Windows, tels que Outlook, Teams et OneDrive.

Un porte-parole du ministère de l'Énergie a déclaré à Bloomberg que l'Agence nationale de sécurité nucléaire avait été "très peu affectée" par l'attaque SharePoint, tandis qu'un porte-parole du ministère de la Sécurité intérieure a déclaré à Nextgov qu'il n'avait trouvé "aucune preuve d'exfiltration de données".

Selon ProPublica, il est possible que Microsoft ait augmenté le risque d'exploitation des vulnérabilités de SharePoint par des acteurs malveillants en Chine en confiant sa maintenance à des ingénieurs basés dans ce pays pendant plusieurs années. Un système interne de suivi du travail a montré que des employés basés en Chine ont récemment corrigé des bogues pour SharePoint sur site.

Microsoft a déclaré à ProPublica que l'équipe basée en Chine "est supervisée par un ingénieur basé aux États-Unis et soumise à toutes les exigences de sécurité et à la révision du code par les responsables" et que "des mesures sont déjà en cours pour transférer ce travail vers un autre site". Une enquête distincte menée par la publication a révélé que Microsoft s'appuie depuis dix ans sur des employés basés en Chine pour la maintenance des systèmes cloud des départements fédéraux, mais que les employés américains n'ont souvent pas l'expertise technique nécessaire pour les contrôler correctement.

La Chine dispose d'un certain nombre de lois qui permettent à ses autorités de demander l'accès aux données et, compte tenu de l'escalade des tensions géopolitiques entre elle et les États-Unis, cela signifie que tout travail sensible effectué par des ingénieurs basés en Chine pourrait faire l'objet d'un examen minutieux ou d'une compromission de la part de l'État.

Ces rapports interviennent alors que la Chine a récemment accusé les États-Unis d'exploiter depuis des années une vulnérabilité dans Microsoft Exchange pour accéder aux systèmes des entreprises chinoises du secteur de la défense. Selon la Cyber Security Association of China (CSAC), une organisation affiliée à l'organisme chinois de surveillance d'Internet, des acteurs américains auraient délibérément exploité une vulnérabilité dans Microsoft Exchange pour s'introduire profondément dans les systèmes informatiques d'une entreprise de défense stratégique en Chine. Les attaquants auraient eu accès aux serveurs internes pendant des mois sans être détectés, peut-être dans le but d'intercepter des données militaires ou de perturber des infrastructures critiques.

Source : ProPublica, Bloomberg, Microsoft

Et vous ?

Pensez-vous que ces rapports sont crédibles ou pertinents ?
Quel est votre avis sur le sujet ?

Voir aussi :

Microsoft lance une mise en garde contre "Silk Typhoon", un groupe d'espionnage chinois, qui se focalise sur les outils de gestion à distance et les applications cloud

Un centre chinois de cybersécurité accuse les États-Unis de piratage et de vol de secrets technologiques, tandis que Washington enquête sur le chinois TP-Link en raison de menace pour la sécurité nationale

« Toutes les forces américaines doivent désormais supposer que leurs réseaux sont compromis », avertit un expert après que Salt Typhoon a infiltré le réseau de la Garde nationale d'un État américain