Les 8 attaques que Microsoft 365 ne bloque pas

Votre comptable vient de virer 38 millions d'euros à des escrocs.

Et techniquement, il n'a commis aucune faute.

Les cyberattaques qui contournent vos défenses  et comment les PME françaises peuvent s'en protéger.

Décembre 2021. Le comptable d'un promoteur immobilier parisien reçoit un appel. Au bout du fil, un homme qui se présente comme l'avocat du cabinet X. Il explique qu'une opération confidentielle de rachat est en cours, que le président a donné son accord, et qu'il faut agir vite. Quelques minutes plus tard, un email arrive, apparemment envoyé par le PDG lui-même, confirmant l'opération.

Le comptable fait ce qu'on lui demande. En quelques semaines, il effectue 45 virements. Total : 38 millions d'euros. Vers des comptes en Hongrie, au Portugal, en Croatie. L'argent a disparu avant que quiconque ne réalise l'arnaque.

Cette histoire, c'est celle de Sefri-Cime, un promoteur immobilier bien réel. Huit personnes ont été interpellées depuis (dont deux en Israël), mais seuls 3,9 millions ont été récupérés. Le comptable? Mis hors de cause par les enquêteurs. Il a simplement fait confiance à ce qui ressemblait à une demande légitime de sa hiérarchie.

Ce scénario pourrait se produire demain dans votre entreprise. Voici pourquoi et comment vous en protéger.

Le problème : vos défenses regardent au mauvais endroit

Depuis dix ans, on forme les collaborateurs à repérer les emails de phishing. Les fautes d'orthographe, les liens suspects, les pièces jointes douteuses. Et ça fonctionne : selon Microsoft, Defender bloque aujourd'hui 99,995% des menaces par email.

Le problème, c'est que les attaquants ont changé de stratégie. Ils n'envoient plus d'emails truffés de liens malveillants. Ils envoient des emails parfaitement propres, juste du texte, une demande polie, un ton professionnel. Ou ils appellent directement. Ou ils envoient un SMS. Ou ils laissent un câble iPhone « oublié » dans votre salle de réunion.

Ces attaques ne déclenchent aucune alerte technique. Elles exploitent la seule faille que vos outils ne peuvent pas corriger : la confiance humaine.

En France, sur les 5 dernières années : 485 millions d'euros de préjudice déclaré pour la seule fraude au président. 2 300 plaintes déposées. Et ce ne sont que les cas signalés, la plupart des entreprisespréfèrent ne pas communiquer.

Source : IRSM, Directions régionales des finances publiques

La fraude au président : l'attaque qui ne ressemble pas à une attaque

On l'appelle BEC (Business Email Compromise) dans le jargon, « arnaque au président » ou « FOVI » en France. Le principe est d'une simplicité redoutable : se faire passer pour quelqu'un de confiance, le dirigeant, un avocat, un fournisseur et demander un virement urgent.

Ce qui rend cette attaque si efficace, c'est qu'elle ne contient aucun élément techniquement malveillant. Pas de lien piégé. Pas de pièce jointe infectée. Pas de malware. Juste un email qui dit : « Merci d'effectuer ce virement en urgence, c'est confidentiel. »

Vos filtres anti-spam ? Ils nevoient rien d'anormal. Votre antivirus ? Rien à scanner. Votre pare-feu ? Inutile  il n'y a pas d'intrusion réseau.

Quatre cas français qui auraient pu être votre entreprise

Pathé, mars 2018 — 19,2millions d'euros

La filiale néerlandaise du groupe de cinéma français reçoit des emails de « la direction parisienne » demandant des fonds pour une acquisition à Dubaï. Le directeur financier et la directrice générale locale exécutent les virements. Quand la fraude est découverte, ils sont licenciés. Puis ils attaquent Pathé aux Prud'hommes et gagnent : ils n'avaient aucun moyen de savoir que les emails étaient faux.

Entreprise agroalimentaire duFinistère, mai 2024 — 65 000 euros

Une aide-comptable reçoit un email « du président » demandant un virement urgent. Le document joint estqualifié de « grossier » par les enquêteurs. Elle vire quand même l'argent. La gendarmerie du Finistère comptabilise dix cas similaires en 2023, quatre au premier semestre 2024  rien que dans ce département.

Département de Saône-et-Loire, 2023 — 350 000 euros

Même les collectivités publiques tombent dans le piège. La Direction régionale des finances publiques a depuis envoyé des alertes à toutes les maisons de retraite et EHPAD de France, des cibles privilégiées car leurs procédures de contrôle sont souvent plus légères.

Entreprise de métallurgie en Haute-Marne, décembre 2021 — 300 000 euros

L'enquête révélera que c'est le même réseau d'escrocs qui a frappé Sefri-Cime le même mois. Un appel depuis Israël, un email usurpé, un virement vers la Hongrie. Même mode opératoire, même professionnalisme.

Quand le téléphone devient une arme : vishing et deepfakes vocaux

Votre téléphone sonne. Le numéro affiché est celui de votre banque, vous le reconnaissez, c'est le même que sur votre carte. Au bout du fil, quelqu'un qui connaît votre nom, votre numéro de compte, vos dernières opérations. Il vous explique qu'une fraude est en cours et qu'il faut « sécuriser » votre compte immédiatement.

La technique s'appelle le spoofing: l'escroc usurpe le numéro de téléphone de votre banque. Selon l'Observatoire de la sécurité des moyens de paiement, ces « fraudes par manipulation » ont coûté 379 millions d'euros aux Français en 2023.

L'arrêt qui change tout : Cour de cassation, 23 octobre 2024

Un client BNP Paribas se fait soutirer 54 500 euros par un faux conseiller bancaire. La banque refuse de rembourser, arguant que le client a été « négligent ». L'affaire remonte jusqu'à la Cour de cassation.

Verdict : la banque doit rembourser. Les juges estiment que « le mode opératoire — utilisant un numéro de téléphone identique à celui du conseiller bancaire — était de nature à mettre la victime en confiance ».

Depuis le 1er octobre 2024, les opérateurs télécom français doivent authentifier les numéros fixes(mécanisme MAN). Mais les appels mobiles ne sont pas encore couverts.

L'IA clone désormais les voix en quelques secondes

2019. Le directeur britannique d'une filiale d'un groupe énergétique allemand reçoit un appel de son PDG. La voix est parfaitement reconnaissable, l'accent allemand, le ton, les tournures habituelles. Le PDG demande un virement urgent de 220 000 euros.

Ce n'était pas son patron au téléphone, mais une voix synthétique générée par intelligence artificielle. Premier cas documenté de fraude au « deepfake vocal ». Depuis, la technologie s'est démocratisée : quelques secondes d'enregistrement suffisent, une vidéo LinkedIn, un message vocal pour cloner une voix.

CrowdStrike rapporte une hausse de +442% des attaques vishing entre le premier et le second semestre 2024.

💡 Contre-mesure pratique : instaurez un « mot de code » connu uniquement  de l'équipe de direction. Toute demande urgente par téléphone doit inclure ce mot, sinon, on raccroche et on rappelle via le numéro habituel.

QR codes piégés : quand le danger vient des RH

Juin 2024. Plusieurs employés de Sophos, une entreprise de cybersécurité, reçoivent un email concernant leur « plan de retraite 2024 ». Le message contient un PDF avec un QR code à scanner « pour confirmer leurs informations ». L'email semble provenir d'un collègue, le ton est professionnel, le document expire sous 24 heures.

Un employé scanne le code avecson téléphone personnel. Le site clone demande ses identifiants Microsoft 365. Il les entre. L'attaquant récupère instantanément le token MFA et tente d'accéder aux systèmes internes de Sophos. Seules les protections supplémentaires de l'entreprise ont empêché l'intrusion.

Même une entreprise de cybersécurité s'est fait avoir. Le problème : personne n'avait formé les équipes à se méfier d'un QR code dans un PDF interne.

Pourquoi le quishing explose en entreprise

Selon Recorded Future, lesdirigeants sont 42 fois plus ciblés par les attaques QR code que les autres employés. Barracuda a détecté plus de 500 000 emails de phishing avec QRcodes en PDF sur trois mois (juin-septembre 2024). Et 90% de ces attaques visent à voler des identifiants Microsoft ou Google.

Ce qui rend ces attaques redoutables :

•       LeQR code déplace l'attaque vers le smartphone personnel hors du périmètre de sécurité de l'entreprise

•       Les filtres email ne savent pas analyser les QR codes dans les images/PDF (Microsoft Defender le fait depuis fin 2024, mais uniquement pour les emails)

•       Sur mobile, l'URL complète n'est pas visible  impossible de repérer un domaine frauduleux

•      Le prétexte RH/paie fonctionne à tous les coups tout le monde ouvre un email sur son « plan de retraite » ou ses « avantages sociaux »

Les scénarios les plus courants

•       Faux DocuSign/Adobe Sign : « Signez ce document pour valider votre contrat » le QR code mène à une fausse page de connexion Microsoft

•       NotificationMFA : « Votre authentification à deux facteurs expire, scannez pour la renouveler »

•       DocumentRH urgent : mise à jour de coordonnées bancaires, solde de congés, avantages sociaux

•      Fausse facture/bon de commande : « Validez ce paiement fournisseur »

⚠️ Pour votre entreprise : formez vos équipes à ne JAMAIS scanner un QR code professionnel avec leur téléphone personnel. Si un document nécessite une action, elle doit passer par les canaux habituels (portail RH, lien direct vérifié).

Le câble iPhone « oublié » dans votre salle de réunion

Imaginez : vous êtes en déplacement, votre téléphone est presque déchargé, et vous trouvez un câble de charge sur la table de la salle de réunion. Vous le branchez. Ce que vous ne savez pas, c'est que ce câble contient un micro-ordinateur invisible capable d'enregistrer tout ce que vous tapez, d'injecter des commandes, et de transmettre vos données à un attaquant situé jusqu'à 2 kilomètres.

Ce câble existe. Il s'appelle O.MGCable. Il ressemble à un câble Apple ou USB-C standard, même taille, même poids, même finition. La différence : un processeur, une antenne WiFi et un système d'exploitation Linux sont intégrés dans le connecteur, invisible à l'œil nu.

Ce qu'un câble piégé peut faire

•       Keylogger: enregistre toutes vos frappes clavier, mots de passe, emails, documents confidentiels

•       Injection de commandes : exécute des scripts sur votre ordinateur comme si quelqu'un tapait physiquement au clavier

•       Accès à distance : crée un hotspot WiFi invisible permettant à l'attaquant de se connecter à tout moment

•       Effacement des traces : peut supprimer à distance toute preuve de sa présence

•      Fonctionne sur tout : Windows, macOS, Linux,iOS, Android

Le plus inquiétant : aucunantivirus ne le détecte. Le câble agit au niveau matériel, pas logiciel. Votre pare-feu, votre endpoint protection, vos outils de sécurité réseau  tous sont aveugles.

De l'espionnage d'État à l'outil grand public

Il y a dix ans, un tel câble coûtait 20 000 dollars et n'existait que dans les arsenaux des agences de renseignement (le modèle de la NSA s'appelait COTTONMOUTH-I). Aujourd'hui, le O.MG Cable se vend entre 120 et 180 dollars sur des sites spécialisés en sécurité informatique. Officiellement pour les « tests de pénétration ». En pratique, accessible à quiconque veut l'acheter.

Les scénarios d'attaque en entreprise

•       Salle de réunion : un câble « oublié » sur la table attend qu'un visiteur ou un collaborateur le branche

•       Espionnage industriel : un concurrent ou un insider remplace discrètement le câble du dirigeant

•       Aéroports et hôtels : les cadres en déplacement sont des cibles privilégiées

•      Goodies d'entreprise : des câbles promotionnels distribués lors d'un salon peuvent être compromis

En 2023-2024, Mandiant a documenté la campagne SOGU : des clés USB piégées ciblant des entreprises pharmaceutiques, IT et énergie. Les clés contenaient des malwares qui s'activaient dès l'insertion sans que l'utilisateur n'ait besoin de cliquer sur quoi que ce soit.

💡 Contre-mesures : (1) Ne jamais utiliser un câble ou une clé USB dont vous ne connaissez pas l'origine. (2) Restreindre les ports USB via GPO ou Intune. (3) Distribuer des « data blockers » (10€ pièce) aux collaborateurs en déplacement, ils bloquent le transfert de données tout en permettant la charge.

Vos collaborateurs nourrissent l'IA avec vos secrets

Avril 2023. Samsung autorise ses ingénieurs à utiliser ChatGPT pour accélérer leur travail. En moins de trois semaines, trois incidents de fuite de données sont détectés :

•       Un ingénieur copie du code source confidentiel de Samsung pour demander à ChatGPT de corriger un bug

•       Un autre soumet du code d'optimisation pour identifier des défauts sur des semi-conducteurs

•      Un troisième convertit l'enregistrement d'une réunion interne en compte-rendu via ChatGPT avec toutes les informations stratégiques qu'elle contenait

Résultat : Samsung a interdit ChatGPT à tous ses employés et développe désormais sa propre IA interne.

Pourquoi c'est un vrai risque de sécurité

« Mais ChatGPT ne partage pas mes données avec d'autres utilisateurs ! »  c'est ce que pensent la plupart des collaborateurs. La réalité est plus nuancée :

•       Les données sont stockées sur les serveurs d'OpenAI — une entreprise tierce, américaine, soumise au Cloud Act

•       Par défaut, vos conversations servent à entraîner les modèles (sauf si vous désactivez explicitement cette option)

•      Des chercheurs ont prouvé qu'on peut extraire des données d'entraînement  en novembre 2023, Google DeepMind et plusieurs universités ont démontré qu'une attaque simple permettait de récupérer des informations mémorisées par ChatGPT, y compris des emails et numéros de téléphone

En novembre 2025, Tenable a découvert 7 vulnérabilités dans ChatGPT permettant d'exfiltrer les «memories » (les informations que ChatGPT retient sur vous) et l'historique de vos conversations via des attaques de type « prompt injection ».

Ce que vos collaborateurs partagent vraiment

Selon une étude de Cyberhaven, 3,1%des employés utilisant ChatGPT y ont soumis des données confidentielles. Pour une entreprise de 100 personnes, cela représente potentiellement des dizaines de fuites par mois. Les cas les plus fréquents :

•       Code source et documentation technique

•       Données clients (noms, emails, contrats)

•       Documents stratégiques (business plans, présentations investisseurs)

•       Informations RH (salaires, évaluations, données personnelles)

•      Comptes-rendus de réunions confidentielles

JP Morgan, Amazon et Walmartont tous restreint ou interdit l'utilisation de ChatGPT par leurs employés.

💡 Ce qu'il faut faire : (1) Définir une politique clairesur l'utilisation de l'IA générative. (2) Former les équipes aux risques defuite. (3) Envisager des solutions d'IA « on-premise » ou des API avec opt-outde l'entraînement pour les usages sensibles. (4) Utiliser des outils commeAzure OpenAI Service où les données restent dans votre tenant.

rnicrosoft.com : voyez-vous la différence ?

Regardez bien : rnicrosoft.com. C'est écrit « rn » (r puis n), pas « m ». Dans la plupart des polices, ces deux caractères côte à côte ressemblent exactement à un « m ». Ce domaine frauduleux existe depuis 2012 et a servi à d'innombrables campagnes de phishing ciblant les utilisateurs Office 365.

C'est ce qu'on appelle le typosquatting: enregistrer des noms de domaine quasi-identiques à des marques connues. Zscaler a analysé 30 000 de ces domaines frauduleux : 75% ciblent Google, Microsoft et Amazon.

Les techniques utilisées

•       Substitution visuelle : rn→m, vv→w, 1→l, 0→O

•       Caractères cyrilliques : le « а » cyrillique est identique au « a » latin visuellement

•       Combosquatting: microsoft-support.com, office365-login.com

•      Fautes de frappe courantes : gooogle.com,microsofr.com

💡 Action concrète : enregistrez les variantes typosquattées de votre propre nom de domaine (avec rn, vv, 0 au lieu de o). Quelques dizaines d'euros par an pour éviter qu'un attaquant ne les utilise contre vous.

MFA fatigue : quand la double authentification devient le problème

Septembre 2022. Un employé d'Uber reçoit des dizaines de notifications push sur son téléphone : «Approuvez-vous cette connexion ? » Il refuse. Elles continuent. Il refuse encore. Elles ne s'arrêtent pas.

Puis il reçoit un message WhatsApp de quelqu'un qui se présente comme le support IT d'Uber. Épuisé, il clique sur « Approuver ». Le groupe de hackers Lapsus$ obtient un accès complet aux systèmes internes d'Uber.

Microsoft estime à 382 000 le nombre d'attaques MFA fatigue sur 12 mois. Et 1% des utilisateurs approuvent aveuglément dès la première notification non sollicitée.

La solution : Number Matching

Au lieu d'un simple bouton «Approuver / Refuser », Microsoft Authenticator affiche un code à deux chiffres. L'utilisateur doit saisir ce code sur son téléphone. Impossible d'approuver par erreur, il faut avoir l'écran de connexion sous les yeux.

Activation : Entra ID> Protection > Méthodes d'authentification > Microsoft Authenticator> « Number Matching ». Gratuit, inclus dans Business Premium, 5 minutes.

Microsoft 365 Business Premium : ce qui est couvert, ce qui ne l'est pas

‍

‍

‍

‍

‍

Business Premium protège bien l'email, mais laisse des angles morts sur le téléphone, les SMS, les devices physiques et les usages IA. Pour une PME de 50 à 500 personnes, c'est souvent suffisant à condition de compléter par des procédures organisationnelles.

Plan d'action : les 12 mesures qui comptent vraiment

🔴 Cette semaine

1.     Activer Number Matching sur Microsoft Authenticator. 5 minutes, zéro coût.

2.    Protéger les VIP dans Defender : DG, DAF, comptables, acheteurs.

3.     VérifierDMARC/SPF/DKIM sur tous vos domaines.

🟠 Ce mois-ci

4.    Procédure de double validation pour tout virement >5 000€ ou changement de RIB fournisseur.

5.     Mot de code interne pour les demandes urgentes par téléphone.

6.    Politique d'utilisation de l'IA ce qu'on peut et ne peut pas soumettre à ChatGPT& co.

7.     Enregistrer les variantes typo squattées de votre nom de domaine.

🟢 Ce trimestre

8.    Formation multicanale : vishing, smishing, quishing, câbles USB, IA  pas seulement «ne cliquez pas sur les liens ».

9.    MDM sur tous les smartphones qui accèdent aux ressources entreprise (Intuneinclus dans Business Premium).

10.  Restreindre les ports USB via GPO ou Intune  ou distribuer des data blockers.

11.  Évaluer Azure OpenAI Service si vos équipes utilisent l'IA pour des tâches sensibles.

Le mot de la fin

Les 38 millions de Sefri-Cime n'ont pas été volés par des hackers exploitant une faille technique. Ils ont été virés par un comptable qui faisait simplement son travail, en faisant confiance à ce qui ressemblait à une demande légitime.

C'est ça, la réalité des cyberattaques en 2025 : moins de technique, plus de manipulation. Vos outils Microsoft bloquent l'essentiel des menaces techniques. Ce qu'ils ne peuvent pas bloquer, ce sont les attaques qui passent par la confiance humaine.

La bonne nouvelle : ces attaques sont prévisibles, et les contre-mesures sont simples. Elles ne coûtent presque rien. Elles demandent juste qu'on prenne le temps de les mettre en place.

‍