Ce nouvel article de la série « Anatomie » se penche sur une forme d’attaque discrète et pernicieuse, révélée par les équipes de Cloudflare. Loin des compromissions bruyantes ou des dénis de service visibles, cette campagne d’hameçonnage s’est glissée dans les flux quotidiens de l’entreprise en s’appuyant sur ce que les utilisateurs considèrent généralement comme un gage de sécurité : les liens réécrits automatiquement par les outils de protection de messagerie.
En exploitant les systèmes de « link wrapping » déployés par des acteurs de confiance comme Proofpoint et Intermedia, les assaillants sont parvenus à camoufler des liens malveillants derrière des URL présentées comme filtrées et sécurisées. Ce type d’attaque, qui ne repose ni sur une faille technique ni sur une charge virale, relève d’une tactique éprouvée : celle de l’attaque qui altère la perception pour générer la confiance. Inspirer la confiance pour mieux en abuser. Il ne s’agit pas de forcer la porte, mais de faire en sorte qu’on l’ouvre soi-même. Le numérique n’a fait que systématiser et industrialiser cette mécanique vieille comme le monde.
Microsoft 365, vitrine idéale pour les pages d’hameçonnage
Cette campagne visait essentiellement des entreprises utilisant Microsoft 365, en s’appuyant sur des messages d’apparence légitime — notifications de messagerie vocale, documents partagés ou alertes de sécurité — pour amener les destinataires à saisir leurs identifiants sur une page d’hameçonnage. L’approche, si elle n’est pas nouvelle dans son principe, franchit un cap dans sa mise en œuvre, en brouillant la frontière entre protection apparente et manipulation malveillante. Microsoft 365 figure parmi les services les plus régulièrement ciblés par les attaquants, en raison de sa large adoption dans les entreprises et de la valeur stratégique des identifiants qu’il centralise.En retraçant les étapes de cette attaque, Cloudflare met en évidence les leviers techniques et cognitifs qu’elle active, et les enseignements que les responsables cybersécurité peuvent en tirer. Car comprendre comment une attaque fonctionne, c’est déjà savoir
comment la neutraliser.
Les attaquants à l’origine de cette campagne ne s’en sont pas pris frontalement aux infrastructures de sécurité : ils en ont détourné les mécanismes internes, un contournement orchestré de l’intérieur. Le procédé reposait sur l’exploitation de comptes de courriels déjà protégés par les systèmes de sécurité. Les courriels envoyés depuis ces comptes légitimes contenaient des liens qui, à première vue, semblaient inoffensifs : ils étaient automatiquement réécrits sous des formes reconnaissables comme urldefense.proofpoint.com ou url.emailprotection.link.
En pratique, cette réécriture masquait la véritable destination aux filtres et aux utilisateurs, tout en affichant des attributs rassurants. L’effet de levier reposait donc sur la confiance implicite accordée à ces domaines de réécriture, ce qui permettait aux messages d’échapper aux contrôles classiques.
Une chaîne d’attaque en plusieurs couches
Cette campagne s’est construite sur une logique séquentielle maîtrisée. Chaque étape renforçait la crédibilité de l’ensemble, en s’appuyant sur les repères familiers des environnements bureautiques modernes.Le cheminement vers la compromission suivait une logique structurée :
- Les attaquants ont d’abord pris le contrôle d’un compte de courriel authentique, compromis au préalable via une attaque par bourrage d’identifiants ou
par hameçonnage ciblé. - Ils ont ensuite utilisé ce compte pour diffuser un courriel contenant un lien Bitly (une URL raccourcie créée à l’aide du service Bitly) ou un lien déjà réécrit par les outils de sécurisation.
- Ce lien déclenchait une série de redirections masquées, combinant raccourcissement, réécriture et redirection vers un site malveillant.
- L’utilisateur aboutissait enfin sur une fausse page Microsoft 365, conçue pour lui soutirer ses identifiants sous couvert de consulter un message vocal ou un document confidentiel.
Une mécanique éprouvée d’ingénierie de la confiance
Ce mode opératoire illustre une évolution notable des cyberattaques. Les attaquants n’exploitent plus uniquement des vulnérabilités techniques, mais s’appuient sur une orchestration fine des signaux de confiance. En détournant les mécanismes de protection eux-mêmes, ils sont parvenus à diffuser des charges malveillantes tout en contournant les protections établies. La page finale, usurpant l’identité de Microsoft 365, incluait parfois un code d’accès à usage unique, destiné à renforcer l’effet de légitimité. Ces campagnes visaient principalement des utilisateurs professionnels dans des environnements anglophones, francophones et germanophones, avec des scénarios d’usurpation variés, allant du message vocal au fichier partagé à caractère confidentiel.Depuis la nuit des temps, les escrocs ne cherchent pas à se cacher : ils cherchent plutôt à être vus, et, grâce à de faux attributs, pris pour ce qu’ils ne sont pas. Ce qui compte n’est pas l’invisibilité, mais de fausser la lecture des informations. L’efficacité de ce genre d’attaque tient précisément à cette ambiguïté entretenue, et l’usurpation réussie repose sur ce décalage entre l’apparence et l’intention. L’attaquant exploite le réflexe humain de validation implicite. Ce brouillage maîtrisé entre ce qui est réel et ce qui est simulé constitue aujourd’hui le cœur de la réussite des campagnes d’hameçonnage les plus avancées. Le camouflage n’est plus une affaire de dissimulation, mais de mimétisme. Et dans ce jeu d’apparences, la confiance de l’utilisateur devient le levier principal
de la compromission.
Un faisceau de leçons pour les responsables sécurité
Cette attaque révèle plusieurs angles morts dans les pratiques de cybersécurité en entreprise. La confiance dans les domaines de réécriture ne suffit plus : il devient impératif d’analyser la chaîne complète de redirection jusqu’à la destination. La surveillance des comptes internes doit être renforcée. Un compte compromis à l’intérieur d’un périmètre protégé peut aujourd’hui devenir un vecteur de diffusion particulièrement difficile à détecter. Quant aux solutions de filtrage, elles montrent leurs limites dès lors que les signaux analysés sont eux-mêmes manipulés pour inspirer confiance.La réponse passe donc par une lecture plus contextuelle des messages, intégrant la cohérence du lien avec le contenu, la temporalité, l’historique d’activité du compte et les usages habituels des destinataires. Enfin, les campagnes de sensibilisation doivent évoluer : il ne s’agit plus seulement de repérer des pièces jointes ou des domaines suspects, mais bien d’apprendre à douter des liens qui paraissent sécurisés, y compris lorsqu’ils sont générés par des services de confiance.
Vers une cybersécurité orientée trajectoires
Ce type d’attaque met en lumière une faille conceptuelle plus large : les mécanismes de sécurité fondés sur la réputation ou la légitimité peuvent eux aussi être exploités. L’approche défensive doit donc se transformer pour inclure la surveillance des outils eux-mêmes et l’analyse des comportements inattendus dans des flux considérés comme sûrs. La confiance, dans un système distribué, devient un angle mort potentiel. Il est désormais essentiel de concevoir des architectures de sécurité capables de s’adapter, non seulement aux menaces externes, mais aussi aux usages détournés des dispositifs internes.Pour contrer ce type de contournement, il ne suffit plus de s’en remettre à des filtres statiques ou à des listes blanches. L’analyse doit porter sur la trajectoire complète du message, depuis son origine jusqu’à sa destination réelle. Cela suppose une capacité à tracer les redirections, à détecter les enchaînements inhabituels et à croiser les signaux faibles dans une logique de corrélation active. Les capacités d’analyse comportementale doivent aussi progresser, afin d’identifier une incohérence même lorsque tous les éléments visibles semblent conformes.
En retournant les outils de sécurité contre ceux qu’ils sont censés protéger, les attaquants franchissent un nouveau palier dans la sophistication. Dans un environnement numérique où les signaux de confiance peuvent être simulés ou instrumentalisés, la cybersécurité ne peut plus se limiter à valider des apparences. Elle doit interroger, corréler, et surveiller les trajectoires. La confiance, aujourd’hui, ne s’accorde plus par défaut : elle se construit, se vérifie et se maintient dans le temps.