Le gouvernement du Québec a été contraint de fermer plusieurs sites web gouvernementaux en urgence cette semaine, victime d’une cyberattaque massive exploitant une faille critique de Microsoft SharePoint. Cette vulnérabilité, activement exploitée par des groupes de pirates chinois depuis le 18 juillet, a plongé des centaines d’organisations mondiales dans le chaos numérique, transformant ce qui devait être un simple correctif de sécurité en l’une des plus importantes crises cybernétiques de l’année.
Une vulnérabilité découverte lors d’un concours de piratage
L’histoire commence de façon presque comique : lors du concours de piratage Pwn2Own Berlin 2025, des chercheurs en sécurité découvrent deux failles critiques dans SharePoint. Microsoft corrige rapidement le problème en juillet… mais rate complètement sa cible. Les pirates ont trouvé un moyen de contourner le correctif en quelques jours, transformant ce qui devait être un problème réglé en catastrophe mondiale.
« This will have a huge impact as adversaries are laterally moving using this remote code execution with speed », prévient Piet Kerkhofs, directeur technique d’Eye Security, l’entreprise néerlandaise qui a sonné l’alarme le 18 juillet.
Le cocktail explosif : quatre CVE pour un chaos maximal
Cette cyberattaque s’appuie sur une chaîne de quatre vulnérabilités distinctes, baptisées du nom évocateur de « ToolShell ». Mais d’abord, que signifie ce mystérieux acronyme « CVE » qui revient sans cesse dans l’actualité cybersécuritaire ?
Un CVE (Common Vulnerabilities and Exposures) est en quelque sorte le « numéro de plaque d’immatriculation » des failles de sécurité. C’est un système de classification international qui attribue un identifiant unique à chaque vulnérabilité découverte dans les logiciels. Pensez-y comme au numéro de dossier que la police donne à chaque crime : cela permet aux experts du monde entier de parler de la même faille sans confusion. Le score CVSS qui accompagne chaque CVE indique la gravité sur une échelle de 0 à 10, où 10 représente l’apocalypse numérique.
CVE-2025-49704 (Score CVSS : 8,8)
Cette vulnérabilité d’exécution de code à distance permet aux attaquants d’exploiter une faiblesse dans la façon dont SharePoint traite certaines requêtes HTTP. Les pirates peuvent envoyer des données malveillantes qui seront exécutées par le serveur comme du code légitime.
En termes simples : Une faille qui permet aux pirates d’injecter du code malveillant dans SharePoint. Imaginez qu’un voleur puisse glisser ses propres instructions dans le système de sécurité de votre maison.
CVE-2025-49706 (Score CVSS : 6,5)
Cette faille de « spoofing » réseau exploite une faiblesse dans la validation des en-têtes HTTP. Les attaquants peuvent manipuler l’en-tête « Referer » pour faire croire au serveur qu’ils proviennent d’une source de confiance, contournant ainsi les mécanismes d’authentification.
En termes simples : Une vulnérabilité d’authentification qui permet de se faire passer pour un utilisateur légitime. C’est comme si quelqu’un pouvait utiliser un faux badge pour entrer dans un édifice gouvernemental.
CVE-2025-53770 (Score CVSS : 9,8)
Cette faille critique exploite un processus de désérialisation non sécurisé. SharePoint accepte et traite des données sérialisées sans vérification adéquate, permettant aux attaquants d’injecter du code malveillant qui sera automatiquement exécuté lors du traitement.
La star du spectacle : Cette faille critique permet aux attaquants d’exécuter du code à distance sans même avoir besoin de se connecter. Microsoft la décrit comme une « deserialization of untrusted data » — en français : le système fait aveuglément confiance à des données empoisonnées.
CVE-2025-53771 (Score CVSS : 6,3)
Cette vulnérabilité de « path traversal » permet aux attaquants de naviguer dans l’arborescence des fichiers au-delà des répertoires autorisés. En manipulant les chemins d’accès avec des séquences spéciales pour remonter dans les dossiers, ils peuvent accéder à des fichiers système critiques normalement protégés.
Le complice : C’est le passe-partout numérique qui ouvre toutes les portes du serveur, permettant de lire des fichiers de configuration sensibles ou d’écrire des fichiers malveillants dans des emplacements privilégiés.
Le Québec dans la ligne de mire
Le ministère de la Cybersécurité et du Numérique (MCN) du Québec a confirmé mardi que « cette vulnérabilité touche des systèmes de plusieurs gouvernements et entreprises, dont certains ministères et organismes du Québec ». La province a dû fermer « divers sites web de l’administration publique québécoise » en mode préventif.
Parmi les sites touchés, celui de Retraite Québec affichait un message indiquant qu’il « éprouve actuellement des difficultés », laissant des milliers de Québécois dans l’incertitude quant à leurs prestations de retraite.
Une attaque d’envergure planétaire
Les chiffres donnent le vertige : Plus de 8000 serveurs SharePoint sont vulnérables seulement aux États-Unis, dont plus de 85 serveurs sont compromis dans 29 organisations, incluant des multinationales et des entités gouvernementales. L’Agence américaine de cybersécurité (CISA) a d’ailleurs ajouté cette vulnérabilité à sa liste des exploits connus, fixant une date limite de correction au 21 juillet.
« CISA was made aware of the exploitation by a trusted partner and we reached out to Microsoft immediately to take action », explique Chris Butera, directeur exécutif adjoint pour la cybersécurité à la CISA. En français : « CISA a été informée de l’exploitation par un partenaire de confiance et nous avons immédiatement contacté Microsoft pour qu’il prenne des mesures. »
Les acteurs chinois à la manœuvre
Microsoft a identifié plusieurs groupes de pirates chinois derrière ces attaques :
- Linen Typhoon et Violet Typhoon : des acteurs étatiques chinois
- Storm-2603 : un autre groupe basé en Chine
Ces groupes exploitent la faille pour « récupérer, sans autorisation, des identifiants pour ensuite accéder aux serveurs » et « implanter des programmes malveillants ou mettre la main sur des fichiers et des documents ».
Un mécanisme d’attaque diaboliquement simple
L’attaque fonctionne avec une simplicité déconcertante. Les pirates envoient une requête HTTP spécialement conçue vers l’endpoint « /_layouts/15/ToolPane.aspx » avec un en-tête « Referer : /_layouts/SignOut.aspx » falsifié. Cette simple manipulation permet de contourner l’authentification et d’installer un fichier malveillant nommé « spinstall0.aspx ».
Une fois ce cheval de Troie en place, les attaquants peuvent voler les clés cryptographiques du serveur SharePoint, leur donnant un accès permanent même après correction de la faille.
Plus qu’un simple piratage : une porte ouverte sur l’écosystème Microsoft
Ce qui rend cette attaque particulièrement sournoise, c’est l’intégration profonde de SharePoint avec l’écosystème Microsoft. Une fois dans SharePoint, les pirates peuvent accéder à Teams, OneDrive, Outlook et Office. C’est comme si quelqu’un qui forçait la porte d’entrée de votre maison obtenait automatiquement les clés de votre voiture, de votre bureau et de votre chalet.
« L’intégration de SharePoint avec des services comme Outlook, Teams et OneDrive amplifie les répercussions bien au-delà de la brèche initiale », soulignent les experts de Qualys.
Une correction qui arrive après la bataille
Microsoft a publié des correctifs d’urgence pour SharePoint Server 2019 et SharePoint Subscription Edition. Cependant, SharePoint Server 2016 reste vulnérable, Microsoft travaillant encore sur un correctif pour cette version.
Plus préoccupant encore : les experts avertissent que « un correctif standard ne permet pas de réinitialiser automatiquement les secrets cryptographiques volés, ce qui laisse les organisations vulnérables même après l’application du correctif ». En d’autres mots, corriger la faille ne suffit pas ; il faut aussi changer toutes les clés de sécurité.
L’ampleur du problème
Avec plus de 200 millions d’utilisateurs actifs de SharePoint dans le monde, cette faille touche potentiellement des milliers d’organisations. Une recherche rapide sur le moteur Fofa révélait « plus de 200 000 cibles » au moment de la découverte.
Les secteurs les plus touchés incluent les gouvernements, les écoles, les hôpitaux et les grandes entreprises — exactement les cibles que privilégient les groupes d’espionnage étatiques.
SharePoint Online épargné… pour l’instant
Dans ce tableau apocalyptique, une bonne nouvelle : SharePoint Online dans Microsoft 365 n’est pas affecté. Seuls les serveurs SharePoint installés localement sont vulnérables. C’est un argument de poids pour les organisations qui hésitaient encore à migrer vers le cloud.
Les leçons d’une débâcle annoncée
Cette crise révèle plusieurs failles dans l’écosystème de sécurité numérique :
- Les correctifs bâclés : Microsoft a raté sa première correction, créant une fenêtre d’opportunité pour les attaquants
- La dépendance aux monocultures technologiques : Quand SharePoint tombe, c’est tout l’écosystème Microsoft qui vacille
- Le manque de préparation : Trop d’organisations n’avaient pas de plan de contingence pour ce type de crise
Vers un avenir plus sombre ?
Cette attaque marque peut-être un tournant dans la cybersécurité gouvernementale. Les groupes étatiques chinois ont démontré leur capacité à exploiter rapidement les failles de sécurité à une échelle industrielle. Le message est clair : aucun système n’est à l’abri, même après correction.
Pour les citoyens québécois, cette crise soulève des questions légitimes sur la protection de leurs données personnelles stockées dans les systèmes gouvernementaux. Le MCN devra faire preuve de transparence sur l’étendue réelle des dégâts et les mesures prises pour éviter que cela ne se reproduise.
En attendant, une chose est sûre : l’été 2025 restera dans les annales comme celui où Microsoft a appris à ses dépens que dans le monde de la cybersécurité, il n’y a pas de vacances.
Une précision rassurante : seuls les serveurs SharePoint sont directement vulnérables à ces attaques, et non l’ensemble des serveurs Windows Server. Cependant, cette distinction technique cache une réalité plus complexe. Un serveur SharePoint compromis peut servir de tremplin pour accéder à d’autres systèmes du réseau, transformant une vulnérabilité ciblée en compromission généralisée de l’infrastructure.
Petite note personnelle et d’autopromotion : J’ai immédiatement contacté ma clientèle de Service Web Amachamax dès l’annonce de cette vulnérabilité pour répondre aux préoccupations et confirmer que tous les systèmes sous ma gestion demeurent sécuritaires.
