Faille critique dans SharePoint : une alerte mondiale en cybersécurité
Depuis juillet 2025, une faille de sécurité majeure dans Microsoft SharePoint Server secoue le monde de la cybersécurité. Cette vulnérabilité de type zero-day permet à des attaquants d’exécuter du code à distance sans authentification, compromettant des milliers de serveurs à travers le globe.
Les versions concernées :
- SharePoint Server 2016
- SharePoint Server 2019
- SharePoint Subscription Edition
Conséquences : accès total et persistance furtive
Une fois le serveur compromis, les attaquants peuvent :
- Voler les clés cryptographiques (ValidationKey, DecryptionKey)
- Créer des sessions valides et persister même après correctif
- Exfiltrer des données sensibles
- Se déplacer latéralement vers Outlook, Teams, OneDrive
Plus de 85 serveurs ont déjà été compromis, touchant des gouvernements, banques, universités et entreprises du secteur énergétique.
Pourquoi le correctif ne suffit pas
Microsoft a publié des correctifs le 8 juillet 2025, mais les attaques ont continué. Les pirates contournent les patchs en utilisant des web shells comme spinstall0.aspx, permettant un accès furtif.
Recommandations pour les administrateurs
Voici les mesures urgentes à appliquer :
- Installer les correctifs de sécurité publiés par Microsoft
- Activer AMSI (Antimalware Scan Interface)
- Changer les clés ASP.NET machine via PowerShell (Update-SPMachineKey)
- Redémarrer IIS sur tous les serveurs
- Déconnecter les serveurs d’Internet si le patch ne peut être appliqué
Réflexions
- La faille CVE-2025-53770 est un signal d’alarme pour toutes les organisations utilisant SharePoint Server.
- En choisissant la version cloud non concernée par cette faille, vous subissez le vendor Lock-in (vous êtes contraint de continuer à utiliser un produit parce qu'il n'est pas pratique de passer à un autre fournisseur) et vous placez vos données sous la coupe du droit US (surveillance de nos institutions, administrations, siphonnage de l’innovation...)
- L’intégration des solutions est flatteuse en termes d’expérience utilisateur mais une seule faille permet d’accéder à toutes les données et communications, ici Sharepoint => Outlook, Teams, OneDrive
Conclusions
- Les solutions souveraines devraient être privilégiées (imposées ?) pour le secteur public, les entreprises devraient reconsidérer la balance bénéfices - risques de s’appuyer sur des cloud provider US.
- Ne pas mettre tous ses œufs dans le même panier : le mieux est l’ennemi du bien en matière d’intégration, une sélection d’outils open source avec une authentification unique et un minimum d’intégration via les API suffit pour travailler efficacement (et sans le côté usine à gaz)
- On ne renversera pas la table, mais considérer d’autres options à chaque annonce de fin de support (Sharepoint, Exchange, Windows, Skype...) nous permettrait d’avancer progressivement, pour le bien de nos finances publiques et la protection de nos entreprises.
Crédit photo : IT For Business, lien vers l’article : ici