Teams: Panne mondiale 💬, M365: Hackers, Cisco: Attaque

A la une aujourd’hui:

  • Microsoft Teams confronté à une panne mondiale : messages retardés et fonctionnalités perturbées
  • Des pirates russes exploitent l’authentification par code d’appareil pour compromettre Microsoft 365
  • Des centaines de clients Cisco vulnérables à une nouvelle campagne de piratage chinoise
  • Microsoft Teams confronté à une panne mondiale : messages retardés et fonctionnalités perturbées
  • Plus de 25 000 appareils Fortinet exposés à des attaques d’authentification critiques
  • Le ministère des Sports victime d’une cyberattaque

Microsoft Teams confronté à une panne mondiale : messages retardés et fonctionnalités perturbées

Points Clés :

  • Microsoft Teams subit une panne affectant des milliers d’utilisateurs dans le monde entier
  • Les problèmes incluent des retards dans l’envoi de messages et des dysfonctionnements sur toutes les plateformes
  • Microsoft a confirmé l’incident et a annoncé un rétablissement complet après environ une heure

Description :

Microsoft Teams a connu une panne majeure ce vendredi 19 décembre, débutant à 18h30 heure de Paris, touchant des milliers d’utilisateurs aux États-Unis, en Europe et dans d’autres régions. Les utilisateurs ont signalé des retards dans l’envoi de messages et des problèmes avec diverses fonctionnalités du service, affectant toutes les versions de l’application, y compris sur Windows et mobile.

Pourquoi c’est important :

Cette perturbation souligne la dépendance croissante des entreprises aux outils de collaboration en ligne comme Teams. Même une interruption d’une heure peut avoir un impact significatif sur la productivité et les communications professionnelles à l’échelle mondiale. L’incident rappelle l’importance d’avoir prévu des communications alternatives dans le plan de continuité d’activité.

Des pirates russes exploitent l’authentification par code d’appareil pour compromettre Microsoft 365

Points Clés :

  • Un groupe lié à la Russie exploite le mécanisme d’autorisation par code d’appareil OAuth pour compromettre des comptes Microsoft 365
  • Les attaques ciblent des organisations gouvernementales, militaires et éducatives aux États-Unis et en Europe
  • La technique devient populaire parmi divers acteurs malveillants grâce à des outils comme Graphish et SquarePhish

Description :

Proofpoint a identifié une campagne de phishing menée par un groupe baptisé UNK_AcademicFlare, probablement lié à la Russie. Les attaquants utilisent des adresses email compromises pour établir un contact avec les victimes, puis partagent un lien qui redirige vers un flux d’authentification par code d’appareil Microsoft légitime, permettant ainsi le vol d’identifiants et la prise de contrôle de comptes.

Pourquoi c’est important :

Cette technique sophistiquée contourne les méthodes traditionnelles de protection contre le phishing et ne nécessite pas de compétences techniques avancées, ce qui la rend accessible à divers acteurs malveillants. Les organisations peuvent se protéger en créant des politiques d’accès conditionnel qui bloquent ou limitent l’authentification par code d’appareil, essentiel pour prévenir les compromissions de comptes Microsoft 365.

Des centaines de clients Cisco vulnérables à une nouvelle campagne de piratage chinoise

Points Clés :

  • Des pirates soutenus par le gouvernement chinois exploitent une vulnérabilité zero-day dans les produits Cisco (couvert lors de veille cyber du 19 décembre)
  • Environ 220 passerelles de messagerie Cisco exposées à Internet sont vulnérables
  • Aucun correctif n’est disponible, la seule solution est de restaurer les appareils affectés

Description :

Cisco a révélé qu’un groupe de pirates soutenus par le gouvernement chinois exploite une vulnérabilité (CVE-2025-20393, CVSS 10.0) ciblant ses clients entreprises. Selon les chercheurs de Shadowserver et Censys, des centaines de systèmes Cisco sont potentiellement vulnérables, principalement en Inde, Thaïlande et États-Unis. Les produits affectés incluent Secure Email Gateway et Secure Email and Web Manager.

Pourquoi c’est important :

Cette campagne de piratage, active depuis novembre 2025, représente une menace sérieuse car aucun correctif n’est actuellement disponible. Les systèmes ne sont vulnérables que s’ils sont accessibles depuis Internet et si la fonction « quarantaine de spam » est activée. La seule solution recommandée par Cisco est de restaurer complètement les appareils compromis, ce qui souligne la gravité de cette menace pour les infrastructures critiques des entreprises.

Microsoft déploie une mise à jour d’urgence pour résoudre les Problèmes MSMQ sous Windows 10 ESU

Points Clés :

  • La mise à jour de sécurité étendue (ESU) de Windows 10 a perturbé la fonctionnalité Message Queuing (MSMQ)
  • Microsoft propose une mise à jour hors bande (KB5074976) via Update Catalog uniquement
  • Le problème affecte principalement les environnements d’entreprise, rarement les utilisateurs personnels

Description :

La récente mise à jour de sécurité de Windows 10 a provoqué des dysfonctionnements dans le service Message Queuing (MSMQ), utilisé par les entreprises pour gérer les tâches en arrière-plan. Microsoft a identifié une solution et déploie maintenant une mise à jour d’urgence (KB5074976), disponible uniquement via Update Catalog et non par Windows Update ou WSUS.

Pourquoi c’est important :

MSMQ est un composant critique pour de nombreuses entreprises, permettant la gestion des tâches en arrière-plan. Les dysfonctionnements peuvent entraîner des files d’attente inactives, des messages d’erreur concernant les ressources insuffisantes et l’impossibilité d’écrire dans les files d’attente. Cette situation souligne l’importance de tester rigoureusement les mises à jour de sécurité avant leur déploiement, particulièrement dans les environnements critiques.

Plus de 25 000 appareils Fortinet exposés à des attaques d’authentification critiques

Points Clés :

  • Plus de 25 000 appareils Fortinet avec FortiCloud SSO activé sont exposés sur Internet
  • Des attaquants exploitent activement la faille d’authentification CVE-2025-59718/59719
  • La CISA a ordonné aux agences gouvernementales américaines de corriger cette vulnérabilité avant le 23 décembre

Description :

Shadowserver a identifié plus de 25 000 appareils Fortinet vulnérables exposés en ligne avec la fonction FortiCloud SSO activée. Cette vulnérabilité critique d’authentification (couvert dans veille cyber du 11 décembre) permet aux attaquants d’accéder aux interfaces d’administration via des messages SAML malveillants, compromettant ainsi les comptes administrateurs et exposant des informations sensibles comme les configurations système et les mots de passe hachés.

Pourquoi c’est important :

Les vulnérabilités Fortinet sont régulièrement ciblées par des groupes de cyberespionnage et de rançongiciels. Cette faille d’authentification permet un accès administrateur complet aux appareils exposés, révélant potentiellement des informations critiques sur l’infrastructure réseau et les politiques de sécurité. L’exploitation active de cette vulnérabilité souligne l’urgence pour les organisations de mettre à jour leurs systèmes Fortinet afin d’éviter des compromissions majeures.

Le ministère des Sports victime d’une cyberattaque

Points Clés :

  • Le ministère des Sports a subi une exfiltration de données touchant 3,5 millions de foyers
  • Les données personnelles du dispositif Pass Sport ont été compromises et rendues accessibles
  • Cette attaque survient peu après celle du ministère de l’Intérieur du 11-12 décembre

Description :

Le ministère des Sports a confirmé une cyberattaque ayant permis l’exfiltration de données personnelles concernant 3,5 millions de foyers. Les informations compromises incluent identités, adresses, emails et numéros de téléphone des bénéficiaires du Pass Sport. Le ministère prévoit d’informer les personnes touchées et de leur fournir des recommandations de sécurité.

Pourquoi c’est important :

Cette fuite représente un risque significatif pour la sécurité des jeunes et de leurs parents dont les données ont été exposées. L’incident s’inscrit dans une série préoccupante de cyberattaques contre les institutions françaises, survenant juste après celle du ministère de l’Intérieur. Ces attaques répétées soulèvent des questions sur la sécurité des systèmes d’information gouvernementaux et la protection des données des citoyens.