Une nouvelle menace informatique met en lumière les risques liés aux comptes Microsoft Entra ID (ex-Azure Active Directory). Plus de 80 000 comptes utilisateurs ont été ciblés dans une campagne de piratage exploitant un outil open-source de test d’intrusion, baptisé TeamFiltration. Cette attaque massive soulève des préoccupations majeures pour les entreprises utilisant les services cloud comme Microsoft Teams, Outlook, OneDrive ou encore Microsoft 365. Découvrez comment cette tactique sophistiquée s’est déployée sur des infrastructures critiques et ce que cela signifie pour la cybersécurité des entreprises.
Une campagne de piratage d’envergure exploitant un outil open-source
TeamFiltration, un outil d’attaque rendu public
Dévoilé par le chercheur Melvin « Flangvik » Langvik lors de la conférence DEF CON en 2022, TeamFiltration est un framework multi-plateforme dédié à l’énumération, l’exfiltration de données et l’accès persistant aux comptes Microsoft Entra ID. Initialement destiné aux experts en sécurité informatique pour les tests de pénétration, cet outil a été réutilisé à des fins malveillantes dans une campagne baptisée UNK_SneakyStrike par les chercheurs de chez Proofpoint.
85 000 comptes Entra ID dans le viseur
Depuis décembre 2024, une croissance marquée des tentatives de connexions suspectes a été détectée, visant des centaines d’organisations à travers leurs locataires cloud Microsoft. Grâce à TeamFiltration, les pirates ont initié des attaques de password spraying et d’énumération de comptes, permettant de pirater un volume important de comptes utilisateurs. La méthode consiste à utiliser des combinaisons simples de mots de passe sur des milliers de comptes pour déjouer les systèmes de détection.
Une infrastructure mondiale exploitée pour contourner les protections
Une attaque orchestrée via les serveurs AWS
Les auteurs de la menace s’appuient sur une infrastructure cloud robuste, notamment les serveurs Amazon Web Services (AWS), pour lancer les attaques depuis des localisations géographiques variées. Ces attaques sont efficacement masquées grâce à l’usage de serveurs situés aux États-Unis (42 %), en Irlande (11 %) et au Royaume-Uni (8 %), ce qui complique leur détection par les systèmes de sécurité traditionnels.
Explosion des attaques en rafales suivies de périodes de silence
Proofpoint décrit un mode opératoire basé sur des « salves concentrées » : les hackers ciblent intensément plusieurs utilisateurs d’un même tenant avant de marquer une pause de plusieurs jours. Cette stratégie retarde la détection et maximise les chances de succès. Les attaques sont d’autant plus efficaces qu’elles exploitent l’API native de Microsoft Teams pour mener des tests sans soulever de suspicion immédiate.
Des outils de cybersécurité reconvertis en armes numériques
Utilisation détournée d’approches légitimes
Ce scénario rappelle à quel point des outils conçus pour des usages défensifs peuvent être réorientés à des fins offensives. TeamFiltration, en raison de ses fonctionnalités complètes et accessibles, illustre parfaitement cette dérive. Beaucoup de configurations de sécurité en entreprise ne permettent pas encore de se prémunir efficacement contre ces détournements d’outils open-source.
Apprendre à penser comme un attaquant pour mieux se défendre
Comprendre le fonctionnement de ces outils est essentiel pour les professionnels de la cybersécurité. Le livre pour hacker disponible chez CyberCare propose une approche pédagogique pour apprendre à hacker dans un cadre légal. Il offre une immersion complète dans l’univers des tests de sécurité, permettant de mieux anticiper les méthodes utilisées par des individus malintentionnés.
Quels enseignements pour les entreprises face à l’attaque UNK_SneakyStrike ?
Cibler les petits tenants en totalité, les grands de manière sélective
L’analyse montre que les hackers visent l’intégralité des comptes lorsqu’ils infiltrent des petits environnements cloud, tandis qu’ils ne s’attaquent qu’à une fraction choisie de comptes dans les grandes structures. Cette tactique repose sur les capacités de filtrage avancées de TeamFiltration, qui permet de sélectionner les profils les plus stratégiques à pirater.
Renforcement de la sécurité cloud indispensable
Cette attaque démontre la nécessité de sécuriser ses systèmes Microsoft 365 et Azure AD en combinant surveillance des connexions, authenticité multifacteur (MFA), et détection automatisée de comportements suspects. Une vigilance renforcée est requise pour faire face aux attaques distribuées de type password spraying.
Face aux menaces émergentes comme UNK_SneakyStrike, CyberCare accompagne les entreprises avec des solutions de cybersécurité personnalisées, combinant expertise humaine et technologies de défense avancées.
