Le Trésor public sud-africain a découvert un logiciel malveillant sur son site web Infrastructure Reporting Model, qui est son système en ligne de reporting et de surveillance des infrastructures.
Le Trésor a indiqué que le problème était lié aux récentes attaques contre SharePoint, une plateforme web largement utilisée développée par Microsoft pour la collaboration et la gestion de documents.
Les failles de sécurité permettent aux pirates d’accéder aux serveurs SharePoint et de voler des clés qui leur permettent d’usurper l’identité d’utilisateurs ou de services. Cela pourrait leur permettre d’accéder en profondeur aux réseaux compromis afin de voler des données confidentielles.
Microsoft a publié des correctifs pour corriger ces vulnérabilités, mais les chercheurs ont averti que les pirates informatiques pourraient déjà avoir pris pied dans de nombreux serveurs.
« Compte tenu des récentes informations relayées par les médias depuis dimanche concernant des incidents de sécurité affectant les plateformes Microsoft aux États-Unis, le Trésor a sollicité l’aide de Microsoft », a déclaré le Trésor.
Le département a déclaré avoir demandé à Microsoft de l’aider à identifier et à corriger toute vulnérabilité potentielle au sein de son environnement informatique.
Il a également précisé que, bien qu’il ait détecté un logiciel malveillant dans l’un de ses systèmes, ses autres systèmes et sites web continuaient de fonctionner normalement sans aucune perturbation.
Le Trésor américain a déclaré traiter plus de 200 000 e-mails chaque jour et bloquer environ 5 800 menaces de sécurité, notamment des tentatives d’hameçonnage, des infections par des logiciels malveillants et des attaques de spam.
Microsoft a confirmé pour la première fois l’existence d’une vulnérabilité critique et activement exploitée dans SharePoint le samedi 19 juillet 2025.
Dès le dimanche, l’entreprise avait publié plusieurs correctifs et commencé à diffuser des patches pour SharePoint afin de corriger cette faille de sécurité.
Cependant, de nombreux systèmes déjà compromis restaient vulnérables à de nouvelles attaques.
Mardi, Microsoft a accusé des pirates informatiques chinois soutenus par l’État, connus sous les noms de Linen Typhoon et Violet Typhoon, d’être à l’origine des attaques. Il a déclaré qu’un autre groupe de pirates informatiques basé en Chine, appelé Storm-2603, les avait également exploitées.
Bloomberg a rapporté que le nombre d’entreprises et d’organisations compromises par la faille de sécurité dans SharePoint augmentait rapidement.
Eye Security, la société néerlandaise de cybersécurité qui a identifié une première vague d’attaques la semaine dernière, a estimé que les pirates informatiques avaient piraté environ 400 agences gouvernementales, entreprises et autres groupes.
Plus tôt dans la journée, Eye Security avait estimé qu’environ 60 entités avaient été touchées, précisant que la plupart des victimes se trouvaient aux États-Unis, suivis par l’île Maurice, la Jordanie, l’Afrique du Sud et les Pays-Bas.
Le nombre réel de victimes des exploits SharePoint « pourrait être beaucoup plus élevé, car il existe de nombreuses autres façons cachées de compromettre les serveurs sans laisser de traces », a déclaré Vaisha Bernard, copropriétaire d’Eye Security.
« La situation évolue encore, et d’autres adversaires opportunistes continuent d’exploiter les serveurs vulnérables. »
Mme Bernard a déclaré que les organisations compromises dans les violations de SharePoint comprennent de nombreuses entités travaillant dans les services gouvernementaux, éducatifs et technologiques.
Un nombre plus restreint de victimes a également été recensé dans des pays d’Europe, d’Asie, du Moyen-Orient et d’Amérique du Sud.
L’Administration nationale de la sécurité nucléaire, l’agence américaine chargée de la maintenance et de la conception du stock d’armes nucléaires du pays, figurait parmi les organismes piratés.
Edwin Lyman, directeur de la sécurité nucléaire à l’Union of Concerned Scientists, a déclaré que bien que l’Administration nationale de la sécurité nucléaire détienne certaines des informations les plus confidentielles et les plus dangereuses au monde, les réseaux sur lesquels sont stockées les informations classifiées sont isolés d’Internet.
« Même si ces réseaux ont été compromis, je ne vois pas comment ces informations auraient pu être transmises à des adversaires », a déclaré M. Lyman.
« Mais il existe d’autres catégories d’informations sensibles mais non classifiées, qui peuvent être traitées avec moins de précaution et qui ont peut-être été exposées. Cela inclut certaines informations relatives aux matières nucléaires et même aux armes nucléaires. »
Selon des informations publiées par Bloomberg et le Washington Post, les National Institutes of Health ont également été touchés par les failles de SharePoint.
Toutefois, un porte-parole a déclaré qu’il n’y avait actuellement aucune indication que des informations aient été compromises à la suite de cette vulnérabilité.
Les pirates ont également utilisé les failles de SharePoint pour s’introduire dans les systèmes du ministère américain de l’Éducation, du ministère du Revenu de Floride et de l’Assemblée générale de Rhode Island.
Ces piratages font partie des dernières violations majeures que Microsoft a imputées, au moins en partie, à la Chine et surviennent dans un contexte de tensions accrues entre Washington et Pékin sur les questions de sécurité mondiale et de commerce.
Les États-Unis ont critiqué à plusieurs reprises la Chine pour ses campagnes qui auraient permis de voler des secrets gouvernementaux et d’entreprises pendant des décennies.
Selon Sveva Scenarelli, analyste des menaces chez Recorded Future, les pirates informatiques soutenus par l’État ont tendance à exploiter en masse les failles majeures en matière de cybersécurité, comme la vulnérabilité de SharePoint.
Ils commencent par des piratages secrets et ciblés, puis, une fois la vulnérabilité découverte, ils commencent à l’exploiter de manière plus indiscriminée, a-t-elle déclaré.
« Une fois l’accès obtenu, les groupes de menaces individuels peuvent alors trier les organisations compromises et donner la priorité à celles qui présentent un intérêt particulier pour les activités de suivi », a déclaré Mme Scenarelli, de la société de cyber-renseignement Insikt Group.
Elle a ajouté que cela peut inclure la recherche de moyens pour maintenir l’accès à un réseau compromis, s’enfoncer plus profondément et mettre en place des voies pour voler des informations sensibles.
Attaques parrainées par des États contre les logiciels Microsoft
Microsoft a accusé la Chine à plusieurs reprises d’être à l’origine d’importantes cyberattaques. En 2021, une opération présumée chinoise a compromis des dizaines de milliers de serveurs Microsoft Exchange.
En 2023, une autre attaque présumée chinoise contre Microsoft Exchange a compromis les comptes de messagerie électronique de hauts responsables américains. Une enquête menée par le gouvernement américain a ensuite accusé Microsoft d’une « cascade de défaillances de sécurité » dans le cadre de l’incident de 2023.
Eugenio Benincasa, chercheur spécialisé dans l’analyse des cyberattaques chinoises, a déclaré que les membres des groupes identifiés par Microsoft avaient déjà été inculpés aux États-Unis pour leur implication présumée dans des campagnes de piratage.
M. Benincasa, qui travaille au Centre d’études sur la sécurité de l’ETH Zurich, a déclaré qu’ils étaient bien connus pour leurs « activités d’espionnage à grande échelle ».
Cependant, il a également déclaré que les violations de SharePoint étaient probablement le fait de groupes intermédiaires travaillant avec le gouvernement plutôt que d’agences gouvernementales chinoises menant directement le piratage.
Il a ajouté que des sociétés privées de piratage informatique dans le pays participaient parfois à des opérations de « piratage à la demande ».
« Maintenant qu’au moins trois groupes auraient exploité la même vulnérabilité, il est plausible que d’autres suivent », a-t-il déclaré.
« La cybersécurité est un défi commun à tous les pays et doit être relevé conjointement par le dialogue et la coopération », a déclaré Guo Jiakun, porte-parole du ministère chinois des Affaires étrangères.
« La Chine s’oppose et lutte contre les activités de piratage informatique conformément à la loi. Dans le même temps, nous nous opposons aux calomnies et aux attaques contre la Chine sous prétexte de problèmes de cybersécurité. »
Microsoft a déclaré que Linen Typhoon a été identifié pour la première fois en 2012 et se concentre sur le vol de propriété intellectuelle, ciblant principalement les organisations liées au gouvernement, à la défense, à la planification stratégique et aux droits de l’homme.
Violet Typhoon, observé pour la première fois en 2015, était « dédié à l’espionnage » et ciblait principalement d’anciens membres du gouvernement et du personnel militaire, des organisations non gouvernementales, ainsi que les secteurs des médias et de l’éducation aux États-Unis, en Europe et en Asie de l’Est.
