Une vaste campagne de phishing ciblant plus de 6 000 entreprises détourne les notifications SharePoint et les services de signature électronique. En exploitant des mécanismes de redirection de confiance, les attaquants franchissent les filtres de sécurité traditionnels et brouillent encore davantage la frontière entre légitimité et fraude.
Une campagne mondiale aux allures de banalité dangereuse
L’écosystème des signatures électroniques et du partage de documents est devenu un maillon critique des opérations financières. Ce sont précisément ces habitudes, comme cliquer rapidement sur une notification SharePoint, valider un contrat en ligne ou encore récupérer une pièce jointe « sécurisée », que les cybercriminels exploitent aujourd’hui avec une efficacité préoccupante. Les chercheurs de Check Point Research viennent de dévoiler une campagne d’ampleur internationale qui illustre à quel point les modèles de confiance peuvent être retournés contre les organisations.
Selon les données télémétriques de l’éditeur, plus de 40 000 e-mails frauduleux ont été adressés en deux semaines à environ 6 100 entreprises, principalement aux États-Unis et en Europe, mais aussi au Canada, en Asie-Pacifique et au Moyen-Orient. Les secteurs les plus exposés sont ceux qui manipulent quotidiennement contrats, factures et documents transactionnels : conseil, tech, construction/immobilier, finance ou santé. Rien d’étonnant, puisqu’un workflow numérique riche en notifications est une aubaine pour un attaquant qui ne cherche qu’à se fondre dans le décor.
Quand les attaquants détournent les mécanismes de confiance
Ce qui distingue cette opération des campagnes déjà observées, ce n’est ni le volume ni la thématique. C’est la manière dont les attaquants exploitent les mécanismes de protection eux-mêmes. Tous les liens piégés transitent par une URL de réécriture sécurisée de Mimecast, un service bien identifié des entreprises. Le lien final, pourtant malveillant, hérite ainsi d’un vernis de confiance suffisant pour contourner les filtres et rassurer les utilisateurs. Les e-mails imitent par ailleurs avec soin les éléments visuels et structurels des notifications SharePoint ou d’outils comme eSignDoc ou DocuSign.
Une variante DocuSign encore plus furtive
Une déclinaison plus discrète de la campagne cible spécifiquement l’écosystème DocuSign. Là encore, la stratégie consiste à s’appuyer sur des redirections légitimes tels que Bitdefender GravityZone, puis le service de tracking Intercom pour masquer entièrement l’URL finale de phishing. Dans cette version, l’utilisateur n’a aucun moyen de vérifier la destination réelle, même en survolant le lien et la redirection tokenisée fait écran. Cette technique illustre une tendance croissante, celle d’effacer tout indice visible pour pousser la victime à cliquer sans questionner la légitimité de la notification.
Le phishing change d’échelle : la confiance devient la faille
Ces deux techniques soulignent une évolution marquante du phishing : la frontière ne se joue plus uniquement sur la sophistication visuelle de l’e-mail, mais sur la chaîne de redirection, désormais exploitée comme vecteur d’ingénierie sociale à part entière. Tant que les organisations continueront d’associer automatisme, productivité et confiance absolue dans les notifications d’outils tiers, cette surface d’attaque restera un angle mort. Le problème n’est donc plus seulement technique, il touche au design même des usages professionnels.
Former, vérifier, contextualiser : les réflexes indispensables
Pour limiter l’exposition, les bonnes pratiques restent essentielles. Il convient d’analyser attentivement les expéditeurs et les liens, vérifier manuellement dans l’outil d’origine plutôt qu’en passant par le bouton « Consulter le document », sensibiliser régulièrement les équipes, et renforcer les moteurs anti-phishing. Les campagnes comme celle-ci rappellent surtout que la sécurité de la messagerie ne se résume plus à détecter un lien suspect, mais à comprendre le contexte de confiance dans lequel il s’insère.
