En s’attaquant à RedVDS, un service d’hébergement low-cost largement utilisé pour des campagnes de fraude et de phishing, Microsoft cible un rouage central du cybercrime-as-a-service. L’opération repose sur des actions judiciaires coordonnées aux États-Unis et, pour la première fois, au Royaume-Uni, appuyées par des saisies d’infrastructures en Europe. Une approche qui privilégie la perturbation des services mutualisés sur lesquels s’appuient les attaquants pour opérer à grande échelle.
RedVDS, une infrastructure plus qu’un groupe
RedVDS n’est ni un collectif de cybercriminels ni un outil offensif isolé. Il s’agit d’un service d’abonnement proposant des machines virtuelles prêtes à l’emploi, louées pour quelques dizaines de dollars par mois, et utilisées comme socle technique pour des activités frauduleuses. Ce type de plateforme s’inscrit pleinement dans le modèle du cybercrime-as-a-service, où l’attaque devient un assemblage de briques standardisées, accessibles sans compétences avancées.
Selon Microsoft, ces environnements virtuels, souvent basés sur des logiciels non licenciés, permettaient aux attaquants d’opérer rapidement, de manière anonyme et à grande échelle. Une logique industrielle, qui réduit les coûts d’entrée et complique fortement les efforts d’attribution.
Frapper l’infrastructure pour perturber l’écosystème
L’opération annoncée repose sur une combinaison d’actions civiles engagées aux États-Unis et, pour la première fois, au Royaume-Uni, ainsi que sur la saisie de serveurs en Allemagne, en coordination avec les autorités européennes et Europol. Microsoft indique avoir fait saisir plusieurs domaines clés hébergeant la place de marché RedVDS et les portails clients associés.
Il s’agit de la 35ᵉ action civile menée par la Digital Crimes Unit de l’éditeur. Une stratégie désormais assumée : viser les infrastructures mutualisées qui permettent aux réseaux criminels de se reconfigurer rapidement, plutôt que de se concentrer uniquement sur des individus interchangeables et difficiles à identifier.
Des impacts financiers et opérationnels majeurs
Parmi les victimes citées figure H2-Pharma, une entreprise pharmaceutique américaine ayant subi plus de 7,3 millions de dollars de pertes à la suite d’une fraude par détournement de paiement. Des fonds initialement destinés au financement de traitements médicaux critiques. D’autres cas concernent des structures immobilières ou associatives, touchées lors de transactions financières sensibles.
La fraude par messagerie n’est plus marginale. Elle s’inscrit dans des chaînes d’attaque structurées, capables d’exploiter la confiance, la temporalité des échanges et la complexité des processus métiers.
La France parmi les pays les plus exposés
Entre septembre 2025 et janvier 2026, environ 5 400 comptes de messagerie Microsoft grand public ont été compromis en France via des attaques associées à RedVDS. Sur cette période, l’Hexagone figure parmi les pays les plus touchés, se classant au quatrième rang mondial derrière les États-Unis, le Canada et le Royaume-Uni.
Les campagnes observées reposent majoritairement sur des scénarios de Business Email Compromise. Les attaquants prennent le contrôle d’une boîte mail, observent les échanges pendant parfois plusieurs semaines, puis interviennent au moment critique pour rediriger un paiement ou un virement. Une fraude peu bruyante, fondée sur la connaissance fine des processus internes plutôt que sur l’exploitation de vulnérabilités techniques complexes.
L’IA comme accélérateur de crédibilité
Microsoft souligne l’usage croissant d’outils d’IA générative dans ces campagnes. Analyse automatisée des conversations, identification des transactions à forte valeur, génération de messages imitant le style et le contexte des échanges légitimes : l’IA permet d’augmenter à la fois la vitesse et la crédibilité des attaques.
Dans certains cas, l’éditeur indique avoir observé l’utilisation de technologies de clonage vocal, de manipulation vidéo ou de face-swapping pour renforcer les scénarios d’usurpation d’identité. Une évolution qui complexifie la détection et renforce la pression sur les dispositifs de contrôle organisationnels.
Une mécanique qui favorise les attaques à grande échelle
L’intérêt de RedVDS pour les attaquants résidait dans sa capacité à supporter des volumes massifs d’activité malveillante. En un mois, plusieurs milliers de machines virtuelles distinctes ont été observées envoyant chacune jusqu’à un million de messages de phishing par jour à destination d’utilisateurs Microsoft. Même si la majorité de ces tentatives sont bloquées, le volume suffit à rendre l’attaque économiquement viable.
Depuis septembre 2025, Microsoft estime que des attaques liées à RedVDS ont conduit à la compromission ou à l’accès frauduleux de plus de 190 000 organisations dans le monde. Ces chiffres ne couvrent qu’une partie de l’activité globale, limitée au périmètre observable par l’éditeur.
La surface d’attaque ne se limite plus aux systèmes internes. Elle inclut les usages, les processus métiers et les chaînes de confiance, en particulier autour de la messagerie et des flux financiers. À mesure que les attaquants industrialisent leurs moyens, la résilience passe autant par l’architecture technique que par la gouvernance et les contrôles organisationnels.
