Ils proviennent de l’extérieur, mais tout, dans leur apparence, suggère un mail interne. Une campagne de phishing vise actuellement les entreprises en exploitant un réglage rarement désactivé de Microsoft 365.
On parle souvent de tentatives de phishing déguisées en messages LinkedIn, en fiches de paie piégées ou en portails de connexion douteux. Mais cette fois, les cybercriminels ont fait plus simple et plus efficace en exploitant l’infrastructure de Microsoft 365 elle-même, sans rien pirater, pour envoyer des mails internes… depuis l’extérieur. La campagne, découverte par les équipes de Varonis, cible déjà près de 70 entreprises dans le monde, tous secteurs confondus. Elle s’appuie sur une fonctionnalité légitime mais peu encadrée de Microsoft 365, rarement désactivée par défaut, et qui autorise l’envoi de messages sans authentification : Direct Send.
Direct Send, ou l’art d’entrer sans forcer
Mais qu’est-ce donc que Direct Send ? Pour la faire courte, il s’agit d’une fonctionnalité intégrée à Microsoft 365, conçue à l’origine pour permettre à des équipements internes – imprimantes, scanners, logiciels métiers – d’envoyer des mails sans authentification, en s’appuyant sur le relais SMTP de l’organisation. Le message passe alors par l’infrastructure Microsoft (mail.protection.outlook.com, le smart host chargé de relayer les mails sortants vers Internet).
Dans cette campagne, les attaquants exploitent cette configuration pour envoyer des messages frauduleux d’apparence interne, sans avoir besoin de compte. À l’aide d’un script PowerShell, ils peuvent librement définir l’adresse expéditrice dans la commande d’envoi, y compris une adresse appartenant au domaine de l’entreprise. Le protocole SMTP ne vérifie pas l’identité réelle de l’expéditeur, et dans le cas de Direct Send, aucune authentification supplémentaire n’est exigée.
Or, puisque les mails sont envoyés depuis des IP externes à l’organisation, on aurait logiquement pu s’attendre à ce que les vérifications SPF, DKIM et DMARC échouent à confirmer qu’ils proviennent bien de l’entreprise. Et c’est effectivement le cas. Mais comme les messages transitent par une infrastructure de confiance (le smart host), ils sont traités comme s’ils venaient de l’intérieur, et parviennent tout de même à destination sans déclencher d’alerte.
Le contenu du mail frauduleux reste volontairement banal pour ne pas éveiller les soupçons. Dans la majorité des cas recensés, il s’agit d’une notification de message vocal, accompagnée d’un fichier PDF aux couleurs de l’entreprise ciblée. Dans ce document, pas de lien vers un site de phishing, mais un QR code censé permettre d’écouter le message. Une fois le QR code scanné, la victime est redirigée vers une fausse page de connexion Microsoft, évidemment conçue pour capturer ses identifiants.
Sécuriser Direct Send pour éviter les usurpations internes
De fait, les attaquants n’exploitent aucune vulnérabilité logicielle à proprement parler, et c’est ce qui rend cette campagne très efficace. Cette faille logique repose sur une fonction parfaitement documentée, pensée pour répondre à des cas d’usage spécifiques, mais dont la configuration reste souvent trop permissive. Direct Send permet d’envoyer des mails sans authentification, à condition que le message transite par le smart host associé au domaine Microsoft 365 de l’organisation. En l’absence de restrictions supplémentaires, ce mécanisme peut être détourné pour relayer des messages malveillants comme s’ils provenaient de l’intérieur.
Microsoft le reconnaît d’ailleurs explicitement dans sa documentation. L’éditeur recommande de réserver cette fonction aux administrateurs et administratrices expérimentés, capables de verrouiller leur configuration SMTP et de restreindre les adresses IP autorisées. Mais en pratique, Direct Send reste activé dans de nombreuses configurations par défaut, sans contrôle strict ni surveillance adéquate.
Face aux abus, Microsoft a introduit en avril 2025 une nouvelle option dans Exchange Online, baptisée Reject Direct Send. Ce paramètre permet de bloquer les messages non authentifiés envoyés via le smart host, sans perturber les flux légitimes. Il est encore en préversion publique, mais constitue une réponse directe aux usages détournés de la fonctionnalité.
Il est enfin recommandé de compléter cette mesure par une politique DMARC stricte (p=reject), l’application d’un rejet ferme des échecs SPF (hardfail), l’activation des politiques anti-spoofing de Microsoft 365, ainsi qu’une surveillance active des messages internes non authentifiés. Et puisque ici le lien piégé ne figure pas dans le corps du mail, mais dans un QR code intégré à un PDF, il peut être utile de renforcer la sensibilisation des équipes aux tentatives de phishing visuelles, plus discrètes, et souvent mal prises en charge par les systèmes de détection classiques.
27 juin 2025 à 09h45
