Storm-2949 exploite la réinitialisation de mot de passe Microsoft 365 pour siphonner les données cloud

Storm-2949 exploite la réinitialisation de mot de passe Microsoft 365 pour siphonner les données cloud

Microsoft a publié des détails sur une campagne sophistiquée en plusieurs étapes menée par un acteur malveillant suivi sous le nom de Storm-2949, ciblant des organisations utilisant des environnements Microsoft 365 et Azure. Ce qui rend cette attaque par vol d’identifiants cloud particulièrement frappante, c’est le point d’entrée : une fonctionnalité que la plupart des administrateurs considèrent comme routinière et à faible risque, à savoir la réinitialisation de mot de passe en libre-service (SSPR). Une fois à l’intérieur, les attaquants se sont déplacés silencieusement dans OneDrive, SharePoint et les bases de données SQL, extrayant des données de grande valeur avant d’être détectés.

Cette campagne rappelle de manière cinglante que les plateformes cloud ne sont jamais plus sûres que les configurations et les présupposés qui les entourent.

Comment Storm-2949 a transformé la réinitialisation de mot de passe en libre-service en arme

La réinitialisation de mot de passe en libre-service est une fonction de confiance largement déployée. Elle permet aux employés de retrouver l’accès à leur compte sans contacter le service informatique, réduisant ainsi la charge du support et les temps d’arrêt. La plupart des équipes de sécurité la considèrent comme inoffensive. Storm-2949 l’a traitée comme une porte d’entrée.

En exploitant les fonctionnalités SSPR, l’acteur malveillant a pu compromettre les identités des utilisateurs sans avoir besoin de casser des mots de passe par force brute ni de déployer un malware. L’attaque a tiré parti de faiblesses dans la façon dont la SSPR est configurée ou vérifiée, permettant au groupe de prendre le contrôle de comptes légitimes. Une fois les identifiants réinitialisés et l’accès établi, les attaquants se sont fondus dans l’activité normale des utilisateurs, rendant la détection comportementale nettement plus difficile.

Cette approche est notable car elle contourne bon nombre des signaux que les outils de sécurité des terminaux sont conçus pour capter. Il n’y a pas d’exécutable malveillant, pas de téléchargement suspect, pas de signature d’intrusion évidente. L’attaquant se connecte simplement en tant qu’utilisateur valide.

Quelles données ont été exposées — et pourquoi le stockage cloud est une cible de grande valeur

Après avoir obtenu l’accès initial, Storm-2949 s’est déplacé dans l’écosystème Microsoft 365 et Azure avec un objectif clair : extraire autant de données de grande valeur que possible. OneDrive et SharePoint, utilisés dans la plupart des environnements d’entreprise pour le stockage et la collaboration documentaire, ont été les cibles principales. Des bases de données SQL connectées à l’infrastructure Azure ont également été consultées et exfiltrées.

L’ampleur de ce que les organisations modernes stockent dans ces services en fait une cible évidente pour les acteurs malveillants sophistiqués. Contrats commerciaux, dossiers financiers, données clients, communications internes et recherches propriétaires se trouvent fréquemment dans SharePoint ou OneDrive. Les bases de données SQL connectées à Azure contiennent souvent des données opérationnelles structurées qui peuvent être monétisées ou utilisées pour des attaques ultérieures.

Ce schéma reflète étroitement ce qui a été observé dans d’autres incidents de collecte d’identifiants à grande échelle. L’attaque par vishing des ShinyHunters qui a exposé 40 millions d’enregistrements de Charter Communications a suivi une logique similaire : obtenir un accès d’apparence légitime, puis extraire autant de données que possible avant que les défenseurs ne réagissent. Le stockage cloud concentre une valeur énorme en un seul endroit, ce qui précisément en fait une cible.

Pourquoi les attaques basées sur les identifiants contournent les défenses traditionnelles

L’architecture de sécurité traditionnelle a été construite autour de l’idée que les attaquants forcent l’entrée. Ils exploitent des vulnérabilités logicielles, déploient des malwares ou interceptent le trafic réseau. Les défenses périmétriques, les antivirus et les systèmes de détection d’intrusion ont tous été conçus pour repérer ces comportements.

Les attaques basées sur les identifiants renversent cette hypothèse. L’attaquant ne force rien ; il entre en marchant. Lorsque Storm-2949 utilise la SSPR pour prendre le contrôle d’un compte légitime, chaque action ultérieure ressemble à celle d’un utilisateur travaillant normalement. Les journaux d’accès aux fichiers montrent une identité reconnue. Le trafic réseau provient de services attendus. Les seuils d’alerte réglés pour détecter un comportement anormal peuvent ne jamais se déclencher.

C’est la même catégorie de risque qui rend les vulnérabilités des navigateurs et des plateformes si dangereuses. Les chercheurs de Pwn2Own Berlin 2026 ont démontré comment des zero-days de Windows 11 et Edge pouvaient être enchaînés pour obtenir un accès profond au système, illustrant que même les plateformes grand public de confiance comportent des faiblesses exploitables. La campagne de Storm-2949 montre que l’infrastructure d’identité cloud comporte la même catégorie de risque.

Une fois que les attaquants ont établi une tête de pont grâce à l’identité plutôt que par des failles, le confinement devient nettement plus complexe.

Mesures d’atténuation pratiques : MFA, journaux d’audit et configuration cloud plus intelligente

La campagne Storm-2949 indique des mesures concrètes que les organisations et les particuliers peuvent prendre pour réduire leur exposition.

Auditez votre configuration SSPR. Si la réinitialisation de mot de passe en libre-service est activée, vérifiez quelles méthodes de vérification sont exigées. Les options de récupération par téléphone peuvent être interceptées ou faire l’objet d’ingénierie sociale. Exiger plusieurs facteurs, ou restreindre la SSPR aux seuls appareils gérés, relève considérablement la barre pour les attaquants.

Appliquez une authentification multifacteur (MFA) résistante au phishing sur tous les comptes. L’authentification multifacteur standard par SMS offre une protection réelle mais reste vulnérable à l’échange de carte SIM et à certaines tactiques d’ingénierie sociale. Les clés de sécurité physiques ou les authentificateurs basés sur une application utilisant les normes FIDO2 sont considérablement plus difficiles à détourner.

Révisez les stratégies d’accès conditionnel. Microsoft 365 et Azure offrent tous deux des contrôles d’accès conditionnel qui peuvent restreindre les connexions en fonction de la conformité des appareils, de l’emplacement et des signaux de risque. De nombreuses organisations disposent de ces fonctionnalités mais ne les utilisent pas.

Surveillez les schémas d’accès aux données anormaux. Même lorsqu’un attaquant utilise des identifiants légitimes, l’accès à des centaines de documents SharePoint ou le téléchargement de gros volumes de fichiers OneDrive dans une courte fenêtre doit déclencher des alertes. Configurer Microsoft Defender for Cloud Apps ou des outils de surveillance équivalents pour signaler l’accès massif aux données constitue une couche de détection pratique.

Envisagez des protections au niveau du réseau pour l’accès au cloud. L’utilisation d’un VPN pour imposer que l’accès aux services cloud ne se fasse que par des chemins réseau connus et surveillés peut aider à limiter la surface d’attaque en cas d’utilisation abusive d’identifiants depuis des emplacements inconnus.

Ce que cela signifie pour vous

Que vous gériez un grand environnement d’entreprise ou que vous utilisiez Microsoft 365 à titre personnel pour le travail, la campagne Storm-2949 montre que la sécurité du cloud n’est pas une fonctionnalité activée par défaut. Des plateformes comme Microsoft 365 et Azure fournissent de puissants outils de sécurité, mais ces outils nécessitent une configuration délibérée et une surveillance continue pour être efficaces.

Si votre organisation s’appuie sur le stockage cloud pour des données sensibles, il est temps d’auditer vos contrôles d’identité et d’accès. Plus précisément, passez en revue qui a la SSPR activée, comment elle est vérifiée, si l’authentification multifacteur est appliquée de manière cohérente et si la surveillance des accès aux données est active.

Présupposer que la plateforme gère automatiquement la sécurité, c’est précisément la posture que cette campagne a exploitée. Quelques heures passées à examiner les contrôles d’accès représentent un coût bien moindre que de découvrir que vos données OneDrive ou SharePoint ont été silencieusement exfiltrées pendant des jours ou des semaines.