Dans le monde de la cybersécurité, on parle d’une attaque « zero-day», lorsqu’elle se produit avant que la victime ne soit consciente de la vulnérabilité et qu’un correctif ne soit disponible.
Alors lorsque la victime s’appelle Microsoft SharePoint, un outil utilisé par plus de 50 000 entreprises dans plus de 124 pays, ça crée quelques remous.
Alertées dès le 18 juillet grâce à un signalement du cabinet de cybersécurité néerlandais Eye Security, les équipes de Microsoft ont d’ores et déjà délivré des correctifs d’urgence partiels.
Portant le doux nom de CVE-2025-53770 et CVE-2025-53771, ces failles auraient permis à des cybercriminels de compromettre de nombreux réseaux stratégiques. Parmi les cibles découvertes : des universités américaines, des opérateurs énergétiques, des institutions de santé fédérales, des sociétés d’IA et de fintech, ainsi que des entités gouvernementales majeures en Amérique du Nord et en Europe.
Charles Carmakal, CTO du géant de la cybersécurité Mandiant Consulting, juge le rapport de Microsoft « urgent et radical« .
CVE-2025-53770, CVE-2025-53771, c’est quoi concrètement ?
Les deux vulnérabilités au cœur de cette affaire affectent plusieurs versions de SharePoint Server (2016, 2019 et Subscription Edition) lorsqu’elles sont installées sur site.
Contrairement à SharePoint Online, intégré à Microsoft 365 et hébergé dans le cloud, ces serveurs dépendent de la gestion locale des mises à jour par les administrateurs et sont donc exposés à des risques supplémentaires.
La première faille, permet à l’attaquant de tromper le serveur pour contourner ses protections et en prendre le contrôle total à distance, sans avoir besoin de mot de passe. Grâce à cette vulnérabilité, l’attaquant peut, via Internet, envoyer des données piégées qui le laissent exécuter toutes sortes de commandes malveillantes.
La seconde faille, elle, touche la gestion des accès aux fichiers et peut permettre au pirate de déposer des fichiers dangereux ou de pénétrer dans des zones normalement interdites du serveur.
Concrètement, comment ça se passe ? Eh bien, l’attaque démarre généralement par l’envoi au serveur d’un fichier piégé, appelé « spinstall0.aspx », sans lever les contrôles de sécurité habituels. L’objectif du fichier : voler les clés cryptographiques du serveur (comme la ValidationKey et la DecryptionKey), qui servent à sécuriser tous les échanges et l’accès aux données.
Une fois en possession de ces clés, le pirate peut fabriquer de faux accès légitimes : il se fait passer pour un utilisateur autorisé et a le champ libre pour espionner, voler, modifier des documents ou saboter le fonctionnement du serveur, souvent sans être détecté.
Comment se protéger si vous pensez être concernés ?
Face à la propagation rapide des attaques, Microsoft a diffusé des consignes à prendre en urgence : activation obligatoire de la protection Antimalware Scan Interface (AMSI) sur les serveurs SharePoint, recommandations de changement des clés cryptographiques serveur après installation des mises à jour.
Deux patchs de sécurité sont déjà disponibles :
- Celui-ci qui concerne Microsoft SharePoint Server 2019.
- L’autre, pour Microsoft SharePoint Subscription Edition.
- Au moment de la rédaction de cet article, mi-journée 21 juillet 2025, aucune mise à jour n’est disponible pour Microsoft SharePoint Enterprise Server 2016.
Aux États-Unis, la CISA, agence américaine de cybersécurité, a inscrit CVE-2025-53770 et CVE-2025-53771 à son catalogue officiel des vulnérabilités exploitées et a imposé une fenêtre de correction maximale de 24 heures pour toutes les administrations fédérales concernées.
En France, La CERT-FR sous contrôle de l’ANSSI appelle à suivre attentivement les consignes de Microsoft et demande à isoler immédiatement tout serveur exposé à Internet et n’ayant pas subi de correctif.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Marre des réseaux sociaux ? Rejoignez la communauté Numerama sur WhatsApp !