La fonction "Direct Send" de Microsoft 365 exploitée dans une nouvelle tactique d'hameçonnage
par
Dernière mise à jour : 3 Temps de lecture : 3 min
Points clés à retenir
- Les cybercriminels abusent de la fonction Direct Send de Microsoft 365 pour envoyer des courriels de phishing qui contournent les contrôles SPF, DKIM et DMARC.
- L'attaque consiste à usurper l'identité de comptes internes par le biais d'une fonction légitime destinée aux appareils internes, ce qui permet d'échapper aux filtres de sécurité.
- Les charges utiles comprennent des codes QR et des pièces jointes HTML qui volent des informations d'identification, certaines attaques étant tracées vers des adresses IP étrangères.
- Mesures de protection : activer le rejet de l'envoi direct, appliquer un DMARC strict, utiliser l'estampillage des en-têtes et quarantine vérifications qui n'ont pas abouti.
Les cybercriminels exploitent la fonction d'envoi direct de Microsoft 365 pour envoyer des courriels de phishing très convaincants qui semblent provenir d'utilisateurs internes de confiance, en contournant les contrôles d'authentification standard des courriels tels que SPF, DKIM et DMARC.
L'exploit a été documenté par des chercheurs StrongestLayer après avoir observé des attaquants cibler avec succès l'un de leurs clients.
Comment fonctionne l'attaque de phishing par envoi direct de Microsoft ?
L'attaque abuse d'une fonction légitime conçue pour aider les imprimantes, les scanners et les systèmes internes à envoyer des messages sans authentification complexe. En usurpant l'identité de comptes internes, les attaquants contournent de nombreuses vérifications basées sur des politiques qui filtrent généralement les messages externes, réussissant ainsi à échapper à la fois à Microsoft Defender et les passerelles de messagerie sécurisée tierces. Cela affecte en particulier les déploiements de Microsoft 365/Exchange Online ; même les environnements où les utilisateurs exécutent Office 2024 en tant que suite bureautique peuvent être impactés si Direct Send reste activé au niveau de la couche de messagerie.
Une fois la confiance interne en matière de communication de l'organisation ciblée exploitée, les pirates peuvent diffuser toute une série de contenus malveillants, allant des charges utiles basées sur des codes QR aux pièces jointes HTML, qui collectent les identifiants sans déclencher les défenses habituelles. Dans un cas documenté, des e-mails de phishing provenant d'adresses IP situées en Ukraine et en France ont néanmoins été traités comme du trafic fiable.
Mesures préventives
Microsoft a introduit des options permettant aux organisations d'appliquer des politiques personnalisées d'estampillage d'en-tête et de quarantine pour les messages prétendant faussement être internes. Les experts en sécurité recommandent également d'activer le paramètre Rejeter l'envoi direct de Microsoft de Microsoft, d'appliquer une politique DMARC stricteet de mettre en quarantaine tout courriel dont l'authenticité n'est pas vérifiée.
En conclusion
Les défenses proactives ne sont plus facultatives, en particulier lorsque les attaquants abusent des systèmes de confiance pour contourner la sécurité traditionnelle. En combinant les mesures de renforcement de Microsoft 365 avec l'application de l'authentification avancée, les organisations peuvent réduire considérablement leur exposition à ces tactiques.
La plateforme de gestion DMARC de PowerDMARC vous aide à mettre en œuvre et à maintenir des politiques d'authentification strictes, à surveiller les tentatives de spoofing en temps réel et à stopper les attaques de phishing avant qu'elles n'atteignent vos utilisateurs. Prenez contact avec dès aujourd'hui pour planifier une démonstration gratuite ou parler à un expert !
FAQ
Qu'est-ce que Microsoft 365 Direct Send ?
Il s'agit d'une fonctionnalité de Microsoft 365 qui permet aux appareils et aux applications d'une organisation d'envoyer des courriels sans authentification complexe, à des fins de communication interne.
Pourquoi les attaquants en abusent-ils ?
La fonction d'envoi direct permet l'envoi de messages non authentifiés. Les pirates peuvent ainsi faire passer des messages électroniques pour des messages internes, en contournant de nombreux contrôles de sécurité.
Comment les organisations peuvent-elles se protéger ?
Activez la fonction Rejeter l'envoi direct de Microsoft, déployer l'estampillage des en-têtes, appliquer une politique DMARC stricte et quarantine messages qui échouent aux contrôles d'authenticité.
Quels sont les secteurs les plus menacés ?
Les activités récentes ont fortement ciblé les services financiers, l'industrie manufacturière et les organismes de santé aux États-Unis.
Expert en sécurité des domaines et des courriels chez PowerDMARC
Ahona est la responsable du marketing chez PowerDMARC, avec plus de 5 ans d'expérience dans l'écriture sur des sujets de cybersécurité, spécialisée dans la sécurité des domaines et des courriels. Ahona est titulaire d'un diplôme de troisième cycle en journalisme et communication, solidifiant sa carrière dans le secteur de la sécurité depuis 2019.
Derniers messages de Ahona Rudra (voir tous)
- Qu'est-ce que DANE ? Explication de l'authentification des entités nommées basée sur le DNS (2026) - 20 avril 2026
- Les bases de la sécurité VPN : les meilleures pratiques pour protéger votre vie privée - 14 avril 2026
- Avis sur MXtoolbox : fonctionnalités, avis d'utilisateurs, avantages et inconvénients (2026) - 14 avril 2026
