Des hackers détournent une fonction Microsoft 365 : vos mails internes ne sont plus sûrs

Cyrille Jeunehomme — 28 juin, 2025

Sommaire
Des hackers détournent une fonction Microsoft 365 : vos mails internes ne sont plus sûrs

Recevoir un mail d’apparence interne, signé d’un collègue, inspire confiance. Pourtant, il suffit aujourd’hui d’un réglage trop ouvert sur Microsoft 365 pour que n’importe qui se glisse dans la peau d’un membre de votre équipe. Des hackers exploitent une fonction tout à fait légitime du service pour lancer des campagnes de phishing particulièrement crédibles. Résultat : des entreprises de tous secteurs tombent dans le piège, croyant échanger avec un collaborateur alors qu’elles sont la cible de cybercriminels.

Le mécanisme à l’œuvre ne nécessite aucune intrusion technique, aucun piratage complexe. Les attaquants jouent simplement sur un angle mort de la sécurité : une fonction appelée Direct Send, rarement désactivée par défaut, qui laisse la porte ouverte à l’usurpation d’adresse interne.

Le fonctionnement de Direct Send, talon d’Achille de l’entreprise

Pourquoi cette faille ? Direct Send a été conçu pour simplifier la vie des équipes IT : il permet à des appareils comme des imprimantes ou des scanners d’envoyer des mails à l’interne sans avoir besoin d’un compte authentifié. Pratique, mais risqué : il suffit d’un script pour envoyer un mail depuis l’extérieur, avec n’importe quelle adresse interne en expéditeur, sans vérification d’identité.

Concrètement, le mail emprunte l’infrastructure de Microsoft (mail.protection.outlook.com), ce qui le rend indiscernable d’un vrai message interne aux yeux des outils et des collaborateurs. Même si l’expéditeur réel n’est pas authentifié, le message passe comme une lettre à la poste, sans alerte, ni filtrage efficace.

C’est précisément ce que viennent d’exposer les équipes Varonis : près de 70 entreprises ont déjà été ciblées via cette ruse. Le contenu des mails reste très basique pour ne pas éveiller la méfiance : une fausse notification de message vocal, un fichier PDF personnalisé, et surtout un QR code qui redirige la victime vers une page de connexion frauduleuse. Le piège est efficace, car le QR code ne déclenche aucune alerte de sécurité classique.

ACI Technology expert infogérance et maintenance informatique Paris - Faux mails internes la faille invisible de Microsoft 365

Des recommandations pour sécuriser vos flux internes

Aucune faille logicielle à proprement parler n’est exploitée ici : tout repose sur la configuration trop permissive de Direct Send. Microsoft conseille désormais de limiter drastiquement l’usage de cette fonction aux seuls administrateurs, et de verrouiller les adresses IP autorisées. Depuis avril 2025, une nouvelle option « Reject Direct Send » permet de bloquer tout mail non authentifié, même passant par l’infrastructure officielle. C’est un vrai progrès, mais cette protection n’est pas encore activée partout.

Pour aller plus loin, il est recommandé de :

Mesure à adopterEffet attendu
Appliquer une politique DMARC stricte (p=reject)Bloquer les usurpations non conformes
Rejeter fermement les échecs SPF (hardfail)Renforcer la vérification d’expéditeur
Activer la détection anti-spoofing Microsoft 365Surveiller les messages suspects
Former les équipes au phishing visuelDéjouer les pièges intégrés aux pièces jointes

Miser sur la formation des équipes reste primordial : les attaques évoluent et les hackers savent profiter des faiblesses humaines plus que techniques. Un QR code dans un PDF, une adresse interne, un mail au ton anodin : le danger se glisse dans les détails.

L’avenir de la sécurité interne passe par la vigilance collective

Face à l’ingéniosité des hackers, il devient vital d’adapter vos réflexes et vos outils. La sécurité de l’entreprise ne se joue plus uniquement sur les frontières extérieures mais aussi à l’intérieur du réseau. La bonne nouvelle ? Chaque entreprise peut reprendre la main : en verrouillant les fonctions comme Direct Send, en appliquant les dernières recommandations de Microsoft, et en cultivant une vigilance partagée au quotidien.

Rien n’est plus précieux qu’une culture cyber solide, où la confiance interne rime avec contrôle, et où chaque mail devient une opportunité de vérifier… avant de cliquer.

Infogérance & services hébergés,
géré par des Experts