Storm-2755 est un groupe cybercriminel qui mène une campagne de phishing sophistiquée contre des utilisateurs de Microsoft 365 au Canada. C’est ce que révèle une récente alerte de Microsoft. Selon le géant américain, ces cybercriminels ne cherchent plus seulement à voler des mots de passe, mais directement les salaires des employés. Leur objectif : prendre le contrôle de comptes professionnels afin de modifier les coordonnées bancaires utilisées pour le versement des rémunérations.
Selon les chercheurs de Microsoft, Storm-2755 utilise une technique dite Adversary-in-the-Middle (AiTM). Contrairement à un phishing classique, cette méthode intercepte la connexion entre l’utilisateur et le service Microsoft 365. Les pirates attirent les victimes vers de faux sites de connexion via des résultats de recherche manipulés ou des publicités malveillantes affichées sur les moteurs de recherche. Une fois les identifiants saisis, les attaquants récupèrent les jetons de session. Ce qui leur permet d’accéder au compte sans avoir à repasser l’authentification.
Ainsi arrivés dans l’environnement de la victime, les pirates recherchent des informations liées à la paie, aux ressources humaines ou aux virements bancaires. Dans plusieurs cas, ils ont utilisé les comptes compromis pour demander aux services RH de modifier les coordonnées bancaires de versement des salaires ou ont directement accédé à des plateformes de gestion RH afin d’effectuer ces changements eux-mêmes.
Storm-2755 contourne même l’authentification multifacteur (MFA)
En plus de sa simplicité, cette campagne montre que le simple recours à l’authentification multifacteur (MFA) n’est plus toujours suffisant face aux attaques AiTM capables de voler des sessions déjà authentifiées. Microsoft recommande l’adoption de méthodes d’authentification résistantes au phishing comme les passkeys ou les clés de sécurité FIDO2. Il recommande également de renforcer la surveillance des modifications apportées aux comptes de paie et aux accès Microsoft 365.
Au-delà du Canada, cette affaire rappelle la campagne de phishing Kali365, que le FBI a mise en lumière en mai 2026. Les deux opérations présentent plusieurs similitudes. Elles ciblent les utilisateurs de Microsoft 365, reposent sur le vol de jetons de session plutôt que sur la simple récupération de mots de passe et permettent aux attaquants de contourner certaines protections d’authentification multifacteur (MFA) en exploitant des sessions déjà validées.
Ces campagnes illustrent l’évolution des cybermenaces. Pour les entreprises africaines engagées dans leur transformation numérique, la sécurisation des identités, des accès et des sessions utilisateur devient désormais un enjeu aussi important que la protection des données elles-mêmes.
