Microsoft tire la sonnette d’alarme. Dans un rapport publie le 18 avril 2026, l’editeur de Redmond confirme une montee brutale des intrusions menees via Microsoft Teams, ou des attaquants se font passer pour le support technique interne afin d’obtenir un acces distant aux postes des employes. Plus insidieux encore : la quasi-totalite de la chaine d’attaque emprunte des outils parfaitement legitimes — Quick Assist, PowerShell, WinRM, Rclone — ce qui rend la detection extremement difficile pour les SOC.
Le constat est sans appel : Teams n’est plus seulement une plateforme de collaboration, c’est devenu l’un des vecteurs d’intrusion a plus forte croissance en 2026. Les attaques Microsoft Teams exploitent la confiance que les salaries accordent a un canal professionnel, combinee a une ingenierie sociale rodee, pour contourner les defenses traditionnelles centrees sur le courriel.
L’alerte Microsoft : des chiffres qui inquietent
Le Microsoft Threat Intelligence Center (MSTIC) observe une acceleration constante de ce schema depuis fin 2024. Le premier pic majeur avait ete documente en mars 2025 avec le groupe Storm-1811, qui utilisait deja Teams pour pieger des employes en bombardant leur boite mail de spam, puis en rappelant aussitot sous les couleurs d’un faux helpdesk. En 2026, la technique s’est democratisee : Microsoft estime que plusieurs dizaines de groupes criminels l’ont integree a leur playbook, avec des campagnes touchant aussi bien des PME que des grands comptes du secteur financier, de la sante ou de l’industrie.
Selon le rapport, la fenetre d’exposition est redoutablement courte. Entre le premier message externe recu sur Teams et le deploiement du premier payload malveillant, il s’ecoule en moyenne moins de 90 minutes. Un delai trop bref pour que la majorite des equipes SOC detectent l’anomalie sans automatisation avancee.
Comment fonctionne l’ingenierie sociale via Teams
La puissance de ce scenario tient a son realisme operationnel. Contrairement au phishing classique, l’attaquant ne demande pas a la victime de cliquer sur un lien douteux : il lui demande d’accepter une session d’assistance distante tout a fait conforme aux pratiques internes. Trois leviers techniques se conjuguent.
L’appel vocal entrant comme porte d’entree
Le scenario type commence par un bombardement de spam — des milliers de messages en quelques minutes — destine a inquieter l’utilisateur. Quelques instants plus tard, un « technicien » du support appelle via Teams, propose d’investiguer et invite la victime a ouvrir Quick Assist. Le pretexte est simple, plausible, et joue sur l’urgence.
L’abus de l’acces externe entre tenants
Par defaut, Microsoft Teams autorise les messages entrants depuis n’importe quel tenant Microsoft 365 tiers. Les attaquants creent des tenants d’apparence corporate (noms de domaine mimant une DSI ou un fournisseur IT connu) et initient un contact « external access ». L’etiquette « External » est presente, mais beaucoup d’utilisateurs n’y pretent pas attention lorsqu’une urgence est evoquee.
Quick Assist : l’outil legitime detourne
Une fois la victime convaincue, l’attaquant lui demande d’ouvrir Quick Assist — prechargeen natif dans Windows 11 — et de saisir un code a six chiffres. Resultat : controle total du poste, sans installation suspecte, sans alerte antivirus. Pour le SOC, la session ressemble a s’y meprendre a une intervention interne de support.
Les groupes identifies : Storm-1811, Midnight Blizzard et consorts
Microsoft documente plusieurs clusters d’activites derriere cette vague. Storm-1811 reste le plus actif : ce groupe a motivation financiere cible principalement les entreprises d’Amerique du Nord et d’Europe occidentale pour deployer le ransomware Black Basta, puis plus recemment des souches issues de la nebuleuse RansomHub. Ses victimes incluent des hopitaux, des cabinets d’avocats et des industriels.
Midnight Blizzard, alias APT29 ou Cozy Bear, opere de son cote dans un registre plus geopolitique. Attribue aux services de renseignement russes, le groupe a deja detourne Teams en 2024 pour infiltrer des organisations gouvernementales. Sa signature : des tenants usurpant des noms d’agences federales americaines ou d’institutions europeennes.
D’autres clusters emergents — regroupes par Microsoft sous des identifiants Storm-xxx temporaires — experimentent des variantes : usage de Teams pour distribuer directement des stealers comme Lumma ou StealC, ou pour initier des campagnes de compromission de comptes M365 a grande echelle. Cette diversification rappelle la vague d’incidents de securite annoncee par Gartner autour des agents IA autonomes : les attaquants adoptent rapidement toute surface d’attaque offrant un rapport effort/retour favorable.
Les techniques post-compromission : ransomware, stealers, persistance
Une fois l’acces initial obtenu, la chaine d’attaque se deroule en neuf etapes, toujours semblables. L’attaquant lance d’abord une reconnaissance via Command Prompt et PowerShell : verification des privileges, enumeration du domaine Active Directory, identification des partages reseau et des postes voisins. Cette phase dure generalement entre 10 et 30 minutes.
Vient ensuite le depot d’un payload discret dans des repertoires accessibles en ecriture (ProgramData, AppData), exploite via DLL side-loading. Microsoft cite des binaires legitimes detournes : composants Autodesk, Adobe Acrobat, Windows Error Reporting, voire des agents DLP. L’attaquant pilote ensuite le poste via un canal HTTPS vers un serveur C2, puis modifie le Registre Windows pour assurer la persistance.
Le mouvement lateral exploite massivement Windows Remote Management (WinRM), un protocole natif rarement surveille. Des outils d’administration a distance commerciaux — AnyDesk, ScreenConnect, TeamViewer — sont deployes discretement sur d’autres machines. Enfin, l’exfiltration s’effectue via Rclone vers des buckets cloud externes, en filtrant finement les donnees pour minimiser le volume (documents financiers, identifiants, code source, contrats).
Le payload final depend du groupe : ransomware Black Basta ou RansomHub dans la majorite des cas, stealers pour les campagnes opportunistes, ou simple vol de donnees pour les groupes etatiques. Dans tous les cas, l’attaque s’acheve generalement dans les 12 a 48 heures suivant le contact initial.
Comment proteger son entreprise contre les attaques Microsoft Teams
Face a une chaine d’attaque aussi mimetique, la reponse doit combiner hardening technique, telemetrie et sensibilisation. Microsoft et plusieurs acteurs specialises — dont RSA avec ID Plus M1 — formulent des recommandations convergentes.
Durcir les policies tenant Teams
La premiere mesure consiste a restreindre la collaboration externe dans le centre d’administration Teams. Passer la politique par defaut a « bloquer tous les tenants externes sauf liste blanche » reduit drastiquement la surface d’attaque. Pour les organisations qui ne peuvent pas fermer totalement l’external access, limiter les contacts entrants aux domaines explicitement autorises reste un compromis acceptable.
Complement indispensable : desactiver Quick Assist sur tous les postes qui n’en ont pas besoin via GPO ou Intune, ou le remplacer par un outil de support approuve et journalise. WinRM doit etre limite aux segments administratifs et monitore en continu.
Formation continue des utilisateurs
Aucun controle technique ne remplacera un reflexe humain solide. Les programmes de sensibilisation doivent integrer un message clair : le support IT n’initie jamais un contact externe via Teams. Toute demande non sollicitee, surtout assortie d’une pression temporelle, doit etre verifiee via un canal hors bande (telephone interne, ticket helpdesk officiel).
MFA resistant au phishing
L’authentification multi-facteur classique (SMS, TOTP, push) ne protege plus contre ces scenarios : l’attaquant pilote directement le poste legitime et intercepte le facteur. La seule reponse robuste est un MFA phishing-resistant : cles FIDO2, passkeys, Windows Hello for Business avec TPM. Couple a des politiques d’acces conditionnel Entra ID basees sur la conformite de l’appareil, ce modele reduit considerablement le risque de deplacement lateral vers les ressources critiques.
Ce que Microsoft change cote produit
Redmond ne se contente pas d’alerter. Plusieurs evolutions produit ont ete annoncees ou deja deployees. Depuis mars 2026, Microsoft Defender for Teams Calling offre au SOC une telemetrie enrichie sur les appels suspects : detection d’usurpation de marque, investigations automatisees, alertes temps reel sur les sessions externes avec motifs anormaux.
La roadmap Microsoft 365 inclut egalement une fonction Impersonation Protection for Teams Calling, activee par defaut sur les tenants Business Premium et Enterprise. Cette protection compare en temps reel l’identite affichee de l’appelant externe avec des bases de reference connues et signale toute tentative d’usurpation.
Enfin, Microsoft annonce pour le troisieme trimestre 2026 une evolution majeure de Quick Assist : l’outil n’acceptera plus de session entrante sans validation explicite par un administrateur tenant, une mesure qui devrait couper net la majorite des campagnes Storm-1811. Une reponse attendue, qui s’inscrit dans une demarche de secure by default similaire aux chantiers en cours autour de la refonte de Copilot en systeme unifie.
Questions frequentes
Microsoft Teams contient-il une vulnerabilite a l’origine de ces attaques ?
Non. Microsoft confirme qu’il ne s’agit pas d’une faille logicielle mais d’un abus de fonctionnalites legitimes de collaboration externe, combine a de l’ingenierie sociale. Le consentement de l’utilisateur reste le maillon decisif.
Comment detecter un appel Teams frauduleux ?
Les signaux fiables incluent l’etiquette « External » affichee par Teams, l’absence totale d’historique avec l’appelant, une pression temporelle inhabituelle et toute demande d’ouvrir Quick Assist. En cas de doute, raccrocher et contacter le helpdesk officiel via un canal interne.
Faut-il desactiver Quick Assist pour tous les utilisateurs ?
Idealement oui, sauf pour les techniciens IT qui en ont un usage operationnel documente. Le deploiement selectif via GPO ou Intune permet de couper la principale porte d’entree sans impacter les processus de support legitimes.
Un MFA classique est-il suffisant contre ces attaques ?
Non. Les MFA par SMS, TOTP ou push sont contournes des lors que l’attaquant pilote le poste legitime. Seul un MFA phishing-resistant base sur FIDO2, passkeys ou Windows Hello for Business offre une protection reelle contre ce type d’intrusion.
Quelle est la premiere action a mener pour une DSI ?
Restreindre immediatement la collaboration externe Teams a une liste blanche de tenants autorises et activer Microsoft Defender for Teams Calling. Cette combinaison reduit significativement le risque d’exposition initiale sans perturber les usages internes.
