Une cyberattaque menée par un groupe cybercriminel possiblement lié à la Chine a visé la National Nuclear Security Administration, exploitant une faille critique dans SharePoint pour infiltrer des systèmes sensibles.

Une récente cyberattaque a secoué plusieurs agences gouvernementales américaines, compromettant des systèmes informatiques critiques. Cet article explore les tenants et aboutissants de cette brèche de sécurité, notamment sur l’agence en charge des armes nucléaires.

Une faille exploitée dans SharePoint : un accès inattendu

L’exploitation d’une faille dans Microsoft SharePoint a permis à des hackers, liés à l’État chinois, d’infiltrer plusieurs agences gouvernementales, y compris la National Nuclear Security Administration (NNSA). Cette agence, essentielle pour la conception et la maintenance des armes nucléaires, a été ciblée par cette cyberattaque sophistiquée. Comme le rapporte Bloomberg, bien que les systèmes de la NNSA aient été affectés, aucune information sensible ou classifiée n’a été compromise.

L’exploitation a eu lieu en raison d’une vulnérabilité zero-day, c’est-à-dire une faille non découverte par l’éditeur du logiciel au moment de l’attaque. Microsoft a rapidement réagi en publiant un correctif pour les serveurs SharePoint concernés. Cependant, cette faille a permis aux attaquants d’accéder sans authentification aux systèmes, une situation décrite comme idéale pour les opérateurs de ransomware.

Microsoft Sharepoint Pour les Nuls

Pour tout savoir sur l’administration et le déploiement de SharePoint. Cet ouvrage est destiné aux concepteurs et aux utilisateurs de SharePoint au quotidien. SharePoint permet la mise en oeuvre des fonctionnalités collaboratives d’un site Intranet.

📘 Voir sur Amazon

🛒 Le lien ci-dessus est affilié : en commandant via ce lien, vous soutenez la veille DCOD sans frais supplémentaires 🙏

Les groupes de menace chinois : Typhoon et Storm

Les cyberattaques sur SharePoint ont été principalement attribuées à des groupes de menace chinois, tels que Linen Typhoon et Violet Typhoon, ainsi qu’à un acteur identifié comme Storm-2603. Comme détaillé dans l’article de CyberScoop, ces groupes ont exploité deux nouvelles failles, CVE-2025-53770 et CVE-2025-53771, touchant des centaines d’organisations à travers le monde.

Linen Typhoon, actif depuis 2012, se concentre sur le vol de propriété intellectuelle, tandis que Violet Typhoon cible des anciens personnels gouvernementaux et militaires, ainsi que des organisations non gouvernementales. Ces groupes utilisent des vulnérabilités pour installer des shells web, leur permettant de maintenir un accès persistant aux systèmes compromis.

Le groupe Storm-2603, également basé en Chine, s’est focalisé sur le vol de clés cryptographiques, ce qui pourrait garantir un accès continu même après l’application de correctifs. Ces actions démontrent une approche systématique et organisée pour infiltrer et exploiter des infrastructures critiques.

Impact sur les infrastructures critiques américaines

La compromission des systèmes de la NNSA , la National Nuclear Security Administration, et d’autres agences, comme le Département de l’Éducation et celui des Revenus de Floride, souligne la portée étendue de cette attaque. Selon GBHackers, bien que le SharePoint Online, utilisé dans le cloud Microsoft 365, n’ait pas été affecté, les versions sur site ont été vulnérables, mettant en péril plusieurs infrastructures critiques.

Cette situation met en lumière les défis constants de la cybersécurité auxquels sont confrontées les infrastructures mondiale. L’exploitation des failles de SharePoint par des acteurs étatiques souligne l’importance de mesures défensives robustes et de la vigilance continue contre les cyberattaques sophistiquées.