Nouvelle vague d’hameçonnage via OneDrive / SharePoint – Fiche réflexe
mars 10, 2026
2 minutes de lecture
Bien que cette technique ne soit pas nouvelle, elle reste redoutable face à des comptes M365 pour lesquels les utilisateurs ne sont pas assez sensibilisés/vigilants et le Tenant Microsoft durci.
Pour rappel, cette méthode d’hameçonnage consiste à utiliser un compte M365 compromis. L’attaquant s’en sert pour envoyer à l’ensemble des contacts du compte compromis une invitation à accéder à un fichier partagé via OneDrive ou SharePoint.
À ce stade, l’expéditeur est légitime et le fichier partagé semble également l’être, bien qu’il ait été déposé par l’attaquant, il est hébergé sur le OneDrive du compte compromis.
Pour le destinataire, la notification apparaît donc comme une invitation classique à consulter un document partagé par un contact connu, ce qui renforce la crédibilité du message et réduit la méfiance de l’utilisateur.
C’est à l’ouverture de ce fichier qu’une demande d’authentification M365 apparaît. Malheureusement, celle-ci pointe sur une URL malveillante. Votre identifiant et mot de passe seront alors récupérés par l’attaquant.
Et rebelotte, votre compte servira à un nouvel envoi. Cet effet boule de neige est difficile à enrayer.
Afin de limiter les effets, nous avons créé une fiche réflexe pour les administrateurs de tenant M365 précisant les actions qui permettront d’endiguer cette menace.
Attention, cette fiche réflexe n’est pas suffisante pour une remédiation totale. Il conviendra de nous contacter afin de poursuivre la sécurisation du compte à l’aide de nos analystes.
Pour aller plus loin, pensez à durcir la configuration de votre Tenant M365, notamment, les autorisations de partage de fichiers vers un Tenant tier.
Nous sommes joignables au 0800 200 008 ou via notre formulaire.
Retrouvez la fiche réflexe ci-dessous :
Partager :