Parce que faire confiance à son propre domaine, c’est tellement 2015.
Microsoft 365 : Vous pensiez que les emails les plus dangereux venaient de « [email protected] » avec une pièce jointe nommée « facture.exe » ? Adorable. En 2025, les cybercriminels sont plus subtils : ils envoient leurs saletés depuis… votre propre domaine.
Bienvenue dans le monde merveilleux du Microsoft 365 Direct Send détourné à des fins de phishing interne. Ou comment transformer une fonctionnalité légitime en cheval de Troie version cloud.
🧠 Rappel pour les non-initiés : c’est quoi le « Direct Send » ?
Le Direct Send dans Microsoft 365, c’est cette fonctionnalité qui permet à une application ou un copieur (coucou les multifonctions Ricoh des années 2012) d’envoyer un mail sans authentification SMTP, tant qu’il utilise un expéditeur valide du domaine.
C’est pratique, c’est rapide, et c’est une bénédiction pour les cybercriminels. Pourquoi ? Parce que Microsoft, dans sa grande bonté, n’impose aucune authentification tant que le message passe par un IP interne autorisée. Et comme ça transite souvent en interne, spoiler : aucune règle anti-spam ne clignote.
🎭 Le scénario classique : phishing 100 % confiance
- Le hacker trouve un serveur ou appareil exposé (oui, encore ce vieux scanner connecté en dur au VLAN de prod).
- Il utilise Direct Send pour envoyer un email parfaitement légitime depuis
[email protected]à[email protected]. - Le message contient un lien vers un faux portail SSO, un fichier OneDrive piégé, ou une demande urgente de virement (toujours signée « le PDG »).
- Les utilisateurs cliquent. Les identifiants tombent. Le chaos commence.
Et la DSI ? Elle regarde passer les logs sans rien voir d’anormal, puisque les envois sont internes, signés et sans aucune alerte MX.
📈 Pourquoi cette technique explose ?
- Elle contourne tous les mécanismes classiques : SPF, DKIM, DMARC… Tous inutiles ici. Le mail vient vraimentde votre domaine. C’est le rêve de tout phisher.
- Elle est indétectable au premier coup d’œil : la signature, l’expéditeur, le format – tout est authentique.
- Elle ne nécessite pas de compte compromis, juste un accès réseau à un point de relais M365 configuré (souvent ouvert par « simplicité »).
Et surtout : personne ne pense à auditer les Direct Send actifs. Qui a le temps de s’occuper des imprimantes et scripts de relance automatique dans un SI de 20 000 postes ?
🧪 Cas réels : du copieur au chaos
- Un groupe APT a compromis un ancien scanner Kyocera avec accès SMTP. Résultat : 1 200 mails internes signés RH, menant à un portail SharePoint factice.
- Une PME a vu toutes les boîtes mail de la direction compromise en 3 heures via un Direct Send détourné depuis un outil CRM mal isolé.
- Un ransomware a été déployé via un mail envoyé à 40 personnes depuis
[email protected], contenant une fausse alerte de mise à jour M365. Tous ont cliqué. Tous.
Moralité : vous ne pouvez plus faire confiance à vos propres expéditeurs. Joyeux monde.
🧰 Que faire pour éviter de pleurer du phishing ?
Bon, on ne va pas se mentir : ce n’est pas simple. Mais voici quelques pistes :
- 🚫 Désactivez Direct Send quand c’est possible. C’est souvent là “par défaut”. Et parfois “inutile depuis 2017”.
- 🔐 Mettez des règles de transport (mail flow) sur les messages internes contenant des URLs, pièces jointes ou mots-clés sensibles.
- 📜 Auditez TOUS les appareils et scripts qui utilisent Direct Send, et documentez-les (oui, même le vieux NAS qui envoie les alertes RAID).
- 👀 Surveillez les envois inhabituels depuis des services non humains. Si l’imprimante commence à envoyer des messages RH, posez-vous des questions.
- 🧠 Sensibilisez. Encore et toujours. Si un mail vous demande de « mettre à jour votre mot de passe en urgence via un lien externe », vous avez probablement un problème. Et ce n’est pas la DSI.
☕ Bonus sarcastique
Et si, à chaque usage non documenté de Direct Send, on demandait au responsable de l’infra d’envoyer une lettre manuscrite d’excuses à la DSI ? Avec accusé de réception, bien sûr. Et double si l’imprimante était dans le coup.
Conclusion ?
Microsoft 365 Direct Send, c’est comme laisser la porte ouverte « juste pour 5 minutes » : ça part d’une bonne intention, mais ça finit souvent avec des gens dans votre salon en train de tout vous voler. Et comme en cybersécurité, on adore les fonctionnalités mal comprises, on vous envoie la facture par email. En Direct Send, évidemment.
