Une cyberattaque d’envergure a récemment visé plusieurs agences fédérales américaines, dont la très sensible National Nuclear Security Administration (NNSA), en exploitant une faille zero-day critique dans Microsoft SharePoint. Cet incident met en lumière la vulnérabilité croissante des systèmes informatiques des institutions stratégiques américaines face à des acteurs malveillants particulièrement sophistiqués.
Un exploit actif ciblant SharePoint
La brèche utilisée est une vulnérabilité d’exécution de code à distance (RCE) identifiée sous le nom de CVE-2024-38023, qui affecte les environnements SharePoint Server 2016, 2019 et Subscription Edition. Microsoft avait publié un correctif lors de son Patch Tuesday de juillet 2025, mais selon les services de renseignement, les attaques étaient déjà en cours avant la divulgation publique, ce qui en fait une exploitation zero-day confirmée.
La NNSA et d’autres agences fédérales ciblées
Parmi les victimes figure la National Nuclear Security Administration, entité chargée de la sécurité, de l’entretien et de la modernisation de l’arsenal nucléaire américain. Cette agence opère au sein du département de l’Énergie (DOE) et gère certaines des infrastructures les plus sensibles du gouvernement fédéral.
Les attaques auraient compromis des systèmes liés à l’accès distant et à la collaboration interne, en profitant de la faille SharePoint pour déployer du code malveillant ou exfiltrer des données confidentielles.
La CISA tire la sonnette d’alarme
Face à la gravité de la situation, la Cybersecurity and Infrastructure Security Agency (CISA) a publié une directive d’urgence (ED 22-04) imposant aux agences fédérales de :
Appliquer immédiatement les correctifs de sécurité fournis par Microsoft ;
Identifier toute activité suspecte en lien avec cette vulnérabilité ;
Soumettre un rapport d’analyse de compromission dans les plus brefs délais.
La CISA souligne que cette faille est activement exploitée dans la nature et que son impact potentiel est majeur, en particulier pour les systèmes manipulant des données sensibles classifiées.
Attribution en cours et piste étatique envisagée
Même si les autorités américaines n’ont pas encore désigné officiellement de responsable, plusieurs analystes en cybersécurité évoquent la possible implication d’acteurs parrainés par des États, en raison du niveau de sophistication de l’attaque et de la nature stratégique des cibles.
Des groupes affiliés à des nations hostiles, comme la Chine ou la Russie, sont régulièrement pointés du doigt pour leur implication dans des campagnes ciblant l’infrastructure gouvernementale et militaire américaine.
Un signal d’alarme pour les infrastructures critiques
Cet incident met une fois de plus en évidence les risques systémiques posés par les vulnérabilités logicielles dans les environnements collaboratifs utilisés par les institutions publiques. Il démontre également l’importance vitale :
D’une gestion rigoureuse des correctifs de sécurité (patch management) ;
D’un monitoring actif des indicateurs de compromission ;
Et d’une collaboration étroite entre agences de renseignement et équipes de cybersécurité.
Conclusion
La compromission de la NNSA à travers une vulnérabilité SharePoint souligne l’importance cruciale de la cybersécurité dans la protection des secrets nucléaires et des infrastructures critiques nationales. Alors que les menaces étatiques ne cessent de gagner en audace et en efficacité, les agences doivent accélérer l’adoption de pratiques de cybersécurité proactives pour contrer les futures attaques ciblées.
Source : Bleeping Computer – juillet 2025
Rédaction : cybersecurite.com