Un acteur malveillant, identifié sous le nom de UNC6692, multiplie les attaques d’ingénierie sociale contre les messageries professionnelles. Comme le rapporte Ouest France, ces cybercriminels utilisent une méthode particulièrement insidieuse : après avoir saturé les boîtes mail de leurs cibles, ils prennent le relais en usurpant l’identité du support technique, notamment via les discussions sur Microsoft Teams.

Cette tactique, encore récente, illustre l’évolution constante des méthodes employées par les pirates pour contourner les défenses des entreprises. Selon les experts en cybersécurité, ces attaques s’appuient sur une double phase : d’abord, la saturation des canaux de communication traditionnels pour créer un sentiment d’urgence, puis l’exploitation de la plateforme collaborative Teams pour établir un faux dialogue avec les victimes. Ouest France souligne que cette stratégie exploite la confiance naturelle des salariés envers les services internes, rendant les victimes plus enclines à suivre les instructions des attaquants.

Ce qu'il faut retenir

  • Un groupe de hackers, nommé UNC6692, mène des attaques ciblées via Microsoft Teams après avoir saturé les boîtes mail de ses victimes.
  • La méthode repose sur une usurpation d’identité du support technique pour tromper les employés et les inciter à suivre des consignes malveillantes.
  • Cette tactique exploite la confiance des salariés envers les outils internes, augmentant ainsi le risque de succès de l’attaque.
  • Les entreprises sont invitées à renforcer la vigilance sur leurs canaux de communication, y compris les plateformes collaboratives comme Teams.

Une méthode d’attaque en deux temps

Les cybercriminels commencent par inonder les boîtes mail des entreprises ciblées, une technique connue sous le nom de spam ou flood mail. Cette saturation a pour but de submerger les équipes, les rendant plus vulnérables à une deuxième phase de l’attaque. Une fois la boîte mail saturée, les hackers basculent sur Microsoft Teams, où ils se font passer pour des membres du service informatique ou du support technique. Ouest France précise que ces échanges se déroulent en temps réel, ce qui renforce l’illusion de légitimité et pousse les victimes à divulguer des informations sensibles ou à télécharger des fichiers piégés.

Cette approche, bien que récente, s’inscrit dans une tendance plus large où les cybercriminels misent sur la psychologie des utilisateurs plutôt que sur des failles techniques. En exploitant la pression et l’urgence, ils augmentent considérablement leurs chances de réussite. Les experts en cybersécurité recommandent aux entreprises de sensibiliser leurs employés à ces nouvelles méthodes, notamment en organisant des formations régulières sur les bonnes pratiques de cybersécurité.

Pourquoi Microsoft Teams est-il ciblé ?

L’utilisation croissante de Microsoft Teams dans le monde professionnel en fait une cible privilégiée pour les cybercriminels. Selon les données de Microsoft, plus de 300 millions d’utilisateurs utilisent quotidiennement cette plateforme, ce qui en fait un terrain de chasse idéal pour les attaques d’ingénierie sociale. Ouest France rappelle que Teams, intégré à la suite Microsoft 365, est souvent perçu comme un outil fiable et sécurisé, ce qui le rend d’autant plus attractif pour les pirates.

Contrairement aux attaques par phishing traditionnelles, qui reposent sur des emails frauduleux, cette méthode exploite les canaux de communication internes, où les utilisateurs ont moins tendance à vérifier l’authenticité des messages. Les hackers profitent ainsi d’un manque de méfiance des employés, souvent habitués à recevoir des notifications et des demandes de la part du service informatique via Teams. Une vigilance accrue est donc nécessaire, même sur les plateformes jugées sûres.

Et maintenant ?

Face à cette menace en constante évolution, les entreprises devraient renforcer leurs protocoles de sécurité en intégrant des solutions de détection des attaques en temps réel, notamment sur les plateformes collaboratives. Microsoft a d’ailleurs annoncé, dans un communiqué publié en avril 2026, le déploiement de nouvelles fonctionnalités de protection pour Teams, mais leur efficacité dépendra largement de la vigilance des utilisateurs. Les prochaines semaines pourraient révéler une intensification des attaques similaires, incitant les organisations à revoir leurs stratégies de cybersécurité.

Reste à voir si les autorités de cybersécurité, comme l’ANSSI en France ou le CISA aux États-Unis, publieront des recommandations spécifiques pour contrer cette menace. Pour l’heure, les experts insistent sur l’importance de la formation continue des salariés, qui restent le premier rempart contre ces attaques sophistiquées.

Les signes d’une attaque via Teams incluent des messages urgents ou inhabituels émanant d’un prétendu service informatique, des demandes de transmission d’informations sensibles ou de téléchargement de fichiers, ainsi que des changements de comportement dans les échanges (ton pressant, liens suspects). Il est conseillé de toujours vérifier l’identité de l’expéditeur via un canal de communication différent (téléphone, email officiel) avant d’agir.