15/07/2026

Le faux support informatique sur Teams : l'arnaque qui contourne tous vos pare-feux

Une campagne active piège les salariés via de faux appels du support IT sur Microsoft Teams pour installer le malware EtherRAT. Comment l'attaque fonctionne, comment durcir votre environnement Microsoft 365, et ce que l'employeur doit mettre en place pour sensibiliser ses équipes.

Un appel Teams de « l'administrateur système », une prise en main à distance présentée comme une intervention de routine, et quelques minutes plus tard un cheval de Troie pilote le poste de travail. C'est le scénario d'une campagne d'attaque actuellement documentée par l'équipe Unit 42 de Palo Alto Networks, et il illustre parfaitement une réalité que l'on constate encore trop souvent en PME : la faille la plus exploitée n'est pas dans votre firewall, elle est humaine.

Le scénario de l'attaque, étape par étape

L'attaque commence de manière très classique. La victime reçoit un e-mail de phishing sur le thème d'un sondage interne aux employés, accompagné d'une pièce jointe PDF piégée. Peu après l'ouverture du document, elle reçoit un appel vocal sur Microsoft Teams provenant d'un compte externe qui se présente comme « System Administrator ».

Détail important : Teams affiche pourtant bien l'étiquette « Externe (non familier) », qui signale un contact extérieur à l'organisation, appartenant à un autre tenant Microsoft 365, sans relation de confiance établie. Mais dans le feu de l'action, face à un interlocuteur sûr de lui qui parle le jargon du support, cet avertissement passe inaperçu.

Le faux technicien convainc alors le salarié de lui accorder le contrôle à distance, d'abord via le partage d'écran intégré à Teams, puis en lui faisant télécharger des outils d'administration à distance parfaitement légitimes comme AnyDesk ou HopToDesk. Ces logiciels ont des usages professionnels réels, ce qui leur permet de passer sous les radars des antivirus.

Une fois aux commandes, l'attaquant télécharge un installeur MSI malveillant via une simple ligne de commande. Ce chargeur multi-étapes déploie la charge finale : EtherRAT, un cheval de Troie d'accès à distance fonctionnant sous Windows, Linux et macOS. Le malware permet d'exécuter des commandes, voler des données, manipuler des fichiers et maintenir un accès persistant. Particularité technique notable : il récupère l'adresse de son serveur de commande et contrôle via un smart contract Ethereum, ce qui rend son infrastructure très difficile à démanteler.

Dans un cas observé par les chercheurs, l'attaquant est même allé jusqu'à créer un ticket dans le portail ServiceNow de l'entreprise depuis le poste compromis, pour demander des accès supplémentaires en se faisant passer pour l'utilisateur. L'ingénierie sociale jusqu'au bout.

Pourquoi ça marche encore en 2026

Cette campagne n'est pas isolée. Ces derniers mois, plusieurs opérations similaires ont abusé de Teams : le malware Matanbuchus diffusé par le même procédé, le gang Black Basta qui usurpait le service informatique, ou encore des campagnes combinant saturation de boîte mail puis faux appel du support proposant de « régler le problème » via Quick Assist. Microsoft lui-même a alerté sur la multiplication de ces usurpations de helpdesk via Teams.

Le succès de ces attaques repose sur trois leviers psychologiques bien connus :

  • L'autorité : le support IT est perçu comme légitime pour demander un accès au poste.
  • Le contexte fabriqué : l'e-mail de sondage ou la boîte mail saturée crée un « problème » que l'appel vient opportunément résoudre.
  • La pression temporelle : l'interlocuteur presse la victime d'agir immédiatement, sans lui laisser le temps de vérifier.

Face à ce type d'attaque, les investissements techniques classiques ne suffisent pas. L'EDR ne bloquera pas AnyDesk, le firewall ne bloquera pas un appel Teams légitime, et le MFA ne protège pas contre un utilisateur qui ouvre lui-même la porte. C'est toute la logique de l'attaquant moderne : pourquoi forcer une serrure quand on peut convaincre quelqu'un de l'ouvrir ?

Les contre-mesures techniques à mettre en place

Même si l'humain est la cible, la configuration de votre environnement Microsoft 365 peut réduire drastiquement la surface d'attaque :

  • Restreindre l'accès externe Teams : dans le centre d'administration Teams, limitez la communication externe aux seuls domaines de confiance (fédération sur liste blanche), ou désactivez-la si votre activité le permet. C'est la mesure la plus efficace contre cette campagne précise.
  • Bloquer les appels entrants de tenants inconnus et désactiver la prise de contrôle à distance dans les sessions avec des participants externes.
  • Encadrer les outils d'accès distant : n'autorisez que l'outil officiellement utilisé par votre support (via AppLocker, WDAC ou votre solution de gestion de postes) et bloquez AnyDesk, HopToDesk, Quick Assist et consorts s'ils ne font pas partie de votre stack.
  • Surveiller les indicateurs : les sessions de contrôle à distance Teams génèrent des artefacts identifiables dans les journaux (fichiers de session de curseur virtuel, logs d'audit de chat cross-tenant). Intégrez-les à votre supervision.

Ce que l'employeur doit faire : la sensibilisation n'est pas une option

C'est le point que trop d'entreprises négligent encore. Or la sensibilisation des salariés n'est pas seulement une bonne pratique : c'est une obligation qui découle de plusieurs textes.

Sur le plan réglementaire, l'article 32 du RGPD impose à l'employeur, en tant que responsable de traitement, de garantir la sécurité des données personnelles, ce qui inclut la formation des personnes qui y accèdent. La directive NIS 2, en cours de transposition en France, va plus loin : elle rend les organes de direction des entités concernées directement responsables de la gestion des risques cyber et impose des formations à la cybersécurité, y compris pour les dirigeants eux-mêmes. Enfin, l'obligation générale de sécurité de l'employeur et la jurisprudence sur la charte informatique rendent difficile de sanctionner un salarié piégé... si aucune sensibilisation ne lui a jamais été dispensée.

Concrètement, un programme de sensibilisation efficace en PME repose sur cinq piliers :

  • Une charte informatique à jour et signée, annexée au règlement intérieur, qui précise noir sur blanc les règles d'usage : le support informatique ne demande jamais de mot de passe, jamais d'installation d'outil d'accès distant hors procédure, et tout contact « support » non sollicité doit être vérifié.
  • Une procédure de vérification simple et connue de tous : un numéro interne unique pour joindre le vrai support, et une consigne claire — en cas d'appel entrant du « support », on raccroche et on rappelle ce numéro. Aucune intervention légitime ne souffre de ce délai de deux minutes.
  • Des sessions de sensibilisation régulières, au minimum annuelles et à chaque arrivée de collaborateur, en s'appuyant sur des cas réels comme celui-ci plutôt que sur des supports théoriques. Les ressources gratuites de l'ANSSI (MOOC SecNumacadémie) et de Cybermalveillance.gouv.fr sont d'excellents points de départ.
  • Des exercices pratiques : campagnes de faux phishing internes, voire simulations de vishing (faux appels), avec un débriefing bienveillant. L'objectif n'est jamais de piéger pour sanctionner, mais de créer des réflexes.
  • Une culture du signalement sans blâme : un salarié qui a cliqué doit pouvoir alerter immédiatement sans craindre de reproches. Les minutes qui suivent une compromission sont décisives, et une victime qui se tait par peur transforme un incident maîtrisable en sinistre majeur.

En conclusion

Cette campagne EtherRAT le rappelle une fois de plus : les attaquants ont massivement déplacé leurs efforts de la faille technique vers la faille humaine, et les outils collaboratifs comme Teams sont devenus leur terrain de chasse favori parce qu'ils bénéficient de la confiance des utilisateurs. La réponse doit être double : un durcissement de la configuration Microsoft 365 d'un côté, un investissement réel et récurrent dans la sensibilisation de l'autre. Le second coûte souvent moins cher que le premier, et c'est pourtant celui qu'on repousse le plus.

Vous souhaitez auditer la configuration de votre environnement Microsoft 365, encadrer les accès externes Teams ou mettre en place un programme de sensibilisation adapté à votre structure ? Parlons-en.