🛡️ Qu’est-ce que ToolShell ?
En juillet 2025, Microsoft et la CISA (agence américaine de cybersécurité) ont confirmé qu’un groupe de pirates exploite activement une faille critique appelée ToolShell. Cette faille touche uniquement les serveurs SharePoint installés localement (et non SharePoint Online).
🔍 Détails des failles :
| CVE | Type de faille | Risque |
|---|---|---|
| CVE-2025-49704 | Exécution de code à distance | Permet d’exécuter du code sans accès |
| CVE-2025-49706 | Usurpation d’identité réseau | Permet de contourner les sécurités |
| CVE-2025-53770 | Contournement du correctif précédent | Réactive la faille initiale |
| CVE-2025-53771 | Contournement du correctif précédent | Affaiblit les protections réseau |
📌 Systèmes concernés :
- SharePoint Server 2016
- SharePoint Server 2019
- SharePoint Server Subscription Edition
- SharePoint 2013 ou version plus ancienne (non supportée — à déconnecter immédiatement)
⚠️ Pourquoi c’est important
Cette attaque permet aux pirates de :
- Contrôler votre serveur SharePoint à distance
- Voler des fichiers ou des données internes
- Installer des logiciels malveillants ou des ransomwares (comme Warlock)
- Se déplacer dans tout votre réseau
- Chiffrer ou effacer vos fichiers
Les attaques utilisent :
- Des requêtes vers
/ToolPane.aspx?DisplayMode=Edit - Des fausses demandes via
/SignOut.aspx - Des adresses IP connues (107.191.58.76, 104.238.159.149, etc.)
✅ Ce que vous devez faire tout de suite
- Installer les mises à jour de sécurité Microsoft (publiées le 8 juillet 2025)
- Changer les clés de sécurité ASP.NET
- Redémarrer IIS (utiliser la commande
iisreset) - Activer la protection antivirus avec AMSI + Microsoft Defender
- Vérifier les journaux d’accès (logs) pour détecter les signes d’attaque
- Chercher les fichiers suspects (.aspx, .dll ou .exe) dans SharePoint
- Bloquer les adresses IP malveillantes dans votre pare-feu
- Déconnecter les anciens serveurs non supportés (comme SharePoint 2013)
🆘 Soutien d’urgence offert par Technov8
Pour aider les entreprises à réagir rapidement, Technov8 offre un service d’urgence jusqu’au dimanche 27 juillet 2025 à 23h59 (heure de l’Est).
✅ Services disponibles :
- Installation des correctifs
- Configuration de la sécurité
- Redémarrage des services IIS
- Vérification rapide des signes d’attaque
🔐 Services avancés (en option) :
- Analyse approfondie (forensique)
- Nettoyage de ransomware
- Sécurisation renforcée de SharePoint
- Migration vers SharePoint Online
📬 Contactez-nous dès maintenant
- 📧 Courriel : support@technov8s.com
- 📞 Les appels d’urgence en soirée sont réservés à nos clients avec un abonnement premium actif.
❓ Questions fréquentes (FAQ)
SharePoint Online est-il concerné ?
Non. Cette attaque vise uniquement les serveurs installés localement.
J’ai déjà fait les mises à jour — suis-je protégé ?
Pas forcément. Des contournements de patch existent. Il faut vérifier vos versions et changer les clés de sécurité.
J’utilise encore SharePoint 2013 — est-ce risqué ?
Oui. Ce système n’est plus mis à jour. Il faut le déconnecter d’internet immédiatement.
Que faire si je trouve des fichiers ou activités suspectes ?
Contactez-nous dès que possible. Chaque minute compte.