Security

Phishing fiscal Microsoft 365 : hausse avant le 15 avril

3 min de lecture

Résumé

Microsoft alerte sur une forte hausse, à l’approche du 15 avril, des campagnes de phishing et de malware liées aux impôts visant les utilisateurs de Microsoft 365, avec des leurres autour des déclarations fiscales, formulaires W-2 et remboursements. Cette menace est importante car les attaques sont de plus en plus ciblées et sophistiquées — QR codes, chaînes de redirection, fichiers cloud et abus d’outils RMM — ce qui complique leur détection et accroît le risque de vol d’identifiants et d’infection.

Résumé audio

0:00--:--
Besoin d'aide avec Security ?Parler à un expert

Introduction

La saison fiscale se révèle une fois de plus être une période de choix pour les cybercriminels. Microsoft signale une nette augmentation des campagnes de phishing et de malware qui exploitent l’urgence liée aux déclarations fiscales, aux avis de remboursement, aux formulaires de paie et aux communications des comptables pour inciter les utilisateurs à divulguer leurs identifiants ou à lancer des malwares.

Pour les équipes IT et sécurité, cela est important car ces campagnes ne sont pas de simples spams génériques. Beaucoup sont hautement ciblées, personnalisées et conçues pour échapper aux détections traditionnelles grâce à des QR codes, des chaînes de liens en plusieurs étapes, des fichiers hébergés dans le cloud et l’abus d’outils légitimes de surveillance et de gestion à distance (RMM).

Nouveautés

Microsoft a mis en évidence plusieurs schémas d’attaque sur le thème des impôts observés au début de l’année 2026 :

  • Phishing sur le thème CPA avec Energy365
    Des e-mails avec des objets tels que "See Tax file" utilisaient des pièces jointes Excel liées à des fichiers OneNote hébergés sur OneDrive, redirigeant finalement les utilisateurs vers des pages de collecte d’identifiants alimentées par le kit de phishing-as-a-service Energy365.

  • Phishing W-2 par QR code avec SneakyLog
    Des messages intitulés "2025 Employee Tax Docs" incluaient des documents Word contenant des QR codes personnalisés. Le scan du code menait les utilisateurs vers de fausses pages de connexion Microsoft 365 exploitées via le kit de phishing SneakyLog/Kratos, conçu pour voler les identifiants et les informations 2FA.

  • Leurres 1099 diffusant ScreenConnect
    Des domaines sur le thème des formulaires fiscaux usurpaient des marques financières et fiscales, conduisant les utilisateurs à télécharger 1099-FR2025.exe, qui installait ScreenConnect. Bien que légitime, ScreenConnect peut être détourné par des attaquants comme outil d’accès à distance.

  • Phishing sur le thème IRS et crypto
    Une autre campagne utilisait de faux messages IRS et de l’ingénierie sociale liée aux cryptomonnaies, notamment des URL à copier-coller au lieu de liens cliquables afin de réduire la détection automatisée.

Pourquoi cela importe pour les administrateurs

Ces campagnes montrent comment les attaquants combinent :

  • un contexte métier saisonnier convaincant
  • des plateformes de phishing-as-a-service qui passent rapidement à l’échelle
  • des pièces jointes et pages d’atterrissage personnalisées
  • des techniques de contournement de la MFA
  • des outils RMM légitimes et signés pour la persistance et l’accès hands-on-keyboard

Des organisations des services financiers, de la santé, de l’éducation, de l’industrie manufacturière, du retail et de l’IT ont toutes été observées comme cibles, les comptables et les rôles proches de la finance étant particulièrement exposés.

Étapes recommandées

Les administrateurs IT doivent prendre immédiatement les mesures suivantes :

  • Renforcer la sensibilisation des utilisateurs autour des e-mails sur le thème des impôts, en particulier les messages W-2, 1099, CPA et IRS inattendus.
  • Bloquer ou inspecter de près le phishing basé sur des QR codes et les chaînes de pièces jointes en plusieurs étapes impliquant Excel, OneNote et des liens de stockage cloud.
  • Réviser les politiques de sécurité de la messagerie pour la protection contre l’usurpation, l’analyse des pièces jointes et la détonation d’URL.
  • Rechercher les abus d’outils RMM tels que ScreenConnect et SimpleHelp, en particulier lorsqu’ils sont installés en dehors des canaux approuvés.
  • Renforcer les protections d’identité avec une MFA résistante au phishing lorsque cela est possible et surveiller les activités de connexion Microsoft 365 suspectes.
  • Utiliser les capacités de détection Microsoft Defender et les recommandations de hunting de l’avis pour identifier les indicateurs de compromission associés.

En résumé

La saison fiscale offre aux attaquants une fenêtre prévisible pour exploiter l’urgence et la confiance. Les dernières conclusions de Microsoft rappellent aux organisations qu’elles doivent traiter les messages liés aux impôts comme une catégorie de phishing à haut risque et valider à la fois l’activité des identités et les outils d’accès à distance dans l’ensemble de l’environnement.

Besoin d'aide avec Security ?

Nos experts peuvent vous aider à implémenter et optimiser vos solutions Microsoft.

Parler à un expert

Restez informé sur les technologies Microsoft

Lire l'article original de Microsoft Threat Intelligence and Microsoft Defender Security Research Team
SecurityphishingMicrosoft Defendertax seasonmalware

Articles connexes

Security

Compromission supply chain Trivy : guide Defender

Microsoft a publié des recommandations de détection, d’investigation et d’atténuation concernant la compromission de la supply chain Trivy de mars 2026, qui a affecté le binaire Trivy et des GitHub Actions associées. Cet incident est important, car il a détourné un outil de sécurité CI/CD de confiance pour voler des identifiants à partir de pipelines de build, d’environnements cloud et de systèmes de développeurs tout en semblant s’exécuter normalement.

Security

Gouvernance des agents IA : aligner l’intention

Microsoft présente un modèle de gouvernance pour les agents IA qui aligne l’intention de l’utilisateur, du développeur, du rôle et de l’organisation. Ce cadre aide les entreprises à garder des agents utiles, sécurisés et conformes en définissant des limites de comportement et un ordre de priorité clair en cas de conflit.

Security

Microsoft Defender : predictive shielding stoppe le ransomware GPO

Microsoft a détaillé un cas réel de ransomware dans lequel le predictive shielding de Defender a détecté un abus malveillant de Group Policy Object avant le début du chiffrement. En renforçant la propagation des GPO et en perturbant les comptes compromis, Defender a bloqué environ 97 % des tentatives de chiffrement et empêché tout appareil d’être chiffré via le chemin de diffusion GPO.

Security

Sécurité agentic AI : Microsoft renforce sa protection

Microsoft a présenté à la RSAC 2026 une stratégie complète pour sécuriser l’agentic AI en entreprise, avec le lancement en disponibilité générale d’Agent 365 le 1er mai et de nouveaux outils de visibilité comme Security Dashboard for AI. Ces annonces comptent car elles visent à aider les équipes IT et sécurité à mieux gouverner les agents AI, limiter les risques de surpartage de données et détecter plus tôt les menaces émergentes liées à l’IA.

Security

CTI-REALM open source : benchmark IA cybersécurité

Microsoft a dévoilé CTI-REALM, un benchmark open source qui évalue si des agents IA peuvent réellement produire des détections de sécurité de bout en bout à partir de rapports de cyber threat intelligence, plutôt que simplement répondre à des questions théoriques. C’est important pour les équipes SOC, car cet outil mesure des résultats opérationnels concrets — sur Linux, AKS et Azure — et aide à comparer la capacité réelle des modèles à soutenir l’ingénierie de détection.

Security

Zero Trust for AI de Microsoft : atelier et architecture

Microsoft a enrichi sa documentation Zero Trust avec une approche dédiée à l’IA, appliquant les principes « verify explicitly », « least privilege » et « assume breach » aux modèles, agents, prompts et sources de données. Cette évolution compte parce qu’elle fournit aux équipes IT et sécurité un cadre concret, renforcé par un nouveau pilier IA dans le Zero Trust Workshop, pour évaluer les risques propres à l’IA et déployer des contrôles adaptés à grande échelle.