Des arnaqueurs ont exploité l'adresse de notification officielle de Microsoft pendant des mois pour contourner les filtres antispam. Voici ce que les responsables du marketing par email et les équipes de sécurité doivent savoir.
Des arnaqueurs ont trouvé un moyen d'envoyer des emails de phishing directement depuis msonlineservicesteam@microsoftonline.com, l'adresse que Microsoft utilise pour les alertes de sécurité légitimes, comme les codes d'authentification à deux facteurs. Selon TechCrunch, l'organisation antiSpam à but non lucratif Spamhaus Project a confirmé que l'abus était actif depuis "plusieurs mois", le spam provenant d'une adresse que Microsoft réserve normalement aux notifications de compte critiques.
Pour les entreprises qui gèrent des campagnes de marketing par email, cela revêt une importance qui dépasse la simple cybersécurité. Lorsqu'une adresse d'envoi de confiance s'associe au spam, cela érode la confiance des destinataires dans tout le canal email, y compris vos campagnes légitimes.
Comment l'exploit fonctionne
L'attaque ne passe pas par une intrusion dans les serveurs de Microsoft ou l'exploitation d'une faille logicielle. Selon les chercheurs en sécurité d'Abnormal AI, l'attaque ne repose pas sur un compte compromis ou un défaut de code. Au lieu de cela, elle exploite les fonctionnalités de configuration standard des locataires, en particulier le champ "Nom du locataire", pour injecter des messages frauduleux directement dans un modèle de notification système.
Le résultat pratique est techniquement préoccupant. Parce que l'email provient des propres serveurs haute réputation de Microsoft, il passe authentiquement les vérifications SPF, DKIM et DMARC, ce qui lui permet de contourner les passerelles de messagerie sécurisées qui reposent sur l'authentification de l'expéditeur. En d'autres termes, les défenses techniques standard sur lesquelles s'appuient les responsables du marketing par email et les équipes informatiques pour filtrer les mauvais messages ne signalent simplement pas ces messages.
Des arnaqueurs ont exploité l'adresse de notification officielle de Microsoft pendant des mois pour contourner les filtres antispam. Voici ce que les responsables du marketing par email et les équipes de sécurité doivent savoir.
Des arnaqueurs ont trouvé un moyen d'envoyer des emails de phishing directement depuis msonlineservicesteam@microsoftonline.com, l'adresse que Microsoft utilise pour les alertes de sécurité légitimes, comme les codes d'authentification à deux facteurs. Selon TechCrunch, l'organisation antiSpam à but non lucratif Spamhaus Project a confirmé que l'abus était actif depuis "plusieurs mois", le spam provenant d'une adresse que Microsoft réserve normalement aux notifications de compte critiques.
Pour les entreprises qui gèrent des campagnes de marketing par email, cela revêt une importance qui dépasse la simple cybersécurité. Lorsqu'une adresse d'envoi de confiance s'associe au spam, cela érode la confiance des destinataires dans tout le canal email, y compris vos campagnes légitimes.
Comment l'exploit fonctionne
L'attaque ne passe pas par une intrusion dans les serveurs de Microsoft ou l'exploitation d'une faille logicielle. Selon les chercheurs en sécurité d'Abnormal AI, l'attaque ne repose pas sur un compte compromis ou un défaut de code. Au lieu de cela, elle exploite les fonctionnalités de configuration standard des locataires, en particulier le champ "Nom du locataire", pour injecter des messages frauduleux directement dans un modèle de notification système.
Le résultat pratique est techniquement préoccupant. Parce que l'email provient des propres serveurs haute réputation de Microsoft, il passe authentiquement les vérifications SPF, DKIM et DMARC, ce qui lui permet de contourner les passerelles de messagerie sécurisées qui reposent sur l'authentification de l'expéditeur. En d'autres termes, les défenses techniques standard sur lesquelles s'appuient les responsables du marketing par email et les équipes informatiques pour filtrer les mauvais messages ne signalent simplement pas ces messages.
Abnormal AI a analysé 2 000 messages uniques sur plus de 250 locataires Microsoft 365 abusés, trouvant une opération hautement organisée de "brûler et changer" où les attaquants automatisent la création de locataires jetables pour lancer des attaques en utilisant des techniques d'évasion spécifiques. Une tactique, que Abnormal AI appelle un "Détournement de ligne d'objet", implique d'injecter 60 caractères ou plus de texte arnaqueur dans le champ du nom du locataire pour forcer le texte système légitime hors de l'écran, combiné avec des substitutions de caractères Unicode pour contourner la reconnaissance optique de caractères et les bloqueurs de mots clés.
À quoi ressemble le spam
Certains de ces emails ont des lignes d'objet qui ressemblent à des alertes de fraude officielles, tandis que d'autres prétendent qu'un message privé attend le destinataire à une adresse web dans le corps du message. Dans au moins un exemple capturé signalé sur les plateformes de signalement de spam, un message a été envoyé depuis msonlineservicesteam@microsoftonline.com avec une ligne d'objet affirmant qu'une commande Bitcoin PayPal de 699,99 USD avait été détectée.
Winbuzzer note que Spamhaus a critiqué le chemin de personnalisation qui rend cela possible, déclarant: "Les systèmes de notification automatisés ne devraient pas permettre ce niveau de personnalisation."
Seclon les rapports, les arnaqueurs semblent configurer de nouveaux comptes Microsoft comme s'il s'agissait de nouveaux clients et utiliser cet accès pour envoyer des emails qui semblent provenir de Microsoft lui-même. Microsoft ne semble pas encore avoir résolu le problème.
Le paysage plus large du phishing en 2026
Cet incident ne se tient pas isolé. Winbuzzer rapporte que Microsoft a détecté 8,3 milliards de menaces de phishing par email au premier trimestre 2026 seul, avec 78% de ces menaces classées comme basées sur des liens, ce qui explique pourquoi un expéditeur d'alerte de confiance est si précieux pour les attaquants qui poussent des URL malveillantes.
Le modèle d'abus de l'infrastructure légitime s'accélère. Le Blog de sécurité Microsoft a documenté des campagnes où les applications malveillantes mais conformes aux normes abusent les flux de gestion des erreurs légitimes pour rediriger les utilisateurs des fournisseurs d'identité de confiance vers l'infrastructure contrôlée par les attaquants, notant que alors que les organisations renforcent les défenses contre le vol d'identifiants, les attaquants ciblent de plus en plus les relations de confiance et le comportement des protocoles.
Séparément, SC Media a documenté des attaquants exploitant Amazon SES, un autre service légitime et de confiance, pour envoyer des emails malveillants qui contournent les vérifications SPF, DKIM et DMARC. L'exploit de l'adresse de notification de Microsoft fait partie d'un changement systématique vers l'utilisation de l'infrastructure de marques de confiance comme véhicule de livraison.
Ce que cela signifie pour les responsables du marketing par email et les propriétaires d'entreprise
Les implications en matière de délivrabilité vont dans deux sens. Premièrement, vos abonnés apprennent en ce moment même à se méfier des emails d'expéditeurs familiers. Quand une alerte de sécurité Microsoft qui semble légitime s'avère être du spam, les destinataires deviennent plus sceptiques à l'égard de tous les emails automatisés, y compris vos messages transactionnels et vos infolettres.
Deuxièmement, la leçon technique touche au cœur du fonctionnement réel de l'authentification email. Abnormal AI le souligne clairement: la détection et le blocage de ce type d'abus exigent de regarder au-delà de l'adresse de l'expéditeur ou des résultats d'authentification pour comprendre la véritable intention et le contexte du contenu du message, même quand il provient d'une source de confiance comme Microsoft.
Winbuzzer encadre le dilemme auquel font face les administrateurs et les utilisateurs: bloquer purement et simplement l'adresse de l'expéditeur pourrait également perturber les réinitialisations de mot de passe légitimes, les avertissements de connexion et autres emails de récupération normaux, transformant une défense de base contre le phishing en un choix entre un filtrage plus strict et un accès normal au compte.
Pour les équipes qui gèrent des programmes email, plusieurs étapes pratiques s'appliquent maintenant:
Auditez vos listes blanches. La plupart des organisations ont des règles de liste blanche pour contourner le filtrage des emails de msonlineservicesteam@microsoftonline.com afin de s'assurer que les employés reçoivent les codes MFA légitimes. Examinez si cette confiance générale est appropriée compte tenu de la menace actuelle.
Passez à la détection comportementale. Les listes blanches statiques ne suffisent plus. Les organisations devraient adopter des approches comportementales qui apprennent à quoi ressemblent les notifications système normales pour chaque locataire et signaler les anomalies.
Appliquez DMARC avec p=reject.Red Sift note que la sécurité email efficace en 2026 exige l'application d'une politique au niveau du domaine, et que DMARC avec p=reject est le contrôle le plus efficace pour arrêter l'usurpation de domaine et l'usurpation de marque à grande échelle.
Formez votre équipe. Le Blog de sécurité Microsoft recommande d'investir dans la sensibilisation des utilisateurs et les simulations de phishing, y compris la simulation de messages de phishing par le biais de scénarios d'attaque réalistes.
Winbuzzer confirme que la question de savoir si le canal d'alerte abusé a été verrouillé par Microsoft reste publiquement floue. Jusqu'à ce qu'il le soit, considérez tout email de notification Microsoft contenant une urgence financière, des demandes d'appel à un numéro de support ou des liens vers des domaines non Microsoft comme un signal d'alerte, indépendamment de ce que l'adresse de l'expéditeur indique.
Abnormal AI a analysé 2 000 messages uniques sur plus de 250 locataires Microsoft 365 abusés, trouvant une opération hautement organisée de "brûler et changer" où les attaquants automatisent la création de locataires jetables pour lancer des attaques en utilisant des techniques d'évasion spécifiques. Une tactique, que Abnormal AI appelle un "Détournement de ligne d'objet", implique d'injecter 60 caractères ou plus de texte arnaqueur dans le champ du nom du locataire pour forcer le texte système légitime hors de l'écran, combiné avec des substitutions de caractères Unicode pour contourner la reconnaissance optique de caractères et les bloqueurs de mots clés.
À quoi ressemble le spam
Certains de ces emails ont des lignes d'objet qui ressemblent à des alertes de fraude officielles, tandis que d'autres prétendent qu'un message privé attend le destinataire à une adresse web dans le corps du message. Dans au moins un exemple capturé signalé sur les plateformes de signalement de spam, un message a été envoyé depuis msonlineservicesteam@microsoftonline.com avec une ligne d'objet affirmant qu'une commande Bitcoin PayPal de 699,99 USD avait été détectée.
Winbuzzer note que Spamhaus a critiqué le chemin de personnalisation qui rend cela possible, déclarant: "Les systèmes de notification automatisés ne devraient pas permettre ce niveau de personnalisation."
Seclon les rapports, les arnaqueurs semblent configurer de nouveaux comptes Microsoft comme s'il s'agissait de nouveaux clients et utiliser cet accès pour envoyer des emails qui semblent provenir de Microsoft lui-même. Microsoft ne semble pas encore avoir résolu le problème.
Le paysage plus large du phishing en 2026
Cet incident ne se tient pas isolé. Winbuzzer rapporte que Microsoft a détecté 8,3 milliards de menaces de phishing par email au premier trimestre 2026 seul, avec 78% de ces menaces classées comme basées sur des liens, ce qui explique pourquoi un expéditeur d'alerte de confiance est si précieux pour les attaquants qui poussent des URL malveillantes.
Le modèle d'abus de l'infrastructure légitime s'accélère. Le Blog de sécurité Microsoft a documenté des campagnes où les applications malveillantes mais conformes aux normes abusent les flux de gestion des erreurs légitimes pour rediriger les utilisateurs des fournisseurs d'identité de confiance vers l'infrastructure contrôlée par les attaquants, notant que alors que les organisations renforcent les défenses contre le vol d'identifiants, les attaquants ciblent de plus en plus les relations de confiance et le comportement des protocoles.
Séparément, SC Media a documenté des attaquants exploitant Amazon SES, un autre service légitime et de confiance, pour envoyer des emails malveillants qui contournent les vérifications SPF, DKIM et DMARC. L'exploit de l'adresse de notification de Microsoft fait partie d'un changement systématique vers l'utilisation de l'infrastructure de marques de confiance comme véhicule de livraison.
Ce que cela signifie pour les responsables du marketing par email et les propriétaires d'entreprise
Les implications en matière de délivrabilité vont dans deux sens. Premièrement, vos abonnés apprennent en ce moment même à se méfier des emails d'expéditeurs familiers. Quand une alerte de sécurité Microsoft qui semble légitime s'avère être du spam, les destinataires deviennent plus sceptiques à l'égard de tous les emails automatisés, y compris vos messages transactionnels et vos infolettres.
Deuxièmement, la leçon technique touche au cœur du fonctionnement réel de l'authentification email. Abnormal AI le souligne clairement: la détection et le blocage de ce type d'abus exigent de regarder au-delà de l'adresse de l'expéditeur ou des résultats d'authentification pour comprendre la véritable intention et le contexte du contenu du message, même quand il provient d'une source de confiance comme Microsoft.
Winbuzzer encadre le dilemme auquel font face les administrateurs et les utilisateurs: bloquer purement et simplement l'adresse de l'expéditeur pourrait également perturber les réinitialisations de mot de passe légitimes, les avertissements de connexion et autres emails de récupération normaux, transformant une défense de base contre le phishing en un choix entre un filtrage plus strict et un accès normal au compte.
Pour les équipes qui gèrent des programmes email, plusieurs étapes pratiques s'appliquent maintenant:
Auditez vos listes blanches. La plupart des organisations ont des règles de liste blanche pour contourner le filtrage des emails de msonlineservicesteam@microsoftonline.com afin de s'assurer que les employés reçoivent les codes MFA légitimes. Examinez si cette confiance générale est appropriée compte tenu de la menace actuelle.
Passez à la détection comportementale. Les listes blanches statiques ne suffisent plus. Les organisations devraient adopter des approches comportementales qui apprennent à quoi ressemblent les notifications système normales pour chaque locataire et signaler les anomalies.
Appliquez DMARC avec p=reject.Red Sift note que la sécurité email efficace en 2026 exige l'application d'une politique au niveau du domaine, et que DMARC avec p=reject est le contrôle le plus efficace pour arrêter l'usurpation de domaine et l'usurpation de marque à grande échelle.
Formez votre équipe. Le Blog de sécurité Microsoft recommande d'investir dans la sensibilisation des utilisateurs et les simulations de phishing, y compris la simulation de messages de phishing par le biais de scénarios d'attaque réalistes.
Winbuzzer confirme que la question de savoir si le canal d'alerte abusé a été verrouillé par Microsoft reste publiquement floue. Jusqu'à ce qu'il le soit, considérez tout email de notification Microsoft contenant une urgence financière, des demandes d'appel à un numéro de support ou des liens vers des domaines non Microsoft comme un signal d'alerte, indépendamment de ce que l'adresse de l'expéditeur indique.
