En bref

  • Un nouveau groupe d'extorsion baptisé Helix combine vishing téléphonique, device code phishing et détournement de l'authentification multifacteur pour infiltrer les environnements SharePoint d'entreprise sous Microsoft 365.
  • Helix hérite de l'ADN du groupe BlackFile (UNC6671), démantelé en avril 2026, et reprend le même manuel opératoire que ShinyHunters : usurpation d'identité de managers, ciblage de M365, exfiltration de SharePoint.
  • Désactiver l'authentification par code d'appareil (device code flow) dans Microsoft Entra ID est la contre-mesure défensive la plus efficace et la plus immédiate contre cette menace.

Un groupe d'extorsion qui mise tout sur l'ingénierie sociale

Les chercheurs de ReliaQuest ont documenté en juillet 2026 l'émergence de Helix, un groupe d'extorsion de données qui se distingue par une chaîne d'attaque reposant intégralement sur la manipulation humaine plutôt que sur des exploits techniques. Alors que la grande majorité des acteurs malveillants contemporains investissent dans le développement de maliciels complexes, le contournement d'EDR ou l'exploitation de vulnérabilités applicatives, Helix a délibérément fait le choix inverse : exploiter la confiance interpersonnelle et les mécanismes d'authentification légitimes de Microsoft pour s'introduire dans des environnements d'entreprise sans déclencher d'alertes de sécurité.

La chaîne d'attaque de Helix s'articule en quatre phases distinctes et parfaitement ordonnées. Tout commence par une phase de reconnaissance, durant laquelle les opérateurs collectent des informations sur l'organisation cible et ses employés : organigrammes disponibles sur LinkedIn, adresses email professionnelles, noms des responsables hiérarchiques directs. Cette étape préparatoire, menée en amont et sans contact avec la cible, permet de construire un scénario crédible d'usurpation identitaire suffisamment solide pour résister à l'analyse intuitive d'un employé en situation de stress.

La deuxième phase est le vishing — contraction de voice phishing ou hameçonnage vocal. Les opérateurs de Helix contactent directement un employé de l'organisation cible par appel téléphonique, en se faisant passer pour son responsable hiérarchique direct. Pour maximiser la crédibilité du contact, deux techniques sont combinées selon les cas : le caller ID spoofing, qui permet d'afficher le vrai numéro de téléphone du manager sur l'écran de la victime, et la simple mention du nom du supérieur concerné, suffisamment pour instaurer un sentiment d'autorité et d'urgence. Le prétexte invoqué varie, mais tourne généralement autour d'une procédure de sécurité ou d'une vérification d'accès urgente que l'employé doit effectuer immédiatement.

La troisième phase exploite le device code flow d'authentification Microsoft, un mécanisme légitime conçu à l'origine pour permettre l'authentification sur des appareils sans navigateur Web (télévisions connectées, terminaux industriels). Ce protocole génère un code temporaire que l'utilisateur doit saisir sur une page Microsoft officielle depuis n'importe quel appareil disposant d'un navigateur. Helix détourne ce mécanisme : les attaquants initient une demande d'authentification sur leur propre infrastructure, génèrent le code d'appareil correspondant, puis demandent à l'employé victime de saisir ce code sur la vraie page Microsoft, en lui expliquant par téléphone qu'il s'agit d'une procédure de vérification de sécurité. Lorsque l'employé s'exécute, les attaquants obtiennent un jeton d'accès valide à son compte Microsoft 365, sans jamais avoir eu besoin de connaître son mot de passe ni de contourner directement son authentification multifacteur.

Une fois l'accès initial obtenu, Helix passe immédiatement à la quatrième phase : l'enregistrement d'un nouvel authentificateur MFA sur le compte compromis. Cette manœuvre garantit la persistance de l'accès même si la victime change ultérieurement son mot de passe ou qu'une révocation des jetons de session est effectuée par l'équipe sécurité. Les opérateurs contrôlent désormais un accès persistant et légitime à l'environnement Microsoft 365 de l'employé, leur permettant de naviguer discrètement dans les ressources organisationnelles pendant une durée indéterminée.

L'exfiltration se concentre sur SharePoint Online, la plateforme collaborative documentaire de Microsoft intégrée dans M365. Helix adopte une approche méthodique : navigation dans les bibliothèques de documents, cartographie de l'arborescence des fichiers, identification des contenus à haute valeur (contrats, propriété intellectuelle, données RH, informations financières, données clients), puis exfiltration sélective ou massive selon les opportunités. Selon BleepingComputer et GBHackers, le groupe adopte également des techniques de reconnaissance interne pour identifier les employés disposant d'accès plus larges et les usurper à leur tour afin d'élargir le périmètre d'exfiltration.

Les données dérobées alimentent ensuite un schéma d'extorsion : Helix menace les organisations victimes de publier les informations sur un site de fuite darknet si une rançon n'est pas versée dans un délai imparti. À la différence des groupes de ransomware classiques, Helix ne chiffre jamais les données de ses victimes — l'arme de pression est uniquement la menace de divulgation publique, ce qui fait de lui un groupe d'extorsion pure, catégorie en forte croissance depuis 2025.

L'analyse génétique du mode opératoire de Helix par ReliaQuest révèle une filiation directe avec le groupe BlackFile, également désigné sous la référence UNC6671 par Mandiant. BlackFile opérait selon une méthodologie quasi identique jusqu'à sa dissolution en avril 2026, suivie de la fragmentation de ses membres vers plusieurs entités successeurs dont Pink et Redact. Helix représente vraisemblablement une autre branche issue de cette fragmentation. Des indicateurs techniques renforcent ces liens, notamment le recours commun au bureau d'enregistrement de noms de domaine NICENIC pour l'infrastructure de commande et de contrôle. Les similitudes avec le manuel opératoire de ShinyHunters — vishing, usurpation d'identité d'employés, ciblage de M365, exfiltration SharePoint — sont également frappantes, suggérant soit une connexion entre groupes, soit l'adoption d'une méthodologie partagée dont l'efficacité a été démontrée par de multiples acteurs indépendants.

Pourquoi cette menace redéfinit la surface d'attaque Microsoft 365

L'émergence de Helix illustre une tendance structurelle documentée depuis plusieurs années : le déplacement du centre de gravité des attaques depuis les vulnérabilités techniques vers l'ingénierie sociale avancée. Cette transition répond à une logique économique froide. Développer un exploit fonctionnel contre un système bien patché coûte désormais plusieurs centaines de milliers d'euros sur les marchés spécialisés, exige des compétences rares et est neutralisé par le premier patch du fournisseur. Appeler un employé en se faisant passer pour son chef ne coûte rien, ne requiert qu'une bonne capacité de manipulation, et est difficile à détecter par les outils de sécurité traditionnels.

Cette réalité rend partiellement inefficaces les solutions de sécurité centrées sur le périmètre technique. Les firewalls de nouvelle génération, les solutions EDR, les antivirus, les systèmes de détection d'intrusion réseau — aucun de ces outils ne peut intercepter une authentification Microsoft légitime effectuée volontairement par un employé trompé. L'incident ne produit aucune signature malveillante détectable : tous les accès s'effectuent avec des tokens valides, depuis des adresses IP pouvant être des proxies résidentiels, avec des comportements de navigation qui imitent ceux d'un utilisateur humain. C'est précisément ce qui rend Helix et ses homologues si difficiles à contrer avec des approches de sécurité conventionnelles.

La cible SharePoint n'est pas choisie par hasard. Dans les organisations ayant déployé Microsoft 365, SharePoint est devenu le référentiel central des documents d'entreprise : contrats clients et fournisseurs, plans stratégiques, rapports financiers, données RH et grilles salariales, procédures opérationnelles, propriété intellectuelle. Une exfiltration réussie de SharePoint équivaut souvent à un accès aux actifs informationnels les plus précieux d'une organisation, avec un potentiel d'extorsion maximal. Cette concentration documentaire est paradoxalement l'une des conséquences de la numérisation et de la centralisation des outils collaboratifs : plus les données sont accessibles et centralisées, plus elles sont productives en temps normal, et plus elles sont dangereuses si l'accès est compromis.

Du point de vue réglementaire, les incidents Helix engendrent des obligations immédiates au titre du RGPD. Une exfiltration de données SharePoint impliquant des informations personnelles d'employés ou de clients constitue une violation de données au sens de l'article 4 du RGPD, déclenchant l'obligation de notification à l'autorité de contrôle compétente — la CNIL en France — dans les 72 heures. Si la violation présente un risque élevé pour les droits et libertés des personnes concernées, ces dernières doivent également être notifiées sans délai. Les organisations opérant dans des secteurs essentiels ou importants au sens de NIS2 doivent en outre intégrer ce type d'incident dans leurs plans de réponse conformément aux exigences de l'article 23 de la directive, et anticiper des délais de reporting renforcés vis-à-vis des autorités sectorielles compétentes.

Ce qu'il faut retenir

  • Désactiver le device code flow dans les politiques d'accès conditionnel Microsoft Entra ID : c'est la contre-mesure principale et la plus efficace contre les attaques Helix, recommandée par ReliaQuest et documentée dans la littérature Microsoft Security.
  • Former les employés à ne jamais saisir de code d'authentification suite à une demande téléphonique, même d'un supérieur hiérarchique apparent — tout appel demandant une action d'authentification doit être traité comme suspect et vérifié par un canal indépendant.
  • Surveiller les enregistrements MFA anormaux (nouveau device ajouté en dehors des procédures d'onboarding) et les accès SharePoint inhabituels par volume ou par horaire, via Microsoft Sentinel ou un SIEM équivalent.

Comment un employé peut-il reconnaître une tentative d'attaque Helix ?

Aucun responsable légitime n'aura jamais besoin de vous demander de saisir un code sur une page Web lors d'un appel téléphonique. Si vous recevez un tel appel — même si le numéro affiché est celui de votre manager — raccrochez immédiatement et rappelez ce manager sur son numéro officiel référencé dans l'annuaire interne. Signalez ensuite la tentative à votre équipe sécurité ou à votre SOC : chaque tentative documentée permet d'affiner la formation et la détection collective.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact