Storm-2949 vide Azure et M365 sans malware via Entra SSPR

Storm-2949 : l'art de prendre le contrôle d'un cloud entier sans malware

Microsoft Threat Intelligence a publié le 18 mai 2026 une analyse détaillée d'une campagne d'intrusion attribuée à un groupe désigné Storm-2949. Ce groupe a réussi à transformer un seul identifiant compromis en une prise de contrôle complète d'un environnement cloud d'entreprise — couvrant Microsoft 365, Azure IaaS, PaaS et SaaS — sans jamais déployer de logiciel malveillant. Cette approche dite « sans malware » représente un défi majeur pour les solutions de sécurité traditionnelles qui fondent leur détection sur l'analyse comportementale des fichiers exécutables ou des agents installés sur les endpoints.

L'attaque commence par une phase d'ingénierie sociale particulièrement ciblée. Storm-2949 contacte des employés en se faisant passer pour le support informatique interne de leur organisation. L'attaquant initie lui-même un processus de réinitialisation de mot de passe en libre-service (SSPR) dans Microsoft Entra ID, puis appelle l'employé légitime pour l'informer d'une prétendue « procédure de vérification de sécurité ». Durant cet appel, l'employé reçoit une notification MFA push sur son téléphone. Manipulé par la conversation téléphonique, il approuve la notification — ignorant qu'il vient d'autoriser l'accès d'un attaquant à son propre compte.

Une fois la notification MFA approuvée par la victime, Storm-2949 dispose d'un accès temporaire suffisant pour exécuter la phase suivante : la réinitialisation complète du mot de passe du compte et la suppression de toutes les méthodes d'authentification existantes enregistrées pour cet utilisateur. L'attaquant enrôle ensuite sa propre application Microsoft Authenticator sur un appareil qu'il contrôle, s'octroyant un accès persistant et légitime aux yeux des systèmes de sécurité de Microsoft Entra ID. À ce stade, la victime légitime ne peut plus accéder à son propre compte.

Avec cet accès persistant établi, Storm-2949 entre dans la phase d'escalade et de mouvement latéral. Le groupe a ciblé délibérément des profils à forte valeur informationnelle : du personnel IT, dont les comptes disposent souvent d'accès administrateurs ou de droits élevés sur l'infrastructure, et des membres de la direction, qui ont accès à des informations stratégiques confidentielles. Ce choix stratégique des cibles initiales permet d'accélérer considérablement l'exploration du tenant Azure et d'obtenir rapidement les clés d'accès aux ressources critiques.

L'exfiltration de données s'étend rapidement à l'ensemble de l'environnement Microsoft 365 : OneDrive, SharePoint, les boîtes mail Exchange Online. L'analyse de Microsoft révèle que Storm-2949 a spécifiquement recherché et exfiltré des documents IT sensibles, notamment les configurations VPN et les procédures d'accès distant — des informations qui permettent de préparer des intrusions ultérieures sur l'infrastructure interne ou de revendre ces accès à d'autres groupes criminels sur les marketplaces du dark web. Au-delà de M365, les ressources Azure hébergées dans l'environnement cible ont également été compromises, couvrant les trois couches : IaaS (machines virtuelles, stockage), PaaS (services gérés) et SaaS (applications métier).

Ce qui distingue Storm-2949 des groupes classiques de ransomware, c'est son approche silencieuse et méthodique. Sans chiffrement de fichiers, sans déploiement d'agents sur les endpoints, l'attaque génère un niveau de bruit minimal dans les outils SIEM et EDR traditionnels. Les journaux d'accès légitimes de Microsoft Entra montrent des connexions réussies depuis des comptes valides — masquant l'intrusion derrière l'apparence d'une activité normale. C'est précisément ce type d'attaque que les solutions de détection basées uniquement sur les signatures ou les comportements malveillants connus ne peuvent pas intercepter efficacement.

L'objectif de Storm-2949 est clairement l'espionnage et le vol de données à visée économique ou stratégique, pas la perturbation des systèmes. Ce profil opérationnel suggère soit un groupe cybercriminel spécialisé dans la revente de données et d'accès initiaux (Initial Access Brokers), soit un acteur de type APT à motivation étatique cherchant à collecter du renseignement sur des organisations cibles. Microsoft n'a pas officiellement attribué Storm-2949 à un État-nation spécifique dans sa publication de mai 2026.

L'analyse de Storm-2949 s'inscrit dans un effort de transparence plus large de Microsoft sur les menaces ciblant son écosystème cloud. Depuis l'attaque Storm-0558 de 2023 — qui avait compromis les boîtes mails de responsables gouvernementaux américains via une faille dans les tokens Exchange Online — Microsoft a significativement renforcé ses publications de threat intelligence. Cette visibilité accrue bénéficie à l'ensemble de la communauté de sécurité, mais révèle également l'ampleur et la sophistication des attaques ciblant spécifiquement les environnements Microsoft cloud.

L'identité cloud, nouveau périmètre d'attaque des organisations modernes

L'affaire Storm-2949 illustre une réalité que les équipes sécurité doivent pleinement intégrer : dans un monde cloud-first, l'identité est le nouveau périmètre. Les attaquants ont compris depuis longtemps que compromettre un compte valide dans un tenant Azure suffit à obtenir un accès légitime à l'ensemble des ressources associées, contournant les contrôles de sécurité réseau traditionnels comme les firewalls et les VPN d'entreprise. La démocratisation du télétravail et l'explosion des accès cloud ont élargi considérablement la surface d'attaque exposée, sans que les stratégies de défense n'aient toujours évolué à la même vitesse.

La fonctionnalité SSPR de Microsoft Entra ID, bien que conçue pour améliorer l'expérience utilisateur et réduire la charge des helpdesks, représente un vecteur d'attaque documenté depuis plusieurs années. Lorsqu'elle est mal configurée — par exemple sans exiger plusieurs méthodes de vérification alternatives, ou sans alertes sur les réinitialisations depuis des appareils non reconnus — elle devient une porte dérobée légale dans l'infrastructure d'identité d'une organisation. Microsoft recommande désormais d'activer le Conditional Access pour protéger les flux SSPR et d'exiger des méthodes MFA résistantes au phishing pour toute opération d'enrôlement d'appareil.

L'approche sans malware de Storm-2949 met en évidence les limites des solutions de sécurité endpoint (EDR/XDR) comme seul outil de défense. Ces solutions excellent dans la détection de comportements malveillants sur les appareils gérés, mais sont aveugles aux compromissions purement cloud qui n'impliquent aucun exécutable sur un endpoint géré. La protection contre ce type d'attaque nécessite des capacités de détection spécifiques aux plans de contrôle cloud : analyse des comportements d'authentification anormaux, détection d'enrôlement d'appareil non autorisé, surveillance des accès à grande échelle aux fichiers SharePoint et OneDrive. Des outils comme Microsoft Defender for Cloud Apps et Microsoft Entra ID Protection sont spécifiquement conçus pour détecter ces patterns.

Pour les équipes sécurité françaises, l'ANSSI rappelle régulièrement dans ses guides que la gestion des identités privilégiées (Privileged Identity Management ou PIM) et la revue périodique des droits d'accès constituent des mesures fondamentales, souvent négligées au profit d'investissements dans des technologies plus visibles. Dans le contexte de NIS2, les opérateurs de services essentiels et les entités importantes ont désormais l'obligation formelle de gérer les risques liés à la sécurité des chaînes d'accès et des identités, ce qui inclut directement les scénarios couverts par Storm-2949.

Ce qu'il faut retenir

• Storm-2949 prouve qu'un seul compte Microsoft Entra compromis via vishing et abus du SSPR suffit à compromettre l'intégralité d'un environnement Azure et Microsoft 365, sans déployer de malware.
• Les méthodes MFA basées sur des notifications push sont vulnérables à l'ingénierie sociale ; seules les méthodes résistantes au phishing (FIDO2, passkeys hardware) éliminent définitivement ce vecteur d'attaque.
• Les organisations doivent auditer leurs paramètres SSPR, activer les alertes sur les enrôlements d'appareils non autorisés, et déployer des politiques d'accès conditionnel couvrant les flux de réinitialisation de mot de passe.