Le fantôme de CVE-2020-1147 hante à nouveau les serveurs SharePoint
En cybersécurité, les failles oubliées sont parfois les plus dangereuses. C’est ce que démontre l’exploit baptisé ToolShell, une nouvelle menace redoutable qui exploite la vulnérabilité CVE-2020-1147 — pourtant corrigée en 2020. Cinq ans plus tard, cette brèche refait surface, révélant des failles critiques dans la gestion des correctifs de Microsoft.
Selon les chercheurs de Kaspersky, cette vulnérabilité resurgit dans un contexte alarmant : les patchs appliqués par Microsoft en 2020 étaient incomplets. Résultat ? Il suffit aujourd’hui d’une simple barre oblique « / » pour contourner les protections supposées empêcher cette attaque. Une aberration technique qui fait frémir les experts.
Un correctif incomplet : la faille CVE-2020-1147 refait surface
CVE-2020-1147 est une vulnérabilité critique affectant Microsoft SharePoint, une plateforme largement utilisée pour la gestion documentaire, la collaboration et les intranets d’entreprise. Bien que Microsoft ait publié un correctif en juillet 2020, les chercheurs ont récemment découvert que celui-ci pouvait être facilement contourné par l’ajout d’un simple caractère. Une faille d’une simplicité inquiétante.
« ToolShell, l'exploit qui terrorise les serveurs SharePoint, ressemble étrangement à CVE-2020-1147. » — Kaspersky
Cette découverte relance le débat sur la fiabilité des correctifs de sécurité dans les environnements critiques. Elle rappelle aussi que le risque ne disparaît jamais totalement — il évolue, se cache, puis revient plus fort si on baisse la garde.
ToolShell : une exploitation facilitée et automatisable
ToolShell ne nécessite pas de techniques complexes : il s’appuie sur des méthodes anciennes, largement documentées, mais légèrement modifiées pour contourner les protections en place. Ce recyclage intelligent des menaces fait de ToolShell un outil simple, rapide et efficace pour les cybercriminels.
« La facilité d'exploitation de ToolShell signifie que l'exploit public apparaîtra bientôt dans les outils populaires de test d'intrusion. » — Boris Larin, expert chez Kaspersky
Les conséquences sont graves : les chercheurs s’attendent à ce que ToolShell suive le même schéma de propagation que d’anciens exploits célèbres comme :
- ProxyLogon (Microsoft Exchange Server)
- EternalBlue (WannaCry)
- PrintNightmare (Windows Print Spooler)
En d’autres termes, nous pourrions assister à une vague mondiale d’infections, ciblant massivement les serveurs SharePoint non correctement sécurisés.
Une attaque globale, ciblée et stratégique
Pays touchés
D’après les données disponibles, les attaques utilisant ToolShell ont déjà été repérées dans plusieurs régions du globe, notamment :
- Égypte
- Vietnam
- Jordanie
- Russie
- Zambie
Cette répartition géographique indique une stratégie de déploiement globale, peut-être orchestrée par des groupes bien organisés, voire étatiques.
Secteurs d’activité visés
Les cibles ne sont pas choisies au hasard. Les attaques affectent des secteurs névralgiques :
- Finance
- Gouvernements
- Industrie manufacturière
- Agriculture
- Secteur forestier
Il ne s’agit donc pas seulement de cybercriminalité opportuniste. ToolShell est utilisé pour frapper des infrastructures essentielles à la stabilité économique et politique de certains pays.
Une piste géopolitique : Pékin dans le viseur
Certains experts estiment que des groupes pirates soutenus par des États pourraient être derrière ces attaques. Plusieurs sources anonymes et Kaspersky évoquent la possibilité d’un soutien indirect de la Chine, bien que les preuves restent limitées à ce stade.
Cette hypothèse s’aligne avec les tendances observées ces dernières années : plusieurs campagnes d’attaques sophistiquées contre des infrastructures critiques ont été attribuées à des groupes APT (Advanced Persistent Threat) liés à des États.
Une négligence inquiétante de Microsoft ?
Le rôle de Microsoft dans cette affaire soulève de sérieuses questions. Le correctif publié en 2020 avait été présenté comme définitif. Pourtant, il s’est révélé largement inefficace face à une attaque aussi simple qu’ajouter un « / » à une requête.
« Nous nous attendons à ce que ToolShell suive le même schéma que ProxyLogon, EternalBlue et PrintNightmare. » — Boris Larin, Kaspersky
Kaspersky ne mâche pas ses mots : l’éditeur pointe du doigt une « négligence » dans la gestion du patch. Ce constat met en lumière un problème récurrent : la sécurité dans les grands écosystèmes logiciels repose souvent sur des patchs qu’on suppose efficaces… jusqu’à preuve du contraire.
Comparaison avec les failles précédentes : un schéma bien rodé
ToolShell n’est pas une anomalie, c’est une répétition. Les grands exploits de la dernière décennie ont presque tous suivi le même cycle :
- Découverte d’une faille critique
- Publication d’un correctif
- Contournement partiel ou complet du correctif
- Propagation massive après intégration dans des outils d’exploitation publics
EternalBlue a conduit à WannaCry. ProxyLogon a paralysé des milliers d’organisations. PrintNightmare a forcé des milliers d’administrateurs à désactiver des fonctions clés du système. ToolShell, à son tour, semble promis au même destin.
Pourquoi cette faille est-elle si dangereuse ?
Plusieurs facteurs expliquent la dangerosité de ToolShell :
- Simplicité d’exploitation : pas besoin de compétence avancée en reverse engineering.
- Accessibilité du code : les variantes sont facilement adaptables.
- Cible critique : SharePoint est omniprésent dans les entreprises.
- Effet boule de neige : la faille pourrait intégrer des kits d’exploitation automatisés.
En d’autres termes, ToolShell peut devenir le point d’entrée d’une attaque en chaîne, permettant à des ransomwares, des voleurs de données ou des logiciels espions de s’infiltrer profondément dans les systèmes.
Que faire ? Recommandations urgentes pour les entreprises
Face à cette menace, les entreprises doivent agir immédiatement. Voici les actions recommandées :
- Appliquer tous les correctifs cumulés récents, y compris ceux de juillet 2025.
- Surveiller les journaux SharePoint à la recherche d’activités suspectes liées à des requêtes malformées.
- Mettre en place une isolation réseau pour limiter la propagation en cas de compromission.
- Former les équipes IT sur les nouvelles variantes d’exploitation comme ToolShell.
- Déployer des solutions EDR et SIEM pour une détection proactive.
L’anticipation reste la meilleure défense. Chaque minute compte dans un monde où une simple ligne de code peut paralyser des gouvernements.
Une leçon pour l’industrie logicielle
Cette affaire illustre crûment les failles du modèle actuel de gestion des vulnérabilités. Un patch imparfait, un oubli minuscule, une chaîne de tests incomplète… et cinq ans plus tard, une faille enterrée se transforme en menace mondiale.
Plus encore, elle pose une question dérangeante : combien d’autres failles “corrigées” dorment encore, prêtes à ressurgir ? Le cycle des vulnérabilités est devenu un cycle d’échecs cumulés — souvent causés non par les hackers eux-mêmes, mais par les lenteurs et les approximations des fournisseurs de logiciels.
Le passé ne meurt jamais… surtout en cybersécurité
ToolShell n’est pas seulement un exploit informatique. C’est un rappel cinglant : dans le cyberespace, rien ne disparaît vraiment. Une faille que l’on croit corrigée peut ressurgir à tout moment, et l’histoire se répète — souvent avec plus de dégâts.
Alors que des groupes sophistiqués utilisent à nouveau des failles vieilles de cinq ans pour infiltrer des secteurs entiers, les organisations doivent repenser leur approche : ne plus seulement appliquer les patchs, mais les vérifier, les surveiller, les tester… encore et encore.
Et surtout, comprendre que la cybersécurité n’est pas une ligne d’arrivée, mais une course permanente contre l’oubli.
0 Commentaires