L'adresse e-mail de Microsoft rejoint la lutte contre elle-même et envoie des spams pendant des mois

Depuis des mois, des escrocs exploitent une faille qui leur permet d'envoyer des e-mails indésirables depuis une adresse e-mail interne de Microsoft – la même que Microsoft utilise pour les alertes légitimes de compte, car apparemment personne n'a pensé à verrouiller cette porte.

On ne sait pas exactement comment les escrocs abusent du système, mais ils ont réussi à créer de nouveaux comptes Microsoft en se faisant passer pour de nouveaux clients et à utiliser cet accès pour envoyer des e-mails qui semblent provenir du géant de la tech lui-même. Parce que rien ne dit « faites-nous confiance » comme un faux e-mail d'une vraie entreprise.

Microsoft ne semble pas encore avoir la situation sous contrôle. La semaine dernière, TechCrunch a reçu plusieurs e-mails structurés de manière similaire avec des lignes d'objet et des liens frauduleux, tous envoyés depuis msonlineservicesteam@microsoftonline.com – la même adresse que Microsoft utilise pour les codes d'authentification à deux facteurs et autres alertes critiques. Certaines lignes d'objet imitaient des alertes de fraude officielles ; d'autres prétendaient qu'un message privé attendait le destinataire sur un lien douteux.

Mardi, l'organisation anti-spam à but non lucratif The Spamhaus Project a signalé avoir repéré cet abus remontant à « plusieurs mois ». « Les systèmes de notification automatisés ne devraient pas permettre ce niveau de personnalisation », a écrit Spamhaus avec ironie, après avoir informé Microsoft du problème.

TechCrunch a contacté Microsoft plus tôt cette semaine ; un porte-parole a accusé réception de la demande mais n'a pas encore commenté ni confirmé si l'abus a cessé. C'est le dernier d'une série d'incidents où des pirates ou des escrocs ont abusé des systèmes d'entreprise pour piéger les clients. Plus tôt cette année, des pirates ont pénétré une plateforme utilisée par la société fintech Betterment pour envoyer des notifications frauduleuses promettant de tripler les fonds des utilisateurs de crypto – une arnaque classique. Et en 2023, des pirates ont de la même manière abusé d'un compte e-mail géré par Namecheap pour envoyer des e-mails de phishing.

D'autres utilisateurs sur les réseaux sociaux rapportent que les adresses e-mail d'autres entreprises sont également utilisées pour le spam, suggérant que Microsoft n'est pas seul dans son manque de sécurité délicieux.