Faille Microsoft 365 Android : vos comptes pros en danger
Une faille dans les applis Microsoft 365 sur Android permettait à n'importe quelle app malveillante de voler les accès à vos comptes professionnels. Ce que vous devez savoir.
Imaginez : un de vos commerciaux consulte ses mails professionnels sur son téléphone Android. Sans qu'il s'en rende compte, une application anodine installée sur le même téléphone — une appli de lampe torche, un jeu gratuit, peu importe — aspire silencieusement ses identifiants Microsoft 365. En quelques secondes, un inconnu a accès à ses mails, ses fichiers Teams, son OneDrive… et potentiellement à toute votre infrastructure. Ce scénario n'est pas de la science-fiction : c'est exactement ce que permettait une faille découverte récemment dans les applications Microsoft 365 sur Android. Bonne nouvelle : un correctif existe. Mauvaise nouvelle : si vous ne faites rien, votre entreprise reste exposée.
Ce qui s'est passé : la faille expliquée simplement
Pour qu'une application comme Outlook, Teams ou OneDrive puisse vous identifier sans vous demander votre mot de passe à chaque ouverture, Microsoft utilise ce qu'on appelle un « jeton d'authentification » — imaginez-le comme un badge magnétique temporaire qui prouve que vous êtes bien vous. Le problème découvert dans la sécurité des applications mobiles Microsoft 365 sur Android, c'est que ces badges étaient stockés de façon accessible. Sur Android, les applications sont normalement cloisonnées les unes des autres, comme des bureaux séparés dans un immeuble. Mais une mauvaise configuration dans les applis Microsoft ouvrait une porte dérobée : n'importe quelle autre application installée sur le téléphone pouvait entrer dans le bureau de Microsoft et repartir avec le badge. Résultat : le vol de token d'authentification Microsoft devenait possible sans que l'utilisateur tape un seul mot de passe, sans alerte, sans trace visible.
Pourquoi c'est particulièrement grave pour une PME
Dans une grande entreprise, un accès compromis peut rester isolé. Dans une PME, c'est rarement le cas. Le compte Microsoft 365 d'un collaborateur donne souvent accès aux fichiers partagés de toute l'équipe, aux boîtes mails internes, aux conversations Teams où circulent devis, contrats et données clients. Un seul téléphone Android compromis peut donc devenir la porte d'entrée vers l'ensemble de votre activité. Ce qui rend la situation encore plus préoccupante pour la sécurité des applications mobiles en PME, c'est la multiplication des usages : vos collaborateurs utilisent leurs smartphones personnels pour travailler, ces téléphones accueillent des dizaines d'applications dont vous ne maîtrisez pas la qualité, et les mises à jour de sécurité ne sont pas toujours faites en temps réel. La faille Microsoft 365 Android s'inscrit dans une réalité que beaucoup de dirigeants sous-estiment : le smartphone est devenu le maillon faible de la sécurité en entreprise.
Où en est-on aujourd'hui ? Microsoft a corrigé, mais…
Microsoft a été informé de cette vulnérabilité et a publié des mises à jour correctives pour ses applications Android concernées — notamment Outlook, Teams, OneDrive et Word. La faille ne sera donc plus exploitable sur un téléphone à jour. Mais voilà le piège : une mise à jour qui n'est pas installée ne protège de rien. Or dans la réalité d'une PME, personne ne vérifie si les 12 smartphones de l'équipe commerciale ont bien téléchargé la dernière version d'Outlook. Et si un jeton d'authentification a déjà été volé avant la mise à jour, le changer est indispensable — sans quoi l'attaquant conserve son accès même après correction. C'est pourquoi cette faille, bien que corrigée, nécessite une réaction active de votre part et pas une simple attente.
Ce que vous pouvez faire dès maintenant
1. Exigez la mise à jour immédiate de toutes les applications Microsoft 365 sur les téléphones Android de vos collaborateurs. Outlook, Teams, OneDrive, Word, Excel : chacune doit être à la dernière version disponible sur le Google Play Store. Faites-en une consigne écrite, vérifiable.
2. Révoquez les sessions actives depuis le centre d'administration Microsoft 365. Connectez-vous sur admin.microsoft.com, rendez-vous dans la gestion des utilisateurs et déconnectez toutes les sessions ouvertes pour les comptes sensibles (dirigeants, comptabilité, RH). Cela force la reconnexion avec des jetons neufs et invalide ceux qui auraient pu être volés.
3. Activez l'authentification multifacteur (MFA) sur tous les comptes, si ce n'est pas encore fait. C'est votre filet de sécurité : même avec un jeton volé, l'attaquant devra valider une connexion via le téléphone du collaborateur. C'est la mesure de protection la plus efficace contre ce type d'attaque.
4. Interdisez ou encadrez l'installation d'applications non vérifiées sur les téléphones qui accèdent à vos outils professionnels. Une politique simple, même informelle, réduit considérablement la surface de risque.
5. Faites un point rapide avec votre prestataire informatique ou votre infogérant. Montrez-lui cet article, demandez-lui de confirmer que vos environnements mobiles sont à jour et que la MFA est bien active sur l'ensemble de vos comptes. Si vous n'avez pas de prestataire, c'est peut-être le moment d'en consulter un : une heure d'audit vaut mieux qu'une semaine de crise après une intrusion.