Piratage messagerie dirigeant : 5 mois invisible dans Outlook

Imaginez un inconnu installé en silence dans votre bureau depuis cinq mois. Il lit chaque courrier qui arrive, note vos rendez-vous, copie vos contrats — et repart chaque soir sans laisser de trace. C'est exactement ce qui vient de se passer à grande échelle : des hackers ont compromis la boîte mail Outlook d'un haut dirigeant d'une bourse mondiale, exfiltrant discrètement ses emails en petits lots pendant cinq mois consécutifs. Cinq mois d'espionnage total, dans un silence parfait. Si cette attaque a visé une institution financière de premier rang, elle illustre une réalité qui concerne directement les dirigeants de PME françaises : votre messagerie est la cible numéro un des cybercriminels, et sans surveillance active, un intrus peut y rester invisible bien plus longtemps que vous ne l'imaginez.

Pourquoi la boîte mail du dirigeant est la cible idéale

Un attaquant qui accède à votre messagerie ne vole pas qu'une liste de contacts. Il met la main sur l'intégralité de votre activité : négociations en cours, coordonnées bancaires, bulletins de paie, mots de passe envoyés par email, accès à d'autres services connectés via la fonction "réinitialiser mon mot de passe". En matière de piratage messagerie dirigeant, le butin est considérable. Dans l'affaire révélée, les hackers ont choisi une stratégie particulièrement redoutable : plutôt que de télécharger des milliers d'emails d'un coup — ce qui aurait déclenché des alertes —, ils les ont collectés par petites tranches régulières, imitant le comportement d'un utilisateur normal. Ce type d'attaque, appelé "exfiltration lente", est conçu pour passer sous les radars des outils de sécurité classiques. Pour une PME qui n'a pas mis en place de surveillance des connexions à sa boîte mail, ce scénario n'est pas une hypothèse : c'est un risque quotidien.

Comment un hacker entre dans Outlook sans que vous le sachiez

La porte d'entrée la plus courante reste le phishing — un email qui imite parfaitement une notification Microsoft ou un message de votre banque, et qui vous invite à saisir votre identifiant et votre mot de passe sur un faux site. En quelques secondes, vos accès sont entre de mauvaises mains. Mais il existe d'autres méthodes : vol de mot de passe lors d'une fuite de données sur un autre site où vous utilisez le même identifiant, ou exploitation d'un appareil mal sécurisé (téléphone personnel, ordinateur partagé). Une fois connecté, l'attaquant configure souvent une règle automatique dans Outlook — une fonction tout à fait légitime qui permet normalement de trier ses emails. Il programme par exemple le transfert discret de certains messages vers une adresse externe, ou leur suppression immédiate après lecture, pour effacer ses traces. Sans surveillance de la sécurité Outlook PME, ce genre de manipulation peut durer des mois. La grande bourse mondiale citée en exemple disposait pourtant d'équipes de sécurité : cela n'a pas suffi à détecter l'intrusion rapidement.

Les signaux d'alerte que personne ne regarde

Le problème central, c'est l'absence de surveillance boîte mail entreprise. La plupart des PME n'ont aucune visibilité sur ce qui se passe réellement dans leurs messageries. Pourtant, plusieurs signaux peuvent trahir une intrusion si l'on sait où regarder. Une connexion à votre Outlook depuis un pays où vous n'avez aucune activité (un accès depuis la Roumanie ou le Nigeria à 3h du matin, par exemple) est un indicateur immédiat. De même, une règle de transfert automatique que vous n'avez pas créée, des emails marqués comme lus alors que vous ne les avez pas ouverts, ou des alertes de connexion que vous n'avez pas déclenchées sont autant de signaux concrets. Microsoft 365, la suite qui intègre Outlook dans la plupart des PME françaises, propose des outils natifs pour détecter ces anomalies — mais ils ne sont activés par défaut que dans les versions les plus avancées, et encore faut-il les consulter régulièrement. Sans personne pour regarder ces rapports, ils ne servent à rien.

Ce que vous pouvez faire dès maintenant

Vous n'avez pas besoin d'être informaticien pour agir. Voici cinq actions concrètes à mettre en place cette semaine. Première action : activez l'authentification à deux facteurs (2FA) sur votre compte Outlook. Concrètement, cela signifie qu'après votre mot de passe, on vous demande un code reçu par SMS ou via une application. Même si un hacker vole votre mot de passe, il ne pourra pas entrer sans ce deuxième code. C'est la mesure la plus efficace, et elle prend moins de dix minutes à configurer. Deuxième action : vérifiez les règles de transfert automatique de votre boîte mail. Dans Outlook ou via le portail Microsoft 365, consultez les règles actives dans votre messagerie et supprimez toute règle que vous ne reconnaissez pas. Troisième action : consultez l'historique des connexions à votre compte. Microsoft 365 permet de voir depuis quels appareils et quels pays votre boîte a été consultée. Un accès depuis une localisation inhabituelle doit déclencher immédiatement un changement de mot de passe. Quatrième action : demandez à votre prestataire informatique d'activer les alertes de connexion suspecte. Si vous avez un prestataire ou un service IT, demandez-lui explicitement de configurer des alertes automatiques en cas d'accès depuis un pays inhabituel ou d'un nouvel appareil inconnu. Cinquième action : ne réutilisez jamais votre mot de passe Outlook ailleurs. Utilisez un gestionnaire de mots de passe (Bitwarden, par exemple, est gratuit et fiable) pour créer un mot de passe unique et complexe pour chaque service. Ces cinq actions ne règlent pas tout, mais elles ferment les portes les plus fréquemment empruntées par les attaquants — et elles sont à la portée de n'importe quel dirigeant, sans compétence technique particulière.