Un e-mail falsifié qui semble venir de votre banque, de votre PDG ou de Microsoft lui-même peut désormais atterrir dans une boîte Exchange Online après avoir passé tous les contrôles d’authentification — parce qu’il n’en a affronté aucun. Le 9 juin 2026, les chercheurs d’InfoGuard Labs ont publié Ghost-Sender, une technique qui permet d’usurper quasiment n’importe quel expéditeur face à un locataire Microsoft 365 mal configuré, en contournant entièrement SPF, DKIM et DMARC. Microsoft parle d’« une limitation architecturale connue ». Voici ce qui s’est réellement passé, pourquoi les signaux de confiance auxquels vous vous fiez ne valent plus rien dans les boîtes touchées, et comment repérer un message falsifié.
Ce qui s’est passé — et comment l’usurpation fonctionne
Ghost-Sender, dévoilé le 9 juin 2026 par les chercheurs d’InfoGuard Labs Lucas Dodgson, Tobias Oberdörfer et Robin Hilber, permet à un attaquant de livrer un e-mail se faisant passer pour n’importe quel expéditeur — interne ou externe — à un locataire Microsoft Exchange Online, sans aucun avertissement d’authentification. L’astuce : quand une organisation route son courrier via un service externe avec un enregistrement MX externe mais laisse son connecteur entrant ouvert, l’attaquant envoie directement au point de terminaison *.mail.protection.outlook.com du locataire, contournant à la fois le filtre tiers et les contrôles SPF/DKIM/DMARC qui signaleraient autrement le faux.
Le mot-clé est contourner, pas casser. SPF, DKIM et DMARC font toujours leur travail pour le courrier qui suit le chemin normal. Ghost-Sender emprunte simplement une autre porte : il injecte le message directement dans le point de réception de Microsoft, où la validation entrante ne s’applique jamais à lui. Dark Reading résume le résultat sans détour — les attaquants peuvent usurper n’importe quelle adresse e-mail. InfoGuard a trouvé une exposition large : moins de la moitié des environnements concernés avaient appliqué une mesure, et plus de 20 % des domaines Exchange Online scannés en périmètre bug-bounty paraissaient ouverts à la technique. C’est la même famille de contournement d’authentification que le phishing Gmail qui a passé SPF, DKIM et DMARC le mois dernier — porte différente, même postulat erroné qu’un expéditeur « vérifié » est un expéditeur sûr.
Ce que cela change pour votre boîte — et quoi faire
Si votre organisation utilise Exchange Online derrière un filtre de messagerie tiers, un message de phishing peut vous parvenir avec une ligne « De » parfaitement digne de confiance — votre directeur financier, un fournisseur connu, le support Microsoft — sans aucun des signaux d’alerte habituels. La leçon défensive pour vous, lecteur : cessez de prendre le nom de l’expéditeur et les coches d’authentification pour une preuve d’identité. Vérifiez par un second canal toute demande d’argent, d’identifiants ou d’action urgente avant d’agir.
Trois réflexes concrets. D’abord, ralentissez devant tout ce qui crée de l’urgence ou réclame de l’argent ou des identifiants — les fausses factures de « fournisseurs de confiance » et les demandes de fraude au président sont précisément ce que GBHackers cite comme cas d’abus phares, et ils fonctionnent justement parce que rien dans la boîte ne paraît anormal. Ensuite, appuyez-vous sur l’étiquette d’expéditeur externe dans Outlook là où votre administrateur l’a activée ; un message prétendant venir d’un collègue mais marqué externe est un indice immédiat. Enfin, vérifiez hors bande : appelez la personne, ouvrez vous-même le site du fournisseur plutôt que de cliquer, et confirmez par téléphone tout changement de coordonnées de paiement — des réflexes qui déjouent une usurpation quelle que soit la propreté de ses en-têtes.
Si c’est vous qui gérez la messagerie, le correctif est entre vos mains plutôt que celles de Microsoft. Cyber Security News et InfoGuard pointent deux mesures : un connecteur entrant d’organisation partenaire qui n’accepte le courrier que depuis les IP ou le certificat de votre fournisseur de filtrage, et une règle de flux de messagerie hautement prioritaire qui met en quarantaine les messages entrants dépourvus de l’en-tête d’authentification interne attendu par votre locataire. La posture de Microsoft a évolué — de « pas une vulnérabilité » à « une limitation architecturale connue » le 29 mai, puis réouverture du dossier le 10 juin après publication — mais sans correctif déployé au niveau de la plateforme, le verrouillage du connecteur est aujourd’hui ce qui sépare un locataire d’une falsification Ghost-Sender. C’est un rappel plus tranchant encore que la panne Exchange Online de la semaine dernière : la boîte en laquelle vous avez le plus confiance ne vaut que les règles placées devant elle.
Alexis Dollé, expert e-mail depuis plus de 10 ans. Fondateur d’Email Tools. Je teste moi-même chaque client e-mail et chaque utilitaire, puis j’en parle comme je l’expliquerais à un ami — sans blabla marketing, sans classement sponsorisé, chaque affirmation sourcée.
LinkedInFoire aux questions
Qu’est-ce que la faille Ghost-Sender ? — une injection dans Exchange Online qui usurpe tout expéditeur en passant SPF/DKIM/DMARC
Ghost-Sender est une faiblesse dans la façon dont Microsoft Exchange Online accepte le courrier entrant, publiée le 9 juin 2026 par InfoGuard Labs. Quand un locataire route son courrier via un service externe (un filtre anti-spam tiers) au moyen d’un enregistrement MX externe sans verrouiller le connecteur, un attaquant peut livrer un message directement au point de terminaison *.mail.protection.outlook.com du locataire — en contournant le filtre et en arrivant sans aucun avertissement d’authentification, même lorsque le domaine usurpé dispose de SPF, DKIM et DMARC valides.
Ghost-Sender signifie-t-il que SPF, DKIM et DMARC sont cassés ? — non, ils sont sautés, pas vaincus
Non. Ces standards fonctionnent toujours comme prévu — ils vérifient que le courrier qui quitte un domaine est autorisé. Ghost-Sender les contourne côté réception : le message est injecté directement dans le locataire Exchange Online, de sorte que les contrôles entrants qui signaleraient normalement un faux n’ont jamais l’occasion d’agir. Les protections ne sont pas brisées par la cryptographie ; elles sont sautées.
Ma propre boîte est-elle concernée ? — seulement les locataires Exchange Online avec un connecteur MX externe ouvert
Seulement si votre organisation utilise Microsoft Exchange Online avec un enregistrement MX externe (fréquent quand une passerelle de sécurité tierce se place devant Microsoft 365) et n’a pas appliqué les mesures de connecteur ou de règle de flux de messagerie. InfoGuard a constaté que moins de 50 % des environnements concernés avaient une mesure en place, et que plus de 20 % des domaines Exchange Online qu’il a scannés en périmètre bug-bounty paraissaient vulnérables. Les comptes Outlook.com et Gmail personnels ne sont pas la cible de cette technique précise.
Qu’a dit Microsoft à ce sujet ? — « une limitation architecturale connue », dossier rouvert le 10 juin
Microsoft a d’abord répondu à InfoGuard que le signalement n’était « pas une vulnérabilité », puis — selon la chronologie des chercheurs — a reconnu une campagne d’usurpation active et a brièvement déployé puis retiré une mesure fin avril 2026. Le 29 mai 2026, il a classé le problème comme « une limitation architecturale connue » plutôt qu’une vulnérabilité produit. Après la publication, le Security Response Center de Microsoft a rouvert le dossier le 10 juin 2026.
Comment savoir si un e-mail est usurpé ? — souvent impossible d’après l’expéditeur, alors vérifiez hors bande
Souvent, le nom de l’expéditeur seul ne suffit pas — c’est tout l’enjeu de cette technique. Traitez comme suspect tout message qui réclame de l’argent, des identifiants, des cartes-cadeaux ou une action urgente, quel que soit l’expéditeur apparent. Vérifiez par un second canal (appelez la personne, consultez le portail officiel du fournisseur), surveillez l’étiquette « Externe » là où votre administrateur l’a activée, et n’agissez jamais sur une facture ou une réinitialisation de mot de passe au seul motif que la ligne « De » a l’air correcte.
Que doit faire un administrateur pour corriger ? — verrouiller le connecteur entrant et mettre en quarantaine le courrier sans en-tête
InfoGuard et les analyses qui ont suivi pointent deux mesures : configurer un connecteur entrant d’organisation partenaire qui restreint le courrier accepté aux plages d’adresses IP ou au certificat de votre fournisseur de filtrage, et ajouter une règle de flux de messagerie hautement prioritaire qui met en quarantaine les messages entrants dépourvus de l’en-tête d’authentification interne attendu par votre locataire. Les deux ferment la voie d’injection directe vers Microsoft sur laquelle repose Ghost-Sender.
Sources
- InfoGuard Labs — « Ghost-Sender — Universal Email Spoofing against Exchange Online », publié le 9 juin 2026 (recherche primaire : chercheurs Lucas Dodgson, Tobias Oberdörfer, Robin Hilber ; condition préalable MX externe sans connecteur ; injection directe vers *.mail.protection.outlook.com contournant SPF/DKIM/DMARC ; moins de 50 % des environnements concernés protégés, plus de 20 % des domaines bug-bounty scannés vulnérables ; chronologie — signalé au MSRC le 21 avril, « pas une vulnérabilité » ; 22 avril campagne active reconnue ; 22–27 avril mesure déployée puis retirée ; 29 mai « limitation architecturale connue » ; 10 juin dossier rouvert)
- Dark Reading — « Exchange Flaw Lets Attackers Spoof Any Email Address » (couverture indépendante de premier plan : les attaquants peuvent usurper n’importe quel expéditeur interne ou externe ; cadrage contournement d’authentification)
- GBHackers — « Ghost-Sender Flaw Exposes Exchange Online Users to Sender Spoofing Attacks » (indépendant : cas d’abus — fausses factures fournisseurs, fraude au président / Business Email Compromise, phishing large sans avertissement d’authentification ; résumé des mesures)
- Cyber Security News (cyberpress.org) — « Ghost-Sender Flaw Enables Sender Spoofing in Exchange Online » (indépendant : connecteur entrant d’organisation partenaire avec restriction IP/certificat et règle de flux de quarantaine priorité 0 comme deux mesures recommandées)