L’unité « Digital Crimes Unit » (DCU) de Microsoft vient de frapper fort : en obtenant une ordonnance de justice, elle a saisi 338 sites liés au service de phishing RaccoonO365, une plate-forme par abonnement qui permettait au premier venu de voler des identifiants Office 365.
La Digital Crimes Unit
Créée par Microsoft pour lutter contre la cybercriminalité, la DCU est une équipe internationale qui réunit juristes, ingénieurs, analystes et spécialistes du renseignement. Sa mission combine la traque technique des infrastructures malveillantes et l’action légale en s’appuyant sur des partenariats privés et publics.
Ces méthodes ne sont pas nouvelles : en mai 2025, Microsoft a mené une opération d’ampleur contre le « Lumma Stealer », un malware voleur d’informations, en coordonnant prises de contrôle de domaines et interventions avec Europol, le US Department of Justice et d’autres acteurs pour suspendre l’infrastructure du réseau. L’affaire Lumma montre la même approche : identification technique, action légale et collaboration internationale.
RaccoonO365 : l’opération en quelques chiffres
Microsoft détaille dans son billet de blog et dans la plainte déposée devant un tribunal fédéral que, depuis juillet 2024, RaccoonO365 a permis de voler au moins 5 000 identifiants Microsoft répartis dans 94 pays, et que la plate-forme a été commercialisée via un canal Telegram d’environ 850 membres, générant au moins 100 000 $ en crypto-paiements. En vertu d’une ordonnance du tribunal fédéral de Manhattan, la DCU a ainsi saisi 338 sites liés au service pour couper l’infrastructure technique du réseau. Le but étant de frapper simultanément l’infrastructure et les moyens financiers.
RaccoonO365 fonctionnait comme un Phishing-as-a-Service (PhaaS) avec un panneau d’administration, des templates imitant les pages Microsoft, des outils d’envoi d’emails et des automatismes pour contourner certaines protections. Pour un abonnement à 350 $ pour un mois, un utilisateur novice peut générer en masse des pages de connexion factices et cibler des listes d’emails aussi bien sur macOS que Windows. Les administrateurs RaccoonO365 donnaient aussi dans le marketing avec des listes de fonctionnalités, des avantages et même des prix réduits pour des abonnements plus longs.
Quant aux conséquences d’un compte Microsoft 365 compromis sur Mac comme sur PC, l’éventail est large et concret. Citons en autre : lecture et usurpation d’emails, accès à OneDrive/SharePoint, réinitialisation d’accès à d’autres services liés, usurpation d’identité pour des fraudes, ou point d’ancrage pour propager des malwares et des campagnes de ransomware.
Restez méfiant et bien équipé
L’action de la DCU montre qu’il est possible de perturber des services criminels organisés, mais elle n’élimine pas la menace qui évolue vite.
Pour le particulier comme pour l’entreprise, la règle reste la même : vigilance sur les liens reçus, authentification forte (MFA), mots de passe uniques et gestionnaire de mots de passe, et surtout l’usage de logiciels de sécuritéconstamment mis à jour (antivirus / antimalware et filtres anti-spam qui reçoivent des signatures et règles nouvelles).
Microsoft insiste d’ailleurs sur ces bonnes pratiques dans son communiqué.
