Microsoft met en garde contre une campagne de piratage visant les utilisateurs du logiciel RH Workday. Des cybercriminels, surnommés les “Payroll Pirates”, parviennent à détourner les salaires d’employés en modifiant leurs coordonnées bancaires après avoir compromis leurs comptes. Une méthode qui, bien qu’observée aux États-Unis, pourrait aisément frapper en France, en Suisse ou en Belgique.
Une attaque qui cible Workday et d’autres logiciels RH
Les chercheurs de Microsoft Threat Intelligence ont identifié un groupe, baptisé Storm-2657, spécialisé dans le détournement de salaires.
Leur objectif : prendre le contrôle des comptes employés sur des plateformes de ressources humaines (HR SaaS), comme Workday, afin de rediriger les virements vers leurs propres comptes bancaires.
Workday est une solution très populaire, utilisée par de grandes entreprises pour la gestion des congés, des fiches de paie, des entretiens annuels ou encore la saisie du RIB pour le versement du salaire. Cela en fait une cible idéale pour ce type d’escroquerie. Microsoft précise que les pirates ne profitent d’aucune faille technique : ils utilisent plutôt des techniques d’ingénierie sociale et profitent de l’absence d’authentification à deux facteurs (MFA) pour accéder aux comptes.
Des campagnes efficaces… et facilement transposables en Europe
Dans les attaques observées, Storm-2657 envoie de faux e-mails imitant Workday ou les services RH d’une université ou d’une entreprise. Ces messages contiennent un lien piégé menant à une fausse page de connexion qui récupère les identifiants et les codes MFA via une technique dite Adversary-in-the-Middle. Une fois le compte compromis, les pirates :
modifient le RIB du salarié pour rediriger le salaire ;
configurent des règles de messagerie invisibles supprimant les alertes de sécurité ;
ajoutent leur numéro de téléphone comme second facteur MFA pour verrouiller l’accès légitime.
Depuis mars 2025, Microsoft a recensé 11 comptes compromis dans trois universités américaines, utilisés pour envoyer près de 6 000 e-mails piégés à d’autres établissements. Les messages évoquaient de prétendues “maladies” ou “sanctions disciplinaires” pour inciter à cliquer.
Et rien n’empêche ce scénario de se reproduire dans les entreprises ou écoles européennes : les infrastructures cloud et les outils RH étant mondiaux, les mêmes tactiques fonctionnent partout.
Comment éviter de devenir la prochaine victime ?
Pour se protéger :
Ne cliquez jamais sur un lien Workday reçu par e-mail. Accédez directement au portail de votre entreprise.
Activez une authentification forte résistante au phishing, comme les clés de sécurité FIDO2 ou l’app Microsoft Authenticator.
Vérifiez régulièrement votre profil Workday : tout changement de coordonnées bancaires ou d’appareils MFA non reconnu doit être signalé.
