Des cybercriminels infiltrent les systèmes des ressources humaines pour détourner les salaires d’universitaires américains et d’entreprises françaises. Microsoft, Zataz et le FBI identifient un mode opératoire commun.
Depuis le début de 2025, Microsoft Threat Intelligence observe une recrudescence d’attaques visant les systèmes de gestion des ressources humaines. Le groupe Storm-2657, actif depuis janvier, détourne les salaires d’employés légitimes en manipulant leurs comptes Workday après vol d’identifiants. Les attaques se concentrent sur les universités américaines, mais le phénomène s’élargit. Selon Zataz, des campagnes analogues ont récemment frappé la France : des courriels imitant les mutuelles d’entreprise ont servi à piéger les salariés et à accéder à leurs espaces de paie.
Les pirates, surnommés par Microsoft les payroll pirates, déploient des campagnes de phishing réalistes, déguisées en alertes sanitaires ou plaintes internes. Les liens renvoient à des Google Docs piégés menant à de fausses pages d’authentification. Une fois les identifiants et codes MFA interceptés, les attaquants prennent la main sur les messageries Exchange Online et les comptes Workday, où ils modifient les coordonnées bancaires pour rediriger les salaires vers leurs comptes.
Pour masquer la fraude, Storm-2657 configure dans Outlook des règles supprimant automatiquement les messages envoyés par Workday. Certaines portent des noms vides comme « … » ou « »’ », rendant les manipulations invisibles. D’après Microsoft, 11 comptes universitaires ont été compromis, servant de relais à plus de 6 000 courriels d’hameçonnage.
Le FBI alerte les services RH
L’Internet Crime Complaint Center (IC3) du FBI a confirmé la même tactique à plus grande échelle. Les pirates ciblent désormais les services RH eux-mêmes, pour intercepter ou falsifier les communications internes.
Selon Zataz, l’agence fédérale américaine a reçu des plaintes émanant de secteurs aussi variés que l’éducation, la santé et le transport aérien. Les courriels imitent ceux des départements RH et visent à capturer les identifiants des employés. Une fois les accès obtenus, les criminels modifient les comptes bancaires liés à la paie, puis changent les paramètres pour bloquer toute notification vers la victime.
Certaines attaques vont plus loin : les pirates infiltrent directement les services RH pour copier les en-têtes et signatures d’e-mails. Ces éléments servent ensuite à produire des messages d’usurpation quasi parfaits.
Rejoignez ZATAZ sur les réseaux :
Aucun spam – Désinscription en un clic – Vie privée respectée
Le cybercrime financier change d’échelle
Le cas Storm-2657 et les campagnes repérées par Zataz démontrent une évolution du cybercrime vers la fraude silencieuse. L’objectif n’est plus de bloquer des systèmes contre rançon, mais de détourner discrètement les flux financiers internes. Ces attaques ciblées sont rentables, récurrentes et difficiles à tracer. Un seul compte compromis peut servir de tremplin vers des dizaines d’autres institutions.
Les universités et entreprises publiques, souvent dotées de structures RH mutualisées, constituent des nœuds de vulnérabilité. Les pirates n’ont plus besoin d’exploiter des vulnérabilités zero-day : il leur suffit d’usurper la confiance institutionnelle et de manipuler les employés via des canaux légitimes.
Pour les autorités, la riposte passe par le renseignement collaboratif. Microsoft et le FBI insistent sur le partage d’indicateurs techniques, d’anomalies comportementales et d’informations contextuelles entre éditeurs et institutions. La surveillance combinée des journaux d’authentification et des flux bancaires devient une priorité stratégique.
⚠️ Êtes-vous une proie facile ?⚠️
Scanner de menaces ZATAZ -> identifiez vos expositions avant l’attaque
Confidentiel • Instantané • Sécurisé • 100 % Made in France
L’humain, maillon permanent de la fraude
Ces attaques confirment une constante : l’ingénierie sociale précède la technique. Le pirate n’a pas besoin de casser le chiffrement, il contourne la vigilance comme j’ai pu l’expliquer dernièrement dans une conférence que j’ai pu donner pour des centaines d’employés de Bouygues Télécom.
L’éducation numérique devient l’outil défensif principal. Former les équipes RH et comptables à reconnaître les signaux faibles, incohérences de ton, anomalies d’adresse, urgence inhabituelle, reste le meilleur rempart.
Mais une question demeure : combien de salaires devront encore être redirigés avant que la protection des processus RH devienne aussi critique que celle des serveurs ?