Fausse mise à jour Teams avant une réunion — c'est un piège

Par Sylvain Cassini — publié le 3 juin 2026

Une fenêtre familière, un logo Microsoft, un message d'urgence et une réunion qui attend : les attaques dites ClickFix exploitent exactement cette combinaison. En mars 2026, le groupe nord-coréen UNC1069 a utilisé cette technique pour compromettre le mainteneur du projet npm Axios via une fausse mise à jour Teams, déclenchant une fuite touchant plus de 100 millions d'utilisateurs. Microsoft a qualifié ClickFix de « méthode d'intrusion initiale la plus fréquente » en mai 2026.

Ce que vous voyez : la fenêtre ClickFix

La fenêtre qui apparaît est convaincante : logo Microsoft Teams, fond blanc propre, message sobre. Le texte type est : « Votre version de Microsoft Teams n'est pas à jour. Une mise à jour de sécurité est requise pour rejoindre cette réunion sécurisée. » Un bouton — « Télécharger et rejoindre » — propose un fichier de 8 à 15 Mo avec un nom crédible (TeamsUpdate_Hotfix.exe, Teams_security_patch.exe).

Trois éléments jouent contre vous : l'urgence temporelle (la réunion commence), l'apparence officielle du message, et le fait que Teams se lance effectivement après le téléchargement — l'attaquant a prévu cette étape pour ne pas éveiller les soupçons.

Règle absolue : Teams ne demande jamais de mise à jour manuelle pour rejoindre une réunion. Les mises à jour de Teams s'installent automatiquement en arrière-plan. Si vous voyez cette fenêtre, fermez-la immédiatement et accédez à la réunion directement depuis teams.microsoft.com.

Ce qui se passe pendant que Teams s'ouvre

Pendant que vous vous excusez de votre retard, le fichier s'exécute silencieusement en arrière-plan. Ce n'est pas un virus au sens classique — c'est un Infostealer, dont l'unique objectif est de voler des données d'authentification en quelques secondes et de disparaître.

En quelques secondes, il extrait :

• Cookies de session enregistrés dans Chrome, Edge, Firefox — ceux-ci permettent d'accéder à vos services sans redemander le mot de passe ni le second facteur MFA.
• Mots de passe sauvegardés dans votre navigateur.
• Tokens OAuth — accès persistants à vos services cloud (Microsoft 365, Google Workspace, Slack).
• Parfois : fichiers récents, captures d'écran, données de portefeuilles crypto.

Tout est envoyé vers un serveur C2 (Command & Control) contrôlé par l'attaquant. Durée totale : quelques secondes. Signe visible sur votre écran : aucun. Les familles d'Infostealers les plus fréquentes dans ces campagnes sont Rhadamanthys et LummaC2 (source : Microsoft Security Blog, mai 2026).

Comment le piège a été mis en place en amont

Vous n'avez pas cliqué sur un lien douteux — vous avez suivi un lien reçu d'un contact de confiance. C'est précisément le mécanisme du BEC (Business Email Compromise) :

1. Compromission initiale — la boîte mail d'un de vos contacts (client, fournisseur, partenaire) est compromise des semaines avant l'attaque, souvent via du credential stuffing ou un phishing anodin.
2. Surveillance passive — l'attaquant lit les échanges en silence, repère une réunion à enjeu élevé dans l'agenda ou les fils de discussion.
3. Hijacking du lien — quelques minutes avant le call, il modifie ou remplace le lien Teams dans l'invitation. L'URL pointe désormais vers une page qui affiche la fausse mise à jour.
4. Vous faites confiance — le message arrive d'une adresse connue, dans un fil de conversation légitime. Aucun signal d'alerte.

En mars 2026, le groupe nord-coréen UNC1069 a utilisé exactement cette chaîne d'attaque contre le mainteneur du projet npm Axios — la fausse mise à jour Teams a servi à voler ses identifiants npm, permettant ensuite de publier des paquets malveillants touchant plus de 100 millions d'utilisateurs (source : BleepingComputer, mars 2026).

Pourquoi votre antivirus ne détecte rien

Votre antivirus et votre pare-feu ne déclenchent aucune alerte pour plusieurs raisons techniques :

• Code signé numériquement — beaucoup d'Infostealers utilisent des certificats de signature valides achetés ou volés, ce qui les fait passer pour des logiciels légitimes aux yeux des solutions de sécurité.
• Exécution en mémoire — aucun fichier malveillant ne persiste sur le disque après l'exfiltration.
• Trafic HTTPS sortant standard — le pare-feu voit une connexion chiffrée vers un domaine inconnu, indiscernable d'une navigation normale.
• Connexion avec des identifiants valides — après le vol, l'attaquant accède à vos services avec vos propres identifiants. Aucun système de détection n'y voit une anomalie.

Le MFA (double authentification) est contourné via les cookies de session volés : si votre navigateur conserve une session déjà authentifiée (ce qui est le cas par défaut dans Microsoft 365, Google, Slack), le second facteur n'est pas redemandé. Un Infostealer ne cherche pas à persister sur votre machine — il vole en quelques secondes et disparaît. C'est précisément ce qui le rend indétectable après coup.

Comment reconnaître et bloquer cette arnaque

1. Teams ne demande jamais une mise à jour pendant une réunion. Fermez toute fenêtre de ce type et rejoignez la réunion via teams.microsoft.com ou l'application déjà installée.
2. Vérifiez les mises à jour Teams uniquement via l'application : icône de profil → Rechercher des mises à jour. Jamais via un lien ou une pop-up externe.
3. Inspectez l'URL du lien de réunion avant de cliquer : elle doit commencer par teams.microsoft.com ou teams.live.com. Un domaine inconnu est un signal d'alarme immédiat.
4. Si vous avez téléchargé le fichier sans le lancer : supprimez-le sans l'ouvrir. Aucun autre risque.
5. Si vous l'avez lancé : déconnectez-vous d'internet immédiatement, changez tous vos mots de passe depuis un autre appareil, contactez votre banque si des accès financiers sont en jeu, et prévenez votre IT.

• ✓ Anti-menaces Pro™ bloque les domaines ClickFix avant tout téléchargement
• ✓ Protection sur Windows, macOS, iOS et Android

Lien affilié — sans surcoût pour vous

FAQ — Fausse mise à jour Teams et arnaque ClickFix