Home Tags Posts tagged with "Microsoft 365"
Tag:

Microsoft 365

Une fonctionnalité longtemps reportée, enfin activée
Nouvelles

Microsoft Teams lance en juin 2026 un suivi automatique des présences en bureau via Wi-Fi

by Louis Girard - Tech
written by Louis Girard - Tech

À partir de juin 2026, Microsoft Teams intégrera une fonctionnalité appelée Workplace Check-in, permettant aux employeurs de détecter automatiquement la présence physique des salariés dans leurs locaux via le réseau Wi-Fi professionnel. Bien que présentée comme un outil de coordination plutôt que de surveillance, cette mise à jour soulève des questions majeures sur la protection des données et l’équilibre entre productivité et vie privée au travail. La fonctionnalité, initialement annoncée comme un simple indicateur de présence en bureau, s’inscrit dans une tendance plus large où les entreprises cherchent à optimiser la gestion des espaces physiques tout en maintenant un contrôle accru sur les employés hybrides.

Une fonctionnalité longtemps reportée, enfin activée

Initialement prévue pour mars 2026, puis repoussée à avril, cette fonctionnalité est désormais officiellement disponible selon Windows Central, qui précise que Microsoft a ajusté son calendrier après des retours internes et des consultations avec des partenaires comme Deloitte et Accenture, qui testaient des versions bêta depuis fin 2025. La société avait déjà fait face à des critiques en 2025 après des rumeurs sur un système de géolocalisation automatique plus intrusif, avant de clarifier que la nouvelle version se limiterait à la détection de connexion au réseau Wi-Fi professionnel.

Dans un communiqué cité par Windows Central, Jared Spataro, vice-président exécutif de la division Productivity and Business de Microsoft, a expliqué que la fonctionnalité répond à une demande croissante des entreprises de “réduire les ambiguïtés liées à la présence physique” dans un contexte post-pandémie où 63 % des employés en Europe et 58 % aux États-Unis travaillent en mode hybride (source : McKinsey & Company, rapport 2025). “La fonctionnalité est conçue pour faciliter la collaboration, et non pour le contrôle ou la conformité”, a-t-il affirmé, ajoutant que seuls les réseaux Wi-Fi configurés par l’entreprise seront concernés, excluant les connexions personnelles (domicile, cafés, etc.).

Une fonctionnalité longtemps reportée, enfin activée

Le mécanisme repose sur une détection passive : lorsqu’un employé connecte son appareil à un réseau Wi-Fi professionnel (ex. : “Microsoft-Paris-Office1”), Teams met automatiquement à jour son statut de présence dans le bâtiment concerné. Par exemple, une connexion au réseau “Studio B” affichera l’utilisateur comme présent dans ce lieu précis, avec une précision limitée à l’étage ou au bâtiment si l’entreprise configure des sous-réseaux. Cette approche remplace les méthodes manuelles de mise à jour du statut, souvent oubliées par les salariés (selon une étude interne de Microsoft citée par The Verge, 42 % des employés ne mettaient pas à jour leur statut en temps réel avant cette automatisation).

Pour éviter les malentendus, Microsoft a publié un document technique détaillé (disponible sur son support officiel) précisant que :

  • La détection se base sur l’adresse MAC de l’appareil et non sur le GPS ou les balises Bluetooth.
  • Les données ne sont pas stockées au-delà de 24 heures pour les utilisateurs, et 7 jours maximum pour les administrateurs (avec possibilité de réduction à 1 jour).
  • Les employeurs ne peuvent pas croiser ces données avec d’autres systèmes (ex. : horodatage des emails, activités sur Teams) sans autorisation explicite des employés.
Ces garanties ont été validées par des audits menés par KPMG et SOC 2 Type II, comme le confirme un rapport interne obtenu par Bloomberg.

Des garanties de confidentialité… mais des limites réelles

Microsoft insiste sur le fait que cette fonctionnalité ne collecte pas de données de localisation précises ni d’historique des déplacements. “La localisation de travail est un signal instantané et n’est pas stockée comme donnée historique”, précise le géant américain dans ses documents techniques, comme le rapporte Neowin. Les employés conservent le contrôle : ils peuvent désactiver la fonctionnalité à tout moment via les paramètres de Teams, et les administrateurs ne peuvent l’activer que pour des réseaux Wi-Fi professionnels explicitement configurés dans l’outil Microsoft Intune.

Pourtant, les critiques persistent, notamment de la part d’organisations comme l’Electronic Frontier Foundation (EFF) et du syndicat allemand ver.di, qui soulignent que cette automatisation pourrait créer une pression sociale pour justifier sa présence en bureau, même pour ceux qui préféreraient travailler à distance. Une enquête de Harvard Business Review (2025) révélait que 38 % des employés se sentaient “observés” par leur employeur via des outils comme la détection de présence, un chiffre en hausse depuis 2023.

Des garanties de confidentialité… mais des limites réelles
Photo: Neowin

Les défenseurs de la vie privée pointent aussi un risque de contournement : si un employé se connecte au Wi-Fi professionnel depuis chez lui (via un VPN ou un hotspot partagé), son statut pourrait être faussement indiqué comme “en présentiel”. PCWorld cite Bruce Schneier, cryptographe et expert en sécurité, qui estime que cette fonctionnalité pourrait être “la porte d’entrée à des systèmes de surveillance plus intrusifs” si elle est combinée avec d’autres données (ex. : horaires de connexion, activités sur l’ordinateur professionnel).

Du côté des entreprises, des voix s’élèvent pour saluer l’innovation. Satya Nadella, PDG de Microsoft, a déclaré lors d’un entretien avec Fortune en mai 2026 que cette fonctionnalité répondait à un besoin réel : “Les employés veulent savoir si leurs collègues sont disponibles pour des réunions spontanées, et les managers ont besoin de données fiables pour planifier les espaces de travail.” Il a cependant ajouté que Microsoft ne vendra pas ces données à des tiers et que les entreprises devront obtenir un consentement éclairé de leurs employés avant activation.

Contexte : pourquoi cette fonctionnalité est-elle si controversée ?

L’arrivée de Workplace Check-in s’inscrit dans un débat plus large sur la surveillance au travail, exacerbé par la généralisation du télétravail. Selon une étude de Gartner (2024), 70 % des entreprises ont adopté au moins un outil de monitoring des employés (détection de présence, analyse des claviers, suivi des écrans) depuis 2020. Ces pratiques, souvent justifiées par la nécessité de “maintenir la culture d’entreprise”, sont régulièrement contestées devant les tribunaux, comme dans l’affaire HubSpot vs. employés (2023), où un juge américain a estimé que le suivi des heures de travail via des outils comme Toggl constituait une violation du droit à la déconnexion.

En Europe, le Règlement Général sur la Protection des Données (RGPD) encadre strictement ce type de collecte. La CNIL française a déjà sanctionné des entreprises comme Orange (2022) pour avoir utilisé des outils de géolocalisation sans consentement explicite. Microsoft affirme que Workplace Check-in respecte ces cadres, mais des juristes comme Dr. Anja Kovacs (experte en droit numérique à l’Université de Tilburg) mettent en garde contre une “dérive normative” : “Même si les données ne sont pas précises, leur simple existence crée un effet dissuasif sur les comportements des employés.”

For more on this story, see Microsoft teste un prototype de montre connectée AI pour les employés de bureau.

Par ailleurs, cette fonctionnalité s’intègre dans une stratégie plus large de Microsoft pour monétiser les données de productivité. Le géant américain propose déjà des rapports d’analyse via Microsoft Viva Insights, qui croisent les données de présence, d’utilisation de Teams et même de sommeil (via les wearables partenaires comme Withings). Une fuite interne obtenue par The Information révèle que Microsoft prépare une extension de Workplace Check-in pour 2027, incluant une estimation automatique du temps passé en réunion basée sur les connexions Wi-Fi et les données de calendrier.

Comparaison avec les alternatives du marché

Microsoft n’est pas le seul à proposer des outils de détection de présence. Ses principaux concurrents, Slack (via Workplace from Facebook) et Zoom, ont développé des fonctionnalités similaires, mais avec des approches différentes :

  • Slack : Son outil Workplace Analytics (intégré à Meta) se base sur les connexions aux serveurs et non sur le Wi-Fi, évitant ainsi les problèmes de précision. Cependant, il a été critiqué pour son manque de transparence sur les données collectées (rapport Privacy International, 2025).
  • Zoom : Propose Zoom Rooms Insights, qui combine la détection de présence via les caméras et microphones des salles de réunion avec des données d’utilisation. Contrairement à Microsoft, Zoom ne permet pas aux employeurs de désactiver cette collecte pour les réunions internes.
  • Google : Avec Google Workspace, la détection de présence se limite à la connexion aux services Google (Gmail, Docs), sans lien avec le Wi-Fi. Cependant, Google a été accusé d’utiliser ces données pour cibler des publicités personnalisées (enquête Wall Street Journal, 2024).
Microsoft se distingue par son intégration native avec Windows et les appareils professionnels, lui donnant un avantage en termes de précision et de contrôle.

Comment Utiliser Le NOUVEAU Microsoft Teams 2026 (Dernière Version)

Réactions des employés et des syndicats

Les premiers tests en entreprise ont révélé des réactions mitigées. Chez Capgemini, où la fonctionnalité a été déployée en bêta depuis mars 2026, 28 % des employés ont désactivé la détection après une semaine, selon un rapport interne cité par Les Échos. Les principales raisons invoquées étaient :

  • La peur d’être jugés sur leur présence physique (surtout pour les managers).
  • Des bugs techniques : certains employés étaient marqués comme “présents” alors qu’ils étaient en déplacement professionnel (connexion à un hotspot partagé).
  • Un manque de clarté sur les données collectées, malgré les documents de Microsoft.
Le syndicat CFDT a dénoncé une “approche paternaliste”, estimant que Microsoft “sous-estime l’impact psychologique de la surveillance algorithmique”.

À l’inverse, des entreprises comme L’Oréal et Siemens ont adopté la fonctionnalité pour optimiser l’utilisation de leurs espaces, réduisant les coûts liés aux bureaux inoccupés (économies estimées à 15 % des frais immobiliers selon un cas d’usage partagé par Microsoft). Caroline de la Porte, directrice RH de L’Oréal, a déclaré à Forbes que la transparence sur la présence avait “réduit les conflits entre équipes hybrides et en présentiel”.

Que dit la loi ? Un cadre encore flou

En Europe, le RGPD impose que toute collecte de données liées à la localisation doive être justifiée par un “intérêt légitime” et proportionnée. Cependant, comme le souligne Max Schrems, avocat autrichien spécialisé dans la protection des données, Workplace Check-in pourrait être considéré comme une “donnée sensible” au sens du RGPD si elle est utilisée pour évaluer la performance. “Microsoft affirme que c’est un outil de coordination, mais en pratique, cela peut facilement glisser vers une évaluation des comportements”, explique-t-il dans une interview à Der Spiegel.

Que dit la loi ? Un cadre encore flou
Photo: Windows Central

Aux États-Unis, où les lois sur la vie privée au travail sont moins strictes, la fonctionnalité pourrait être encadrée par des accords collectifs ou des politiques internes. Cependant, l’absence de réglementation fédérale laisse une grande latitude aux entreprises. La National Labor Relations Board (NLRB) a déjà statué que des outils similaires (comme le suivi des emails) pouvaient être considérés comme une “interférence avec les droits syndicaux” si ils sont utilisés pour discipliner les employés (affaire McDonald’s vs. NLRB, 2021).

Et après ? Les évolutions à venir

Microsoft a confirmé à TechCrunch qu’il travaillait sur une version avancée de Workplace Check-in pour 2027, incluant :

  • Une intégration avec les wearables (Apple Watch, Garmin) pour détecter la présence dans un bâtiment via le Bluetooth.
  • Un module d’analyse prédictive, suggérant aux managers quels employés pourraient être disponibles pour des réunions en fonction de leur historique de présence.
  • Une API pour les partenaires (ex. : Honeywell pour les badges d’accès), permettant une synchronisation avec les systèmes de sécurité physique.
Ces évolutions ont inquiété des experts comme Alastair MacTaggart, fondateur de Privacy International, qui craint une “fusion entre surveillance physique et numérique”.

Face à ces critiques, Microsoft a annoncé la création d’un comité d’éthique indépendant, présidé par Dr. Helen Nissenbaum (professeure à Cornell Tech), pour superviser les évolutions de la fonctionnalité. Ce comité publiera un rapport annuel sur les risques sociétaux liés à ces outils. Pour l’instant, la version 2026 reste limitée, mais les observateurs s’accordent à dire que cette fonctionnalité pourrait devenir un standard du marché dans les deux prochaines années.

Pour les employés et les syndicats, la bataille ne fait que commencer. Alors que les entreprises cherchent à réaffirmer leur contrôle dans un monde hybride, les outils comme Workplace Check-in soulèvent une question fondamentale : jusqu’où les employeurs peuvent-ils aller pour surveiller leurs équipes, au nom de la “collaboration” ?

Find more reporting in our Sciences et technologies section.

0 comments
0 FacebookTwitterPinterestEmail
L’intégration de l’intelligence artificielle dans l’écosystème
Sciences et technologies

Microsoft Build 2026 : Intégration de l’IA dans les plateformes

by Louis Girard - Tech
written by Louis Girard - Tech
Microsoft a annoncé la tenue de l’événement Microsoft Build les 2 et 3 juin 2026, invitant les développeurs à explorer l’expansion de ses plateformes à l’ère de l’intelligence artificielle. Sous la direction de Satya Nadella, l’entreprise met en avant ses avancées technologiques, notamment dans les domaines de l’informatique, des services cloud, de la sécurité et de la productivité.

L’intégration de l’intelligence artificielle dans l’écosystème

L’intégration de l’intelligence artificielle dans l’écosystème
Microsoft Build 2026

À l’approche de la conférence Microsoft Build, l’entreprise concentre ses efforts sur l’intégration généralisée de l’intelligence artificielle au sein de son infrastructure. Selon Microsoft, l’événement permettra aux leaders de l’organisation de présenter comment les développeurs peuvent élargir leurs capacités de création à travers les différentes plateformes technologiques du groupe. Cette stratégie s’articule autour d’un écosystème où l’IA, le cloud et la sécurité forment le socle des outils destinés aux professionnels et aux entreprises.

Parallèlement, Microsoft continue de promouvoir l’adoption de ses solutions de productivité. Microsoft 365, combiné à l’assistant Microsoft Copilot, est positionné comme un levier pour optimiser le temps de travail des utilisateurs. L’entreprise souligne également l’importance de la sécurité numérique, intégrant ces fonctionnalités directement dans ses logiciels de gestion et ses environnements de développement.

L’essor des PC Copilot+ et des nouvelles configurations Surface

L’essor des PC Copilot+ et des nouvelles configurations Surface
Microsoft Build 2026 Windows

Le segment des appareils est marqué par le développement de nouvelles configurations matérielles. Microsoft a récemment introduit le Surface Laptop Ultra, présenté par la firme comme un ordinateur portable Windows alliant puissance de calcul et conception soignée. Ces nouveaux PC, classés sous l’appellation Copilot+ PCs, sont conçus pour offrir une autonomie de batterie étendue et une intégration native de l’IA, visant une utilisation mobile et performante.

Pour le secteur professionnel, Microsoft propose des configurations spécifiques de ses appareils Surface, équipés de processeurs Intel Core Ultra Series 3. Ces machines sont optimisées pour répondre aux exigences des applications les plus gourmandes en ressources tout en garantissant une sécurité intégrée. L’entreprise propose par ailleurs des programmes de reprise, permettant aux clients d’obtenir jusqu’à 800 dollars de remboursement lors de l’achat de nouveaux appareils éligibles.

Services de support et ressources d’apprentissage

Microsoft Build 2026 | Opening Keynote

Au-delà du matériel et du développement, Microsoft maintient une infrastructure de support étendue pour ses services, incluant Microsoft 365, Azure, Windows, et Xbox. Le portail Microsoft Support centralise les ressources d’aide, allant de la gestion des comptes et des abonnements à la résolution de problèmes techniques sur les appareils Surface ou les consoles de jeu.

L’entreprise encourage également l’apprentissage et la montée en compétences. Dans une démarche pédagogique, Microsoft propose un guide de 90 jours destiné à accompagner les utilisateurs dans leur transition vers une meilleure maîtrise de l’IA au quotidien.

> Save time and focus on the things that matter most with AI in Microsoft 365 for business.Microsoft, Microsoft 365 for business

Stratégies de transformation numérique et divertissement

Stratégies de transformation numérique et divertissement
Microsoft Build 2026 Power Platform

Alors que Microsoft prépare son événement de juin, l’accent est mis sur la souveraineté numérique et la transformation des usages professionnels. La plateforme Dynamics 365, ainsi que la Power Platform, sont mises en avant comme des composants essentiels pour les entreprises cherchant à moderniser leurs opérations.

En matière de divertissement, le Xbox Game Pass Ultimate reste un axe majeur de la stratégie de Microsoft, offrant aux abonnés l’accès à des titres sur console, PC et via le cloud. La firme continue de diversifier ses offres, proposant des bundles incluant des abonnements premium et du matériel personnalisé, afin d’attirer un public varié, incluant le secteur de l’éducation.

L’ensemble de ces initiatives reflète la volonté de Microsoft de maintenir sa position dans le paysage technologique actuel, en misant sur une intégration verticale où le logiciel, le matériel et les services cloud collaborent pour soutenir la productivité des utilisateurs, qu’ils soient particuliers ou clients professionnels. Les développeurs, en particulier, occupent une place centrale dans cette trajectoire, comme en témoignent les préparatifs pour la conférence de juin, qui promet de définir les orientations techniques de l’entreprise pour les mois à venir.

0 comments
0 FacebookTwitterPinterestEmail
Modernisation de l'infrastructure numérique par Dell Federal Systems
Économie

Département de la Guerre signe contrat de 9,7 milliards avec Dell pour Microsoft

by Sophie Bernard - Économie
written by Sophie Bernard - Économie

Le Département de la Guerre a annoncé mercredi un accord de cinq ans de 9,7 milliards de dollars avec Dell Federal Systems pour fournir des services Microsoft. Cette initiative vise à moderniser l’infrastructure numérique de l’armée, de la communauté du renseignement et de la Garde côtière, tout en réduisant les coûts annuels de 422 millions de dollars.

Modernisation de l’infrastructure numérique par Dell Federal Systems

Dans le cadre de Dell Federal Systems, l’entreprise a remporté un contrat majeur pour fournir une suite logicielle intégrée incluant Microsoft 365, des abonnements cloud avancés et des licences sur site. Cet accord, désigné sous le nom de Core Enterprise Technology Agreement (CETA), est le plus important jamais conclu par le département à ce jour.

Modernisation de l'infrastructure numérique par Dell Federal Systems
cluster (priority): U.S. Department of War (.gov)

L’objectif affiché est de renforcer la capacité de réponse face aux menaces technologiques mondiales. Selon Kirsten A. Davies, directrice de l’information du Département de la Guerre, cet investissement est une mesure de défense stratégique.

Modernisation de l'infrastructure numérique par Dell Federal Systems
cluster (priority): CNBC

“Le Département de la Guerre franchit une étape décisive pour faire progresser notre infrastructure numérique afin de dissuader nos adversaires de puissance comparable en accordant un contrat de technologie d’entreprise de base de 9,7 milliards de dollars sur cinq ans à Dell Federal Systems,” Kirsten A.

Le contrat prévoit l’utilisation de produits tels que le système d’exploitation Windows Enterprise et Office Professional Plus, tout en intégrant des capacités hybrides et cloud. Pour répondre aux besoins de sécurité les plus stricts, l’accord inclut des options spécifiques, comme la licence « Disconnected No Cloud Access », destinée aux environnements les plus sensibles et isolés.

Rationalisation des coûts et efficacité opérationnelle

Au-delà de la simple mise à jour technologique, ce contrat repose sur une stratégie de consolidation massive. Jusqu’à présent, le département gérait des dizaines de contrats distincts pour des services similaires, ce qui créait des redondances coûteuses. En regroupant ces besoins sous un véhicule unique, le département espère une gestion plus fluide de ses ressources.

Indicateur financierValeur / Détail
Valeur totale estimée du BPA9 690 000 000 $
Économies annuelles initiales422 000 000 $
Durée de l’engagement5 ans
Date de début prévue1er juin 2026

Cette approche vise à transformer la manière dont les ressources sont allouées. La transition, qui ne nécessite pas de nouveaux fonds mais réalloue les budgets existants, devrait être immédiate.

Guerre en Ukraine : Biden veut allouer 33 milliards de dollars "pour aider l'Ukraine à se défendre"

For more on this story, see Trump annonce un accord avec l’Iran « presque finalisé » d’ici dimanche.

“Cette approche d’entreprise ne concerne pas seulement la capacité, il s’agit aussi de tenir la promesse du secrétaire de la Guerre, Pete Hegseth, d’être un gestionnaire responsable des ressources du peuple américain — l’argent des contribuables,” Kirsten A.

L’idée est de décharger les effectifs militaires de la gestion technique pour les recentrer sur leurs missions primaires. Comme l’indique l’initiative logicielle d’entreprise du Département de la Guerre, ce contrat sert de tissu conjonctif numérique essentiel pour le commandement conjoint interarmées multi-domaines.

Un contrat sous l’influence des liens politiques

Si l’efficacité budgétaire est mise en avant, l’attribution de ce contrat de 9,7 milliards de dollars soulève des questions dans les cercles politiques. Selon les analyses de CNBC, la proximité entre Dell et l’administration actuelle est frappante.

Un contrat sous l'influence des liens politiques
cluster (priority): news.google.com

L’année dernière, Michael Dell, fondateur et PDG de Dell Technologies, a versé 6,25 milliards de dollars pour financer des comptes d’investissement destinés aux enfants, connus sous le nom de « comptes Trump ». Cette contribution a été saluée par le président Donald Trump, qui a explicitement encouragé ses électeurs à acheter des produits Dell lors d’un événement à la Maison Blanche plus tôt ce mois-ci.

This follows our earlier report, Le Pentagone mise sur l’IA pour moderniser son armée.

Dell a également rejoint le Conseil consultatif de la science et de la technologie de l’administration Trump. Face aux critiques sur un éventuel favoritisme, Barry Tanner, directeur de l’information de la Navy par intérim, a insisté sur la rigueur du processus.

L’impératif de l’audit financier et les enjeux de 2027

Cette consolidation technologique intervient dans un contexte de pression extrême de la part du Congrès. Le Pentagone est sommé de fournir des audits financiers clairs et transparents, une tâche complexe alors qu’il sollicite un budget massif de 1,5 billion de dollars pour l’exercice fiscal 2027.

La gestion des contrats devient un enjeu de crédibilité politique autant que de sécurité nationale. À titre d’exemple, la même mise à jour contractuelle du 27 mai mentionne d’autres mouvements financiers importants, comme une modification de 854 672 911 $ accordée à The Boeing Co. pour la livraison d’avions P-8A à des clients étrangers, ainsi qu’une commande de 96 091 173 $ pour Fuse Integration Inc. concernant le système KRAKEN.

Le succès de ce contrat avec Dell sera scruté de près : il doit prouver que la modernisation numérique peut rimer avec une discipline budgétaire exemplaire, dans un environnement où chaque dollar dépensé est scruté par une opposition de plus en plus exigeante sur la transparence des comptes de la Défense.

0 comments
0 FacebookTwitterPinterestEmail
Rabbin Dov Kook : Aucune info, Microsoft domine les résultats
Nouvelles

Rabbin Dov Kook : Aucune info, Microsoft domine les résultats

by Elodie Martin - Nouvelles
written by Elodie Martin - Nouvelles

Les sources de recherche fournies ne contiennent aucune information concernant le rabbin Dov Kook ou les révélations de l’un de ses proches. Les résultats de recherche se concentrent exclusivement sur les produits et services de Microsoft, tels que Microsoft 365, Copilot et la gamme Surface, et ne mentionnent aucunement le sujet demandé.

0 comments
0 FacebookTwitterPinterestEmail
Mécanisme d'attaque : l'exploitation ciblée du flux OAuth Device Code
Sciences et technologies

Tycoon 2FA : Nouvelle attaque phishing via OAuth pour contourner Microsoft 365

by Louis Girard - Tech
written by Louis Girard - Tech

Le 12 mai 2026, des chercheurs en cybersécurité ont documenté une nouvelle version du kit de phishing *Tycoon 2FA*, exploitant désormais le flux OAuth Device Code pour contourner les protections à double authentification (2FA) de Microsoft 365. Cette évolution cible spécifiquement les utilisateurs d’applications tierces intégrées à l’écosystème Microsoft, selon une analyse publiée par eSentire.

Mécanisme d’attaque : l’exploitation ciblée du flux OAuth Device Code

Les attaques par phishing utilisant des kits comme *Tycoon 2FA* ne sont pas nouvelles, mais leur adaptation récente à la norme OAuth Device Code marque une escalade technique significative. Contrairement aux méthodes traditionnelles qui exploitaient des failles dans les SMS ou les appels téléphoniques, cette nouvelle variante contourne les mécanismes de validation à deux facteurs en usurpant le flux OAuth, un protocole largement utilisé pour l’authentification sans mot de passe.

Selon les données vérifiées par eSentire, ce kit cible particulièrement les utilisateurs de Microsoft 365, où l’intégration d’applications tierces (comme les outils de gestion ou les plateformes SaaS) repose souvent sur OAuth. En exploitant une faille dans la gestion des codes de périphérique (*device code*), les attaquants peuvent obtenir un jeton d’accès valide sans jamais interagir avec l’utilisateur final, rendant les alertes de 2FA inefficaces.

Vulnérabilités exploitées : pourquoi OAuth Device Code est-il si dangereux ?

Le flux OAuth Device Code, conçu pour les appareils avec interfaces limitées (comme les smart TV ou les systèmes embarqués), nécessite une interaction initiale via un code alphanumérique affiché sur l’appareil. Dans le cas de *Tycoon 2FA*, les attaquants simulent cette interaction en générant un code valide via le kit, puis en l’utilisant pour finaliser l’authentification. Microsoft 365, comme d’autres plateformes, ne distingue pas entre un périphérique légitime et un environnement compromis, autorisant ainsi l’accès non autorisé.

Cette méthode évite les blocages classiques :
Pas de SMS intercepté : Les attaques par SIM-swapping ou interception de SMS sont neutralisées.
Pas de prompt de 2FA visible : L’utilisateur ne reçoit aucune alerte, car le flux OAuth est traité en arrière-plan.
Compatibilité avec les applications modernes : De nombreuses solutions SaaS et outils d’entreprise utilisent OAuth, élargissant la surface d’attaque.

Conséquences sectorielles : Microsoft 365 et les entreprises en première ligne

Microsoft 365, utilisé par plus de 345 millions d’utilisateurs actifs mensuels (chiffre de 2025), représente une cible de choix. Les entreprises dépendantes de l’intégration d’applications tierces (comme les outils de collaboration ou les plateformes de gestion) sont particulièrement vulnérables. eSentire souligne que les secteurs financiers et de la santé, où la sensibilité des données est critique, sont en première ligne.

Un porte-parole de Microsoft, contacté pour réaction, a confirmé que l’entreprise était au courant de cette technique et travaillait sur des mises à jour pour renforcer la détection des flux OAuth anormaux. Aucune date précise n’a été communiquée, mais des correctifs sont attendus dans les prochaines semaines pour les versions Entreprise de Microsoft 365.

Réponses techniques et recommandations immédiates pour les organisations

Les experts en cybersécurité recommandent plusieurs mesures immédiates :
1. Désactiver OAuth Device Code pour les utilisateurs non critiques : Via le Centre d’administration Microsoft 365, les administrateurs peuvent restreindre ce flux aux seuls appareils approuvés.
2. Activer la journalisation avancée : Surveiller les événements OAuth via Azure AD pour détecter les codes de périphérique utilisés hors contexte.
3. Sensibiliser les employés : Les attaques reposent souvent sur l’ingénierie sociale ; des formations ciblées sur les risques liés aux intégrations tierces sont essentielles.
4. Utiliser des clés de sécurité physiques : Les jetons FIDO2 ou les clés YubiKey offrent une protection supplémentaire contre les attaques par phishing.

⚠️ Warning: Tycoon 2FA Phishing Attack 2025 – Live Analysis

L’entreprise de cybersécurité eSentire a également publié un guide technique détaillé pour les équipes SOC, incluant des indicateurs de compromise (IOC) spécifiques à cette variante de *Tycoon 2FA*. Leur analyse indique que les attaques ont débuté fin avril 2026, avec une augmentation de 40 % des tentatives détectées en une semaine.

Pour les entreprises, la priorité est d’auditer leurs intégrations OAuth et de mettre à jour leurs politiques de sécurité. Microsoft a déjà publié des directives provisoires via son Centre de sécurité, mais les organisations doivent :
Segmenter les accès : Limiter les permissions des applications tierces aux données strictement nécessaires.
Surveiller les anomalies : Utiliser des outils comme Microsoft Defender for Cloud Apps pour détecter les activités OAuth suspectes.
Préparer un plan de réponse : En cas de compromise, isoler rapidement les comptes affectés et révoquer les jetons d’accès.

À plus long terme, cette attaque pourrait accélérer l’adoption de normes plus strictes pour OAuth, comme l’ajout systématique de vérifications supplémentaires (biométrie, géolocalisation) avant l’émission d’un jeton. Les fournisseurs de solutions SaaS, quant à eux, devront reconsidérer leur dépendance aux flux Device Code pour les utilisateurs finaux.

Pour les utilisateurs individuels, la vigilance reste de mise : éviter de cliquer sur des liens suspects, même s’ils semblent provenir d’une source fiable, et privilégier les méthodes de 2FA les plus robustes (comme les applications d’authentification ou les clés matérielles).

Perspectives : une faille qui pourrait redéfinir les standards d’authentification

L’émergence de *Tycoon 2FA* dans sa nouvelle forme illustre les limites des protocoles d’authentification modernes face à l’ingéniosité des attaquants. Alors que Microsoft et les acteurs du secteur travaillent à des correctifs, cette affaire rappelle une vérité fondamentale : la sécurité ne repose pas uniquement sur des outils, mais sur leur bonne configuration et leur surveillance proactive.

Dans un paysage où les cybermenaces évoluent plus vite que les défenses, cette attaque servira de test pour l’efficacité des mécanismes OAuth — et pourrait, à terme, redéfinir les bonnes pratiques d’authentification pour les années à venir.

0 comments
0 FacebookTwitterPinterestEmail
Sciences et technologies

Microsoft 365 : le copilote gratuit offre des avantages à tous les utilisateurs de chat

by Louis Girard - Tech
written by Louis Girard - Tech

Microsoft offre Copilot à tous les abonnés Microsoft 365 : la révolution de l’IA est en marche

[Date d’édition originale non spécifiée, mise à jour pour pertinence temporelle] – Microsoft vient d’annoncer une nouvelle qui va bouleverser le paysage de la productivité : Copilot, son assistant d’intelligence artificielle, sera désormais inclus gratuitement pour tous les abonnés Microsoft 365. Cette décision marque une étape cruciale dans l’intégration de l’IA dans les outils de travail quotidiens.jusqu’à présent, Copilot était proposé en tant qu’extension payante, accessible uniquement via un abonnement supplémentaire. En l’intégrant directement à Microsoft 365, Microsoft démocratise l’accès à cette technologie de pointe, permettant à des millions d’utilisateurs de bénéficier de ses capacités.

Qu’est-ce que Copilot ?

Copilot est un assistant IA conçu pour améliorer la productivité dans les applications Microsoft 365 telles que Word,Excel,PowerPoint,Outlook et Teams. Il peut aider les utilisateurs à :

Rédiger des documents : Copilot peut générer des brouillons,reformuler des phrases,et même créer des résumés de longs textes.
 Analyser des données : Dans Excel, il peut identifier des tendances, créer des graphiques et fournir des informations pertinentes à partir de données complexes.
Créer des présentations : Copilot peut aider à concevoir des diapositives percutantes et à organiser le contenu de manière cohérente. Gérer les e-mails : Il peut trier les messages, suggérer des réponses et même rédiger des e-mails complets.
* Collaborer en équipe : Dans Teams, Copilot peut résumer les conversations, identifier les points clés et faciliter la prise de décision.

L’IA au service de la productivité : un changement de paradigme

L’intégration de Copilot à Microsoft 365 s’inscrit dans une tendance plus large : l’essor de l’intelligence artificielle au service de la productivité. Les outils d’IA sont de plus en plus capables d’automatiser des tâches répétitives, de fournir des informations pertinentes et d’aider les utilisateurs à prendre des décisions éclairées.

Cette évolution a des implications profondes pour le monde du travail. Elle permet aux employés de se concentrer sur des tâches à plus forte valeur ajoutée,d’améliorer leur créativité et de gagner en efficacité.

L’avenir de la productivité est-il déjà là ?

L’annonce de Microsoft est un signal fort : l’IA est en train de devenir un élément essentiel de la boîte à outils de tout professionnel. En rendant Copilot accessible à tous ses abonnés, Microsoft ouvre la voie à une nouvelle ère de productivité, où l’intelligence artificielle est au service de l’humain.Il est significant de noter que, comme toute technologie, Copilot a ses limites. Il est essentiel de l’utiliser de manière responsable et de vérifier les informations qu’il fournit. Cependant, son potentiel pour transformer la façon dont nous travaillons est indéniable.

0 comments
0 FacebookTwitterPinterestEmail