Vie privée & cybersécurité

RaccoonO365 : Microsoft frappe un grand coup contre le phishing de masse

Microsoft a saisi 338 sites liés à RaccoonO365, un service de phishing ciblant Microsoft 365, pour protéger des milliers d’utilisateurs.

Image d'un racoon qui prend des photos avant d'aller en prison

Introduction

La cybercriminalité évolue rapidement, et avec elle apparaissent de nouveaux outils qui rendent les attaques accessibles à presque tout le monde. L’affaire RaccoonO365 illustre parfaitement ce tournant inquiétant : en l’espace de quelques mois, ce service est devenu l’un des plus utilisés au monde pour voler les identifiants Microsoft 365.
Face à cette menace, Microsoft et ses partenaires internationaux ont réagi avec fermeté en démantelant une partie de son infrastructure.

Un réseau mondial de phishing démantelé

En septembre 2025, Microsoft a annoncé avoir saisi 338 sites web frauduleux liés à RaccoonO365. L’opération a été menée avec l’appui du FBI, du ministère américain de la Justice et de plusieurs partenaires internationaux de cybersécurité.
Ces sites servaient à héberger de fausses pages de connexion Microsoft 365, conçues pour piéger les utilisateurs et récupérer leurs identifiants.

  • Plus de 500 000 e-mails d’hameçonnage envoyés chaque jour grâce à l’infrastructure.
  • Au moins 5 000 identifiants volés dans 94 pays en seulement 14 mois.
  • Des attaques visant tous les secteurs, avec une inquiétante concentration sur les organisations de santé américaines.

L’ampleur du phénomène montre à quel point des outils simples et automatisés peuvent causer des dégâts massifs.

Le modèle du « phishing-as-a-service »

RaccoonO365 n’était pas un simple outil de pirates isolés. Il s’agissait d’un véritable service commercialisé, fonctionnant sur abonnement.
Pour quelques centaines de dollars, n’importe quel criminel — même sans compétences techniques — pouvait lancer sa propre campagne de phishing.

Les abonnés avaient accès à :

  • Des kits prêts à l’emploi imitant parfaitement les interfaces Microsoft.
  • Des modèles d’e-mails frauduleux, pièces jointes et sites hébergés.
  • Une assistance technique et des mises à jour régulières.
  • Plus récemment, un module IA nommé “AI-MailCheck”, conçu pour affiner les campagnes et contourner l’authentification multifacteur.

Ce modèle industriel du phishing illustre une nouvelle étape de la cybercriminalité : la mise en marché de services malveillants « clés en main ».

Un chef identifié et des revenus en cryptomonnaies

L’enquête de Microsoft a permis de mettre un visage derrière RaccoonO365.
Le leader présumé, Joshua Ogundipe, basé au Nigeria, a été identifié comme l’architecte du service. Avec ses complices, il :

  • Développait le code et les kits d’hameçonnage.
  • Commercialisait le service via Telegram, où plus de 850 membres étaient recensés.
  • Percevait les paiements en cryptomonnaies, estimés à au moins 100 000 dollars.

Un mandat d’arrêt international a été émis, et un renvoi pénal a été transmis aux autorités compétentes. L’unité de lutte contre la cybercriminalité de Microsoft a notamment pu remonter jusqu’à lui grâce à une erreur opérationnelle : l’exposition accidentelle d’un portefeuille crypto utilisé pour ses transactions.

Des conséquences graves pour les hôpitaux

Parmi les victimes, le secteur de la santé est particulièrement préoccupant. Plus de 20 organisations américaines de santé ont été ciblées.
Les campagnes de phishing ne se limitent pas à la collecte d’identifiants : elles sont souvent le prélude à des attaques par rançongiciel.

Conséquences possibles :

  • Retards dans la prise en charge des patients.
  • Annulation d’opérations et perturbation de soins critiques.
  • Vol de données médicales sensibles.
  • Pertes financières majeures pour les hôpitaux.

C’est notamment pour cette raison que Microsoft a engagé son action judiciaire en partenariat avec Health-ISAC, une organisation internationale dédiée à la cybersécurité dans le secteur de la santé.

Une riposte technologique et juridique

Microsoft n’a pas agi seul. L’entreprise s’appuie sur un réseau de partenaires et de technologies avancées pour contrer ce type de menace.

  • Analyse blockchain : grâce à des outils comme Chainalysis Reactor, les enquêteurs peuvent suivre les flux de cryptomonnaies et relier les transactions anonymes à des individus réels.
  • Collaboration industrielle : des acteurs comme Cloudflare ont aidé à neutraliser l’infrastructure en ligne de RaccoonO365.
  • Procédures judiciaires : les saisies de domaines et actions en justice visent à couper les revenus des criminels et à décourager de futurs abonnés.

Microsoft reconnaît cependant que ces groupes essaieront probablement de reconstruire leur infrastructure. L’entreprise prévoit donc de poursuivre les actions légales si de nouveaux sites apparaissent.

Un défi international

L’affaire RaccoonO365 illustre aussi les limites actuelles de la lutte contre la cybercriminalité. Les lois varient fortement d’un pays à l’autre, et les criminels exploitent ces zones grises pour agir en toute impunité.

Pour être efficaces, les réponses doivent être internationales et coordonnées :

  • Harmoniser les législations.
  • Accélérer les procédures judiciaires transfrontalières.
  • Fermer les failles juridiques exploitées par les cybercriminels.
  • Soutenir les pays qui renforcent leur cybersécurité.

Sans cette coopération, les réseaux comme RaccoonO365 continueront de prospérer.

Comment se protéger en tant qu’utilisateur ?

Même si Microsoft et ses partenaires s’attaquent aux infrastructures criminelles, les particuliers et entreprises restent la première ligne de défense. Quelques pratiques simples peuvent limiter les risques :

  • Activer l’authentification multifacteur (MFA) sur tous les comptes sensibles.
  • Mettre à jour régulièrement ses logiciels et systèmes de sécurité.
  • Utiliser des solutions anti-phishing adaptées aux environnements professionnels.
  • Former les utilisateurs à identifier et signaler les e-mails suspects.

La vigilance humaine reste une arme essentielle face aux attaques qui misent avant tout sur la manipulation psychologique.

Un combat collectif

L’opération contre RaccoonO365 montre ce qu’il est possible d’accomplir quand entreprises technologiques, forces de l’ordre, chercheurs et associations unissent leurs forces.
Microsoft insiste : c’est par cette coopération entre acteurs publics et privés que l’on peut espérer ralentir — voire stopper — la progression de la cybercriminalité.

Conclusion

RaccoonO365 n’était pas seulement un réseau de phishing, mais un symbole de l’industrialisation de la cybercriminalité. Accessible à tous, rentable pour ses créateurs et extrêmement dangereux pour ses victimes, ce modèle menace directement la sécurité numérique mondiale.

La fermeture de ses 338 sites représente une victoire importante, mais ce n’est qu’une bataille dans une guerre de longue haleine. L’avenir de la cybersécurité dépendra de la capacité à anticiper, collaborer et s’adapter face à des criminels toujours plus organisés.

Sources