Microsoft bloque les images SVG (Scalable Vector Graphics) en ligne dans ses clients de messagerie pour lutter contre une recrudescence des attaques de phishing sophistiquées.
Le changement, affectant Outlook pour le Web et le nouveau Outlook pour Windows, a commencé à être déployé début septembre 2025 et devrait être terminé d’ici la mi-octobre.
Cette mesure proactive répond au fait que les acteurs malveillants utilisent de plus en plus de fichiers SVG pour intégrer des fichiers SVG. scripts malveillants qui peuvent contourner les filtres de sécurité et voler les informations d’identification des utilisateurs.
“Les images SVG en ligne ne seront plus affichées dans Outlook pour Web ou dans le nouveau Outlook pour Windows. Au lieu de cela, les utilisateurs verront des espaces vides là où ces images auraient dû apparaître”, a déclaré la société dans une mise à jour du centre de messages Microsoft 365 mardi.
Cependant, les utilisateurs peuvent toujours y accéder sous forme de pièces jointes classiques, une décision qui vise à atténuer un risque de sécurité important avec une perturbation minimale.
Pourquoi les images SVG sont devenues un angle mort de sécurité
Le cœur de la vulnérabilité réside dans le format SVG lui-même. Contrairement aux images raster comme les JPEG, les SVG sont basés sur XML.
Cette structure leur permet de contenir du code exécutable, comme JavaScript et HTML, que les attaquants ont utilisé pour créer des pages de phishing ou rediriger les utilisateurs vers des sites malveillants.
Cette technique s’est avérée très efficace pour échapper aux passerelles de sécurité de messagerie traditionnelles, qui classent souvent les SVG comme des images inoffensives. Le résultat a été une augmentation spectaculaire de leur utilisation. La société de sécurité Trustwave a signalé une augmentation de 1 800 % des attaques de phishing via SVG début 2025.
Kaspersky a corroboré cette tendance en détectant plus de 2 825 e-mails SVG malveillants au cours du seul premier trimestre 2025. Cette hausse est également alimentée par la prolifération des plates-formes Phishing-as-a-Service (PhaaS) qui fournissent des kits prêts à l’emploi pour lancer ces attaques complexes.
Réponse de Microsoft : désactiver les SVG en ligne dans Outlook
En réponse à cette menace croissante, le changement de Microsoft est chirurgical mais significatif. En empêchant les SVG de s’afficher directement dans le corps de l’e-mail, la société neutralise le risque immédiat d’exécution de script.
La société a souligné l’impact limité, notant que moins de 0,1 % des images dans Outlook sont des SVG en ligne.
Microsoft a clarifié la politique en déclarant:”Les images SVG envoyées sous forme de pièces jointes classiques continueront d’être prises en charge et visibles à partir de la pièce jointe. Cette mise à jour permet d’atténuer les risques potentiels. risques de sécurité, tels que les attaques de cross-site scripting (XSS).”
Cette approche équilibrée permet l’utilisation continue des fichiers SVG en tant que pièces jointes, où ils sont soumis à un examen plus minutieux et nécessitent une action explicite de l’utilisateur pour s’ouvrir, tout en fermant un vecteur d’attaque dangereux.
Cette décision est essentielle dans un environnement de sécurité qui se détériore. Comme indiqué précédemment par Winbuzzer, les taux de clics de phishing ont triplé en 2024, sous l’effet de la créativité des attaquants et de la lassitude des utilisateurs. Le vecteur SVG n’est que la dernière évolution dans cette bataille en cours.
Une stratégie plus large pour renforcer Microsoft 365
Cette décision n’est pas une solution isolée mais fait partie d’une stratégie plus large et à long terme de Microsoft visant à réduire la surface d’attaque dans son écosystème de produits.
La société a systématiquement retiré ou restreint des fonctionnalités qui, bien que potentiellement utiles, sont fréquemment exploités par les acteurs malveillants.
Au cours des dernières années, Microsoft a bloqué les macros VBA Office par défaut, désactivé les compléments XLL non fiables et a élargi la liste des types de fichiers bloqués dans Outlook pour inclure des formats tels que.library-ms. Chacun de ces changements représente un compromis délibéré, donnant la priorité à la sécurité plutôt qu’aux fonctionnalités existantes.
Alors que la vague actuelle d’attaques SVG conduit souvent au vol d’identifiants, les experts en sécurité mettent en garde contre de plus grands dangers. Comme l’ont noté les chercheurs de Kaspersky, « l’utilisation de SVG comme conteneur de contenu malveillant peut également être utilisée dans des attaques ciblées plus sophistiquées ». Cela met en évidence la nécessité de changements au niveau de la plate-forme comme celui de Microsoft, qui perturbent les outils utilisés par les attaquants pour des campagnes à la fois généralisées et ciblées.
