Alerte « Teams Survey » dans Microsoft Teams : arnaque iPhone 15 Pro, paramètres de sécurité et bonnes pratiques (fédération, Safe Links, DKIM/DMARC)

Des messages « Teams Survey — gagnez un iPhone 15 Pro » circulent dans Microsoft Teams. Voici comment reconnaître l’arnaque, protéger vos utilisateurs, et configurer correctement votre tenant pour bloquer ce vecteur (fédération/external access, Safe Links, notifications e‑mail, etc.).

Vue d’ensemble

Depuis quelques semaines, des utilisateurs signalent deux signaux simultanés :

• un e‑mail « Teams Survey essaie de vous joindre » ou « Vous avez manqué une activité » ;
• un message dans Teams (chat 1:1) affirmant « Vous avez gagné un iPhone 15 Pro » avec un lien à cliquer.

Les doutes portent généralement sur la légitimité (arnaque ?), le canal (« pourquoi dans Teams ? »), et des éléments techniques (invités désactivés mais message reçu quand même, e‑mail qui passe DKIM/DMARC, adresse IP « bizarre », etc.).

Ce que c’est (résumé clair)

• Arnaque / phishing par ingénierie sociale. Le message provient d’un compte externe (autre organisation ou compte personnel Teams) qui vous contacte via la fédération — aussi appelée external access — de Teams.
• L’e‑mail que vous recevez est souvent une notification légitime de Microsoft (activité manquée) qui relaye le contenu du chat. DMARC/DKIM peuvent donc être valides même si le contenu du chat est malveillant.
• La promesse de « gagner un iPhone 15 Pro » est un appât : le lien mène généralement à une page de collecte de données (identifiants, carte bancaire, etc.).

Pourquoi cela apparaît-il dans Teams ?

Teams permet d’échanger avec d’autres organisations et, si l’option est activée, avec des comptes Teams personnels. On parle de fédération/external access. Ainsi :

• Désactiver « Guest access » (invités) n’empêche pas les messages 1:1 provenant d’utilisateurs externes fédérés. Ce sont deux mécanismes différents.
• Les e‑mails d’activité manquée sont envoyés par Microsoft pour vous notifier des chats, même si l’expéditeur est externe. Le transport e‑mail est propre (DKIM/DMARC OK), mais le message d’origine reste potentiellement malveillant.

Actions immédiates pour les utilisateurs

1. Ne cliquez pas sur le lien et ne renseignez aucune information personnelle ou de paiement.
2. Bloquez et signalez le contact dans Teams :
   Chat > conversation concernée > … (Plus d’options) > Bloquer et/ou Signaler.
   Vous pouvez gérer la liste ultérieurement via Paramètres > Confidentialité > Contacts bloqués.
3. Supprimez l’e‑mail de notification ou marquez‑le comme phishing/spam dans votre client de messagerie.
4. Si vous avez cliqué ou donné des informations : changez immédiatement votre mot de passe, activez la MFA si ce n’est pas déjà fait, déconnectez les sessions ouvertes, et surveillez vos comptes bancaires si vous avez saisi des données de paiement. Signalez l’incident à votre support IT.

Réduire le risque côté utilisateur

• Désactivez ou réduisez les e‑mails d’activité manquée si votre usage ne l’exige pas :
  Teams > Paramètres > Notifications > E‑mails d’activité manquée > choisissez Désactivé ou une fréquence minimale.
• Repérez les signaux classiques : promesse de gain, urgence, fautes de langue, lien raccourci, expéditeur inconnu, mention « Externe » à côté du nom dans la conversation.
• En cas de doute, contactez le support ou votre équipe sécurité ; ne répondez pas au message suspect.

Mesures côté entreprise / administrateurs IT

Comprendre les bascules clés

• Guest access (invités) : ajoute un utilisateur externe au sein d’une équipe/canal. N’a pas d’impact direct sur les chats 1:1 externes.
• External access (fédération) : autorise les conversations avec des utilisateurs d’autres tenants (et, selon paramétrage, des comptes Teams personnels). C’est ici que se joue l’arnaque.
• Safe Links (Defender for Office 365) pour Teams : réécrit et analyse les URL au clic dans les chats/canaux.

Restreindre l’accès externe (fédération)

Dans le Centre d’administration Teams :

1. Ouvrez Paramètres de l’organisation > Accès externe.
2. Désactivez la communication avec les comptes Teams personnels si votre activité ne l’exige pas.
3. Basculer le mode en : Autoriser uniquement les domaines approuvés (allowlist). Ajoutez vos partenaires (ex. partenaire.com, fournisseur.fr).
4. Le cas échéant, utilisez la blocklist pour des domaines spécifiques à risque.

Cette stratégie « zéro‑confiance par défaut » ferme la porte à la plupart des campagnes opportunistes qui exploitent la fédération ouverte.

Sécuriser les liens et les fichiers dans Teams

• Activez Safe Links pour Teams (MDO) et assurez‑vous que les options suivantes sont activées dans vos stratégies :
  • Protection au moment du clic pour Teams,
  • Suivi des clics et journalisation,
  • Notification et blocage sur détection de phishing ou malware.
• Activez « Safe Attachments for SharePoint, OneDrive, and Teams » pour examiner les fichiers partagés.

Politiques, sensibilisation, et gouvernance

• Former les utilisateurs : mettez en avant le label « Externe », la méfiance envers les gains « miracles », et le réflexe Signaler/Blocage.
• Réduire ou désactiver les e‑mails d’activité manquée au niveau organisation (si conforme à votre gouvernance) ; à défaut, diffuser un guide pas à pas pour le faire côté client.
• Filtrage URL/Proxy/SEG : appliquez des catégories de blocage (phishing, parkings de domaines, raccourcisseurs non approuvés).
• DLP pour Teams : appliquez des règles pour empêcher l’exfiltration d’info sensibles dans des chats externes.

Playbook SOC / helpdesk

1. Isoler l’utilisateur cible : confirmer qu’il n’a pas cliqué/saisi d’informations. Si oui, réinitialiser le mot de passe, invalider les sessions, vérifier la MFA.
2. Collecter : lien/ID du message, horodatage, identifiant de l’expéditeur (profil externe), et si possible la prévisualisation du lien.
3. Bloquer le contact au niveau tenant (si répété) et, si nécessaire, ajouter le domaine source à la blocklist dans l’accès externe.
4. Analyser les journaux de sécurité (clics Safe Links, alertes MDO, logs proxy). Rechercher d’autres destinataires.
5. Communiquer un avis interne (« campagne en cours », conseils de prudence, procédure de signalement).

Procédures pas à pas (administration)

Limiter la fédération à une allowlist

1. Centre d’administration Teams > Paramètres de l’organisation > Accès externe.
2. Choisissez « Autoriser uniquement les domaines spécifiés ».
3. Ajoutez les domaines partenaires autorisés (un par ligne). Vérifiez le sens entrant/sortant selon votre politique.
4. Désactivez la communication avec Teams (comptes personnels) si non nécessaire.

Configurer Safe Links pour Teams

1. Portail sécurité (Defender) > Politiques > Safe Links.
2. Créez ou éditez la stratégie de votre organisation ; activez la protection pour Microsoft Teams.
3. Vérifiez « Suivi des clics » et les options de blocage/notification au clic.
4. Appliquez la stratégie à tous les utilisateurs (ou groupes) qui utilisent Teams.

DLP pour chats externes

1. Conformité > Prévention des pertes de données > Nouvelles règles.
2. Sélectionnez l’emplacement Microsoft Teams (messages & pièces jointes), ciblez en priorité les communications externes.
3. Appliquez des actions : avertir l’utilisateur, bloquer l’envoi si données sensibles, exiger justification.

Gérer les e‑mails d’activité manquée

• Documentez et communiquez la marche à suivre côté client Teams pour réduire/désactiver ces e‑mails.
• Si votre gouvernance le permet, étudiez la réduction de ces notifications via les politiques de notification/activité au niveau tenant.
• Ajoutez un bandeau d’avertissement aux e‑mails externes dans votre passerelle (sans casser les notifications légitimes) ; éduquez les utilisateurs à ne jamais cliquer des liens de « lotterie ».

Clarifications techniques utiles

• DMARC/DKIM valides ≠ message sûr : la notification e‑mail est réellement expédiée par Microsoft et correctement signée. Elle relate toutefois un contenu potentiellement malveillant posté via un chat externe.
• IP « à 4 chiffres dans un octet » : ce format n’est pas une IPv4 valide. On le rencontre parfois dans des champs de logs ou d’en‑têtes non fiables. Ne vous focalisez pas sur ce détail ; appuyez‑vous sur le contexte et vos moteurs de détection.
• « Guest access désactivé mais message reçu » : normal si la fédération (external access) reste ouverte.

Signes distinctifs de l’arnaque « Teams Survey / iPhone 15 Pro »

• Message « Vous avez gagné », « Répondez maintenant », « Votre avis = récompense ».
• Lien vers un questionnaire externe sans rapport avec votre entreprise.
• Profil de l’expéditeur marqué Externe, souvent sans photo/présence, avec un nom générique.
• Horaires de diffusion massifs, messages quasi‑identiques à plusieurs collaborateurs.

Modèles prêts à l’emploi (communication interne)

Message Teams (canal #annonces-sécurité)

[Alerte phishing] Des messages « Teams Survey » promettant un iPhone 15 Pro circulent sur Teams via des contacts externes. Ne cliquez pas. Bloquez & signalez le contact (… > Bloquer / Signaler). Si vous avez cliqué, changez votre mot de passe et contactez le support.

E‑mail aux collaborateurs

Objet : Alerte – Faux « sondage Teams » offrant un iPhone 15 Pro

Des acteurs malveillants contactent nos équipes via la fédération Teams. Vous pouvez recevoir une notification e‑mail légitime de Microsoft reprenant un chat externe frauduleux. Ne cliquez pas sur les liens, bloquez/ signalez le contact, et alertez le support en cas de doute.

Tableau récapitulatif : paramètres recommandés

Contrôle	Où	Valeur conseillée	Effet
Fédération (External access)	Teams Admin Center	Allowlist (domaines approuvés uniquement)	Bloque les messages opportunistes d’inconnus
Comptes Teams personnels	Teams Admin Center	Désactivé (si non indispensable)	Empêche les sollicitations « grand public »
Safe Links pour Teams	Defender for Office 365	Activé, suivi des clics	Analyse et bloque les URL malveillantes
Safe Attachments S/O/Teams	Defender for Office 365	Activé	Examen des fichiers partagés
DLP sur messages Teams	Compliance	Règles pour échanges externes	Réduit l’exfiltration de données
E‑mails d’activité manquée	Client Teams / Gouvernance	Désactivés ou fréquence réduite	Diminue l’exposition aux relances par e‑mail
Bandeau e‑mail externe	Passerelle / SEG	Activé	Sensibilise au risque de liens « cadeau »

Questions fréquentes

Est‑ce que bloquer les invités suffit ?

Non. Les invités (guest access) et la fédération (external access) sont distincts. L’arnaque exploite la fédération des chats 1:1. Il faut donc restreindre l’externe (allowlist / blocage de comptes personnels) pour assécher le vecteur.

Pourquoi mon e‑mail de notification a‑t‑il « passé » DMARC/DKIM ?

Parce qu’il a été envoyé par l’infrastructure Microsoft (notification d’activité manquée) ; la signature est valide. Le problème n’est pas l’e‑mail en soi, mais le contenu du chat à l’origine.

J’ai vu une adresse IP « avec 4 chiffres » dans un octet d’en‑tête. C’est grave ?

Ce format n’est pas une IPv4 légitime. Traitez‑le comme indiciaire mais non fiable. Basez votre analyse sur les protections (Safe Links, proxy, MDO) et sur la chaîne de confiance complète, pas sur ce seul champ.

Nous avons besoin d’échanger avec des externes. Comment garder l’ouverture tout en réduisant le risque ?

• Passez en allowlist de domaines partenaires.
• Bloquez les comptes personnels.
• Appliquez Safe Links + DLP + bandeau e‑mail externe.
• Ajoutez une campagne de sensibilisation trimestrielle ciblant les arnaques « récompense ».

Checklist d’hygiène utilisateur

• Vérifier le label Externe dans l’en‑tête de chat.
• Ne jamais saisir d’identifiants ou de CB après un lien Teams vers une page inconnue.
• Utiliser le bouton Signaler dans Teams.
• Activer la MFA sur tous les comptes professionnels.
• Tenir son navigateur et son OS à jour (moteur anti‑phishing intégré, listes de blocage récentes).

Checklist d’hygiène administrateur

• Fédération : allowlist + bloquer Teams personnels si possible.
• Déployer Safe Links pour Teams (journal et blocage au clic).
• DLP : règles sur messages/attachments pour externes.
• Passerelle e‑mail : bandeau « expéditeur externe » + détection des mots‑clés « récompense », « gagné », etc. (avec prudence pour éviter les faux positifs).
• Revue régulière des domaines partenaires autorisés.
• Runbooks SOC : procédure de réinitialisation d’urgence, invalidation de sessions, et communication interne.

Cas d’école : que se passe‑t‑il si un utilisateur clique ?

1. Contenir : forcer la réinitialisation du mot de passe, vérifier l’état MFA, invalider les sessions (révocation tokens).
2. Eradiquer : si un logiciel a été téléchargé, déclencher un scan EDR, isoler la machine si alerte.
3. Réparer : conseiller l’utilisateur (vérification des comptes bancaires si carte saisie), déposer un signalement interne.
4. Apprendre : enrichir vos règles de blocage (domaines, patterns), mettre à jour la sensibilisation.

En bref

« Teams Survey / iPhone 15 Pro » est une arnaque via chat externe qui tire parti des notifications e‑mail pour paraître légitime. Ne cliquez pas, bloquez/signalez. Côté entreprise, restreignez la fédération (allowlist + blocage des comptes personnels), activez Safe Links, renforcez la sensibilisation, et surveillez via vos outils sécurité.

---

Annexe : différences essentielles (rappel)

Fonction	Usage	Risque phishing	Contrôle principal
Guest access (invités)	Ajouter un utilisateur externe à une équipe	Moyen (accès persistant, mais contrôlé)	Politiques d’équipe/canal, gouvernance
External access (fédération)	Chat 1:1 / appels avec autres tenants / personnels	Élevé si ouvert à tous	Allowlist, blocage comptes personnels
Safe Links (Teams)	Analyse d’URL au clic	Réduit les dégâts si clic	Stratégies Defender MDO

Annexe : fiche mémo pour le support

• Symptômes : message Teams externe promettant un iPhone 15 Pro, e‑mail d’activité manquée.
• Diagnostic : conversation 1:1 marquée Externe, lien qui redirige vers un questionnaire.
• Actions : blocage du contact, ajout de domaine à la blocklist si récurrent, vérification Safe Links, DLP, et alertes EDR/proxy.
• Communication : message d’alerte interne + procédure utilisateur.

---

Conclusion

Les campagnes « Teams Survey » prospèrent parce que la fédération de Teams est souvent trop ouverte et parce que les utilisateurs font confiance aux notifications Microsoft. En adoptant une posture allowlist pour l’externe, en bloquant les comptes personnels lorsque possible, en activant Safe Links, et en éduquant régulièrement vos équipes, vous éliminez l’essentiel du risque — tout en préservant la collaboration légitime avec vos partenaires.

Rappelez‑vous : un e‑mail propre (DKIM/DMARC OK) peut transporter une mauvaise nouvelle : le contenu d’un chat externe malveillant. L’important n’est pas « qui a envoyé la notification », mais d’où vient le message d’origine et ce que vous autorisez dans votre tenant.

À faire dès aujourd’hui : passez en allowlist sur l’accès externe, bloquez Teams personnels si non indispensables, vérifiez que Safe Links pour Teams est actif, et envoyez un mémo de sensibilisation. En moins d’une heure, vous aurez réduit fortement l’exposition à cette arnaque.