À l’ouverture de OneDrive, Malwarebytes Browser Guard bloque res-1.cdn.office.net et parle de « malware » ou « phishing » ? Voici comment comprendre l’alerte, vérifier que vous êtes bien sur un service Microsoft légitime et neutraliser proprement le faux positif.
Vue d’ensemble de la question
Lors de la connexion à OneDrive via https://onedrive.live.com/login, certains utilisateurs voient l’extension Malwarebytes Browser Guard signaler le domaine res-1.cdn.office.net comme malveillant. D’autres outils (par exemple Bitdefender TrafficLight ou une navigation sans extension) ne détectent rien. Cette discordance peut être déconcertante : faut‑il s’inquiéter ? Dans la très grande majorité des cas, il s’agit d’un faux positif lié à la façon dont fonctionnent les CDN et les bloqueurs d’URLs. Ci‑dessous : explications, contrôles rapides et remédiations.
Réponse & solution
Nature du domaine
res-1.cdn.office.net fait partie du réseau de diffusion de contenu (CDN) utilisé par Microsoft pour ses services Microsoft 365, dont OneDrive. Un CDN sert à distribuer, avec un temps de chargement minimal et de manière géographiquement optimisée, des éléments statiques : scripts, feuilles de style, polices, images, fragments d’applications web. Il est normal que le portail OneDrive charge des ressources depuis des sous-domaines *.cdn.office.net.
| Élément | Ce que vous verrez typiquement | Pourquoi c’est normal |
|---|---|---|
| Domaine de ressource | res-1.cdn.office.net, res-2.cdn.office.net, etc. | Microsoft répartit la charge via plusieurs hôtes CDN. |
| Type de contenu | .js, .css, polices, images | Ressources statiques nécessaires à l’interface OneDrive. |
| Certificat TLS | Délivré pour *.cdn.office.net par Microsoft ou une AC reconnue | Garantit le chiffrement et l’identité du service. |
Pourquoi un faux positif est probable
- Blocage isolé : lorsqu’un seul moteur ou une seule extension alerte alors que plusieurs autres laissent passer, la probabilité d’erreur de classification est élevée.
- Logique « domaine vs. chemin » : des outils notent parfois un domaine entier parce qu’un chemin (URL précise) fut suspect à un moment ; sur un CDN mutualisé, cela engendre des dommages collatéraux.
- Heuristiques agressives : des signaux comme « beaucoup de requêtes », « obfuscation JS », « minification » ou « référent externe » peuvent déclencher à tort des règles génériques.
Mesures recommandées
- Mettre à jour vos protections : assurez-vous que Malwarebytes Browser Guard et vos bases de signatures sont à jour. Les faux positifs sont souvent corrigés rapidement.
- Vérifier manuellement (voir procédures ci‑dessous) :
- Contrôlez l’URL de connexion (
onedrive.live.com,login.live.comoulogin.microsoftonline.comselon les comptes). - Ouvrez le détail du certificat TLS dans le navigateur : domaine
*.cdn.office.net, autorité de certification reconnue, dates valides. - Examinez le trafic dans l’onglet Réseau des Outils de développement pour vérifier que les ressources proviennent de domaines Microsoft attendus.
- Utilisez un agrégateur de réputation (ex. plateformes multi‑moteurs) : si 0 à 2 moteurs sur plusieurs dizaines alertent, il s’agit généralement d’un faux positif.
- Contrôlez l’URL de connexion (
- Tester un autre navigateur : reproduisez l’accès avec un profil propre (sans extensions). Si tout fonctionne et que le certificat est valide, la suspicion de faux positif se renforce.
- Signaler l’erreur : soumettez le cas via la fonction « False Positive » de Malwarebytes et, si vous l’utilisez, via les canaux de signalement de Criminal IP.
- Liste blanche locale : en dernier recours (et seulement après vérifications), autorisez spécifiquement
res-1.cdn.office.netdans l’extension afin d’éviter des blocages récurrents.
Vérifications concrètes, pas à pas
Check‑list rapide (5 minutes)
| Critère | Comment vérifier | Interprétation | Action |
|---|---|---|---|
| URL de login | Barre d’adresse : https://onedrive.live.com/login (comptes personnels) ou redirection vers login.live.com/login.microsoftonline.com | Un domaine Microsoft attendu | OK : continuer. Sinon, fermer la page. |
| Certificat du CDN | Icône cadenas → « Le certificat est valide » → Nom : *.cdn.office.net | Émis par Microsoft ou AC reconnue, dates à jour | OK : continuer. Sinon, ne pas saisir d’identifiants. |
| Réputation agrégée | Soumettre l’URL res-1.cdn.office.net à un service multi‑moteurs | 0–2 détections / +90 moteurs | Très probablement faux positif → signaler. |
| Comportement de la page | Pas d’installations forcées, pas de téléchargements inattendus | Comportement normal | Rien à faire ou créer une règle locale. |
Vérifier le certificat dans le navigateur
Chrome / Edge
- Ouvrez OneDrive et laissez la page se charger.
- Appuyez sur F12 (ou clic droit → Inspecter) puis onglet Réseau.
- Rechargez la page (F5) et filtrez sur
cdn.office.net. - Cliquer une ressource → En‑têtes → Connexion → Certificat (ou depuis la barre d’adresse : icône cadenas → certificat).
Firefox
- Icône cadenas → Connexion sécurisée → Plus d’informations → Afficher le certificat.
Vérifiez : Nom commun / SAN couvrant *.cdn.office.net, émetteur approuvé, dates Non avant / Expiration valides. Un certificat non valide est un stop.
Vérifier DNS et TLS en ligne de commande
(Optionnel ; utile en entreprise ou pour un diagnostic approfondi.)
Windows (PowerShell)
nslookup res-1.cdn.office.net
# ou
Resolve-DnsName res-1.cdn.office.net
# Aperçu du certificat à distance
$tcp = New-Object System.Net.Sockets.TcpClient("res-1.cdn.office.net",443)
$ssl = New-Object System.Net.Security.SslStream($tcp.GetStream(),$false,({$true}))
$ssl.AuthenticateAsClient("res-1.cdn.office.net")
$ssl.RemoteCertificate | Format-List Subject,Issuer,NotBefore,NotAfter,Thumbprint
$ssl.Dispose(); $tcp.Close() macOS / Linux
dig +short res-1.cdn.office.net
# ou
nslookup res-1.cdn.office.net
# Détails du certificat
openssl s_client -servername res-1.cdn.office.net -connect res-1.cdn.office.net:443 Neutraliser l’alerte sans sacrifier la sécurité
Mettre à jour et réessayer
Commencez par mettre à jour l’extension Malwarebytes Browser Guard et, si applicable, l’application Malwarebytes sur l’ordinateur. Rechargez OneDrive et observez si l’alerte disparaît. Les faux positifs sont fréquemment corrigés via une simple mise à jour de listes.
Autoriser finement le domaine
Si vous avez confirmé la légitimité du domaine, créez une autorisation minimale :
- Ouvrez l’icône de l’extension, cliquez sur Paramètres.
- Dans Autoriser / Allow list, ajoutez
res-1.cdn.office.net(évitez d’ouvrir*.office.nettrop largement). - Enregistrez, puis rechargez la page OneDrive.
Bon réflexe : conservez la protection active partout ailleurs ; n’autorisez que ce qui est strictement nécessaire au bon fonctionnement de OneDrive.
Soumettre un faux positif
Alimentez la correction en remontant l’alerte :
- Préparez une capture d’écran du blocage et, si possible, les headers de la requête bloquée.
- Signalez via l’option « False Positive » de l’extension. Décrivez : URL complète, contexte (connexion OneDrive), version du navigateur, version de l’extension.
Vous pouvez également, si vous l’utilisez, déclarer le cas côté Criminal IP. Plus les opérateurs reçoivent d’échantillons, plus vite la réputation est corrigée.
Cas entreprise : autorisations contrôlées
Dans un contexte géré (Windows + Microsoft 365), vous pouvez :
- Créer une règle d’autorisation de domaine dans votre passerelle web/proxy d’entreprise uniquement pour
*.cdn.office.net. - Documenter le changement (ticket interne, revue sécurité) et planifier un rollback automatique si la réputation globale venait à évoluer.
- Surveiller les journaux (proxy, EDR, Defender for Endpoint) pour confirmer l’absence de téléchargements exécutables inattendus.
Comprendre ce qui déclenche ces alertes
Les outils de protection s’appuient sur une combinaison : listes noires connues, réputation statistique (âge du domaine, hébergeur, popularité), et heuristiques côté contenu (JavaScript compacté, redirections, iframes, etc.). Sur un CDN géant, un seul path hébergé temporairement et jugé suspect peut suffire à pénaliser un hôte complet si le moteur n’est pas assez précis. C’est pourquoi vous pouvez voir un verdict « phishing » sur res-1.cdn.office.net alors que ce même hôte délivre des fichiers de OneDrive à des centaines de millions d’utilisateurs.
Quand s’inquiéter vraiment ?
- Certificat invalide (nom qui ne correspond pas à
cdn.office.net, certificat auto‑signé, dates expirées) : ne saisissez rien, fermez la page. - URL suspecte (faute de frappe, domaine ressemblant, caractère spécial) : fermez immédiatement.
- Téléchargements ou demandes inhabituelles (ex. installation forcée, demande de code MFA en dehors du flux Microsoft habituel) : stop.
- Plusieurs moteurs reconnus alertent simultanément : considérez cela comme un signal fort, suspendez l’accès et contactez votre support.
Exemples de diagnostics « symptômes → interprétation → action »
| Symptôme | Interprétation probable | Action recommandée |
|---|---|---|
Seul Browser Guard bloque res-1.cdn.office.net | Faux positif | Mise à jour, vérifications TLS, signalement, autorisation ciblée si besoin |
| Plusieurs outils classent « phishing » et le certificat est anormal | Risque élevé | Fermer la page, prévenir l’IT, ne pas whitelister |
| Le login Microsoft s’affiche normalement, pas d’alertes ailleurs | Service légitime | Continuer, surveiller, conserver protections à jour |
Bonnes pratiques durablement efficaces
- Vigilance sur la barre d’adresse : tapez les URL Microsoft à la main ou par favoris fiables.
- HTTPS partout : vérifiez le cadenas, le domaine et le propriétaire du certificat.
- Principe du moindre privilège : si vous devez autoriser, limitez l’autorisation au domaine le plus spécifique (
res-1.cdn.office.netplutôt que*.office.net). - Surveillance : regardez les journaux de connexion de votre tenant Microsoft 365 et la page d’état officielle en cas d’incident annoncé.
- Hygiène locale : navigateur à jour, extensions nécessaires uniquement, antivirus protégé en temps réel, MFA activée sur le compte Microsoft.
Procédure complète de diagnostic (détaillée)
- Valider le contexte : êtes‑vous sur un poste personnel ou géré ? Derrière un proxy d’entreprise qui inspecte TLS ? Une inspection TLS peut présenter un certificat de l’entreprise (légitime en interne), mais il doit rester de confiance pour le poste. Si ce certificat n’est pas approuvé, les alertes se multiplient.
- Rejouer la session en navigation privée (extensions désactivées par défaut) et avec un second navigateur. Notez la présence ou l’absence d’alerte.
- Onglet Réseau : identifiez les appels à
*.cdn.office.net, confirmez le type (JS/CSS/IMG) et le code HTTP (200/304). Un Content-Type cohérent est un bon signe. - Télécharger la ressource signalée (clic droit → Ouvrir dans un nouvel onglet) et vérifier qu’il s’agit d’un script lisible/minifié ordinaire, pas d’un binaire.
- Comparer la somme SHA‑256 de la ressource si vous avez un parc : un hash identique sur plusieurs postes de confiance suggère l’absence de manipulation locale.
- Évaluer la réputation via un agrégateur multi‑moteurs. Interprétez :
- 0 détection : OK.
- 1–2 détections isolées : très probablement faux positif.
- ≥3 détections cohérentes (même catégorie) : prudence renforcée.
- Décider :
- Signal faible → whitelisting ciblé + signalement.
- Signal fort → blocage conservatoire + remontée au support sécurité.
FAQ express
Le CDN Microsoft peut‑il héberger du contenu malveillant ?
Le CDN distribue des ressources d’applications Microsoft. En revanche, des fichiers malveillants peuvent exister sur des espaces utilisateurs (ex. liens de partage OneDrive). Cela ne signifie pas que le CDN de OneDrive lui‑même est malveillant.
Pourquoi certains moteurs disent « phishing » ?
Ils extrapolent parfois depuis des heuristiques ou des incidents passés sur des chemins spécifiques. Sans corroboration multiple et sans indicateurs techniques (certificat erroné, domaine suspect), considérez l’hypothèse du faux positif.
Puis‑je désactiver totalement l’extension ?
Évitez de la couper partout. Préférez une autorisation fine limitée à res-1.cdn.office.net et laissez le reste du web protégé.
Que faire si l’alerte persiste des jours durant ?
Conservez l’autorisation locale et maintenez le signalement ouvert. Surveillez les notes de version de l’extension et la communication de votre équipe sécurité.
Modèle d’e‑mail pour signaler un faux positif
Objet : Faux positif sur res-1.cdn.office.net lors de la connexion à OneDrive
Bonjour,
Notre équipe observe un blocage « malware/phishing » de l’URL res-1.cdn.office.net par Malwarebytes Browser Guard
lors de la connexion à OneDrive (comptes Microsoft 365).
Vérifications effectuées :
* URL de login correcte (onedrive.live.com / login.live.com / login.microsoftonline.com).
* Certificat TLS valide pour *.cdn.office.net (AC de confiance), dates à jour.
* Aucun téléchargement binaire inattendu, uniquement ressources JS/CSS.
* Agrégateur multi-moteurs : 0–2 détections isolées.
Merci d’examiner et, si confirmé, de corriger la réputation.
Cordialement, Résumé exécutif
Le domaine res-1.cdn.office.net est un hôte de distribution légitime utilisé par Microsoft 365. Un blocage isolé par Malwarebytes Browser Guard, non reproduit par d’autres moteurs et sans anomalie de certificat, relève quasi toujours du faux positif. La bonne démarche : mettre à jour, vérifier TLS et l’URL, contrôler la réputation globale, signaler et, si besoin, autoriser finement le domaine pour restaurer l’usage sans compromettre la sécurité.
Informations complémentaires utiles
- Liste blanche locale : ajoutez
res-1.cdn.office.netà la liste de confiance de Browser Guard si l’alerte persiste malgré vos contrôles. - Pages d’état Microsoft : en cas de doute général (panne, incident de sécurité annoncé), consultez la page d’état officielle de Microsoft 365 et les messages d’administration de votre tenant.
- Rappel de bonnes pratiques : vérifiez le protocole
https, le cadenas, le domaine exact, et n’entrez jamais d’identifiants sur une page non officielle ou présentant un certificat invalide.
En bref : si vous voyez « Malware/phishing détecté » pour res-1.cdn.office.net en vous connectant à OneDrive, respirez. Validez l’URL, le certificat et la réputation globale : tout indique presque toujours un faux positif. Corrigez‑le proprement, signalez‑le, et continuez à profiter d’un OneDrive sécurisé.