Depuis septembre, des chercheurs en sécurité observent une nette augmentation des campagnes de piratage visant les environnements Microsoft 365. Ces attaques, menées par des groupes cybercriminels et des acteurs étatiques, n'essaient plus de voler un mot de passe.

Elles exploitent une méthode bien plus subtile : le détournement du flux d’autorisation par code d’appareil OAuth, un processus légitime de Microsoft. La victime, pensant sécuriser son compte, autorise en réalité l'attaquant à y accéder sans aucune restriction.

Comment fonctionne cette technique de piratage ?

L'attaque commence classiquement, par un email de hameçonnage. Le message, souvent très crédible, peut évoquer un document partagé, une prime salariale, ou s'insérer dans une conversation existante pour endormir toute méfiance. Le lien contenu dans le mail ne mène pas vers une fausse page de connexion, mais vers un site intermédiaire contrôlé par le pirate qui affiche un code à usage unique.

Copilot Microsoft 365

L'utilisateur est alors invité à saisir ce code sur une page d'authentification Microsoft parfaitement authentique. En validant cette étape, il ne renforce pas sa sécurité. Il donne son consentement à une application malveillante contrôlée par l'attaquant, lui octroyant un accès total à son compte via un jeton OAuth. Le piège est parfait, car il repose sur la confiance de l'utilisateur dans l'écosystème Microsoft.

Qui sont les acteurs derrière ces campagnes ?

Les analyses de la société de cybersécurité Proofpoint révèlent que cette méthode est désormais industrialisée. Des kits de phishing comme SquarePhish2 et Graphish automatisent la création des campagnes, rendant la technique accessible à un plus grand nombre d'acteurs malveillants. Plusieurs groupes ont été identifiés exploitant cette faille comportementale.

microsoft-365-nouvelles-icones

Parmi eux, on retrouve le groupe TA2723, connu pour ses motivations financières et ses usurpations de services comme OneDrive ou LinkedIn. Mais des acteurs étatiques sont également de la partie. Des activités attribuées à un groupe lié à la Russie, surnommé UNK_AcademicFlare, ont été observées, ciblant des administrations, des universités et des centres de recherche sur leurs comptes Microsoft 365.

Quels sont les risques et comment s'en protéger ?

Une fois l'accès obtenu, les conséquences sont immédiates et sévères. L'attaquant dispose d'un accès complet à la messagerie, à OneDrive, SharePoint et Teams. Il peut exfiltrer des données confidentielles, espionner les communications, manipuler des processus financiers ou utiliser le compte compromis pour étendre son attaque au sein de l'organisation. Ce n'est pas un simple vol de mot de passe, c'est une prise de possession légitime de l'identité numérique.

microsoft-365-premium

La protection contre ce type de menace ne repose plus seulement sur la technologie, mais sur la vigilance humaine. Cette attaque interroge directement l'efficacité des politiques d'authentification multifacteur. Les organisations doivent renforcer la surveillance des applications OAuth autorisées et sensibiliser leurs collaborateurs aux risques liés aux demandes d'autorisation inhabituelles, même lorsqu'elles semblent provenir de Microsoft.

Foire Aux Questions (FAQ)

Cette attaque est-elle une faille de Microsoft ?

Non, il ne s'agit pas d'une vulnérabilité logicielle. L'attaque exploite un processus d'authentification légitime (OAuth) en le détournant par l'ingénierie sociale. La sécurité de Microsoft n'est pas cassée, c'est la confiance de l'utilisateur qui est trompée.

L'authentification à deux facteurs (MFA) est-elle inutile ?

Le MFA reste une protection essentielle, mais cette attaque montre ses limites. Ici, l'utilisateur valide lui-même l'accès, contournant de fait la vérification MFA habituelle. Cela souligne la nécessité de comprendre ce que l'on valide lors d'une procédure d'authentification.

Comment reconnaître ce type de phishing ?

Il faut se méfier de toute demande vous invitant à saisir un code sur une page Microsoft, surtout si l'origine de la demande est un email inattendu. Le principal signal d'alerte est le processus lui-même : une validation d'accès via un code fourni par un tiers est un scénario extrêmement suspect qui doit immédiatement alerter.