VoidProxy marque l’émergence d’un nouveau service de phishing-as-a-service conçu pour industrialiser la compromission de sessions. Une infrastructure automatisée qui abaisse nettement le seuil d’entrée pour des attaques pourtant très abouties.
Repéré à l’occasion d’une vaste campagne de phishing visant des environnements Microsoft 365 et Google Workspace, VoidProxy s’ajoute à la liste croissante des services de type PhaaS (phishing-as-a-service) pensés pour industrialiser l’interception des données d’authentification. Dans un rapport publié mi-septembre, les équipes de sécurité d’Okta décrivent une infrastructure complète basée sur un reverse proxy AitM (adversary-in-the-middle), qui intercepte le trafic entre la victime et les services légitimes pour en extraire identifiants, codes à usage unique et cookies de session.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Un proxy transparent entre la victime et les serveurs légitimes
D’après les observations d’Okta, les campagnes liées à VoidProxy exploitent des comptes compromis associés à des plateformes d’emailing populaires – Constant Contact, ActiveCampaign, NotifyVisitors –, détournés pour diffuser des messages frauduleux. De manière assez classique, on trouve dans ces mails des liens raccourcis sur lesquels la cible est invitée à cliquer, avant d’être redirigée vers des domaines jetables en .icu, .xyz, .sbs ou .cfd, hébergés derrière Cloudflare. Une configuration qui permet à la fois de masquer l’adresse réelle du serveur et de contourner certains systèmes de réputation ou d’analyse automatisée.
Pour renforcer la crédibilité de l’opération, la page de destination embarque un CAPTCHA Cloudflare standard, censé filtrer les robots et rassurer les internautes, qui sont ensuite réorientés vers des répliques d’interfaces de connexion à Microsoft 365, Google Workspace, voire, dans le cas des connexions fédérées, vers le portail d’authentification de leur propre organisation, où ils saisissent leurs identifiants comme d’habitude.
Sauf que dans l’équation, ce que les victimes n’ont pas vu, c’est que l’interface affichée est en réalité chargée via un proxy intercalé entre leur navigateur et le service ciblé. Le trafic de connexion est capturé à la volée, les requêtes sont relayées vers les vrais services, et les identifiants, les codes MFA et surtout le cookie de session sont interceptés au passage.
Repenser l’authentification face au vol de session
Si l’on dit « surtout », c’est en effet parce que l’intérêt d’un tel dispositif ne tient pas tant à la récupération des identifiants qu’à la capture du cookie de session, qui permet d’ouvrir une session déjà authentifiée sur un autre appareil. En ciblant les sessions actives plutôt que les mots de passe, les opérateurs s’épargnent toute tentative de contournement des mécanismes de vérification, y compris quand l’accès est protégé par un second facteur. C’est d’autant plus efficace face à des méthodes comme les codes à usage unique ou les notifications push, qui, une fois validées par la victime, n’interviennent plus dans le processus.
Ce type de campagne témoigne aussi d’une tendance à la déprofessionnalisation progressive des attaques par proxy. Le rapport d’Okta montre que VoidProxy propose une infrastructure complète avec gestion automatisée des pages de phishing, tableau de bord administrateur, récupération en temps réel ou différée des cookies de session et notifications Telegram intégrées. Bref, un modèle prêt à l’emploi, conçu pour l’échelle, l’automatisation, et surtout, accessible à peu près à n’importe qui.
Un double changement de paradigme, donc, qui doit pousser les entreprises à revoir certaines certitudes sur le périmètre d’authentification. L’authentification multifactorielle ne suffit plus à elle seule si elle repose sur des facteurs facilement transférables (notifications, codes à usages uniques reçus par SMS, mail ou applis 2FA), d’où l’importance de miser sur des méthodes réellement résistantes au phishing (passkeys, clés matérielles type FIDO2, etc.).
Il est aussi recommandé de conditionner les accès sensibles aux terminaux gérés, protégés par des solutions de sécurité adaptées, de lier les sessions à une adresse IP d’origine, et d’imposer une nouvelle authentification systématique pour chaque action critique. Enfin, automatisez les contrôles renforcés en cas d’activité inhabituelle, surveillez les connexions anormales en continu, et facilitez les signalements côté utilisateur pour pouvoir réagir au plus vite.
Source : Okta
