Des pirates informatiques parviennent à exploiter les applications OAuth pour créer des accès permanents et visibles, le tout en contournant les mots de passe et la double authentification. Et cela inquiète les experts en cybersécurité.

Les applications OAuth deviennent des backdoors permanentes dans le cloud selon Proofpoint © Jutharat Jaroenwong
Les applications OAuth deviennent des backdoors permanentes dans le cloud selon Proofpoint © Jutharat Jaroenwong

Changer son mot de passe pourrait ne plus suffire. Les chercheurs en cybersécurité de Proofpoint viennent de documenter une nouvelle méthode d'attaque qui exploite les applications OAuth pour maintenir un accès permanent aux données cloud d'entreprise. La technique persistante, déjà observée dans des campagnes réelles utilisant le kit de phishing Tycoon, permet aux cybercriminels de contourner toutes les mesures de sécurité traditionnelles.

Des applications malveillantes qui survivent aux changements de sécurité

On utilise OAuth plusieurs fois par jour sans y penser. Ce « Connexion avec Google ou Microsoft » sur un site, oui, c'est OAuth. Cette autorisation que vous donnez à Zoom pour accéder à votre agenda ? Encore OAuth. Le protocole est pratique, puisqu'il simplifie la vie en évitant de créer un nouveau mot de passe pour chaque service. Mais derrière le côté pratique, il y a un angle mort de sécurité que les attaquants exploitent maintenant systématiquement.

La manœuvre est redoutable d'efficacité. Une fois qu'un pirate a récupéré vos identifiants (par phishing généralement), il ne se contente plus de piller vos données immédiatement. Il prend le temps de créer une fausse application OAuth interne à votre organisation par exemple. L'application se fond dans le paysage informatique comme une employée modèle, avec ses permissions officielles pour accéder aux e-mails, fichiers et calendriers.

Le piège se referme alors. Vous vous apercevez de l'intrusion, vous paniquez, vous changez votre mot de passe, vous activez la double authentification. Mais il est déjà trop tard, puisque l'application malveillante possède ses propres clés d'accès, totalement indépendantes de votre compte. C'est comme si le voleur avait fait faire un double des clés avant que vous ne changiez la serrure.

Le protocole de connexion simplifié détourné pour espionner les entreprises

Pour nous faire prendre conscience de la gravité du problème, les chercheurs de Proofpoint ont créé un logiciel (baptisé Fassa), qui automatise toute l'opération. Cet outil de recherche simule exactement la méthode qu'utilisent les cybercriminels pour installer leurs backdoors. L'objectif est donc de prouver à quel point l'attaque est simple à réaliser, pour alerter les entreprises sur cette menace. Car quelques clics suffisent pour transformer un compte compromis en porte dérobée permanente.

Voici le fameux outil Fassa mis au point par Proofpoint © Proofpont
Voici le fameux outil Fassa mis au point par Proofpoint © Proofpont

Dans le détail, l'outil crée d'abord une application qui semble légitime, en notant au passage que les pirates utilisent souvent des noms banals pour ne pas éveiller les soupçons. L'outil lui attribue ensuite un « client secret », un mot de passe spécifique à l'application elle-même. Puis il collecte automatiquement trois types de jetons numériques qui fonctionnent comme un trousseau de clés universel pour accéder aux ressources de l'entreprise.

La démonstration va qu'à la simulation de la réaction classique face à une compromission, autrement dit le fameux changement de mot de passe utilisateur. Mais même en le modifiant, l'application malveillante continue tranquillement d'accéder aux e-mails comme si de rien n'était. Dans leur test, les experts cyber avaient configuré le client secret pour expirer au bout de deux ans. Deux années pendant lesquelles les pirates peuvent fouiller méthodiquement dans vos données, sans que vous ne remarquiez rien.

On voit ici le changement du mot de passe utilisateur © Proofpoint

Un accès permanent qui résiste à toutes les contre-mesures

Ce n'est pas un simple exercice théorique. Proofpoint a repéré une vraie attaque suivant exactement ce mode opératoire. Tout commence par un e-mail de phishing classique, avec un faux message Microsoft qui redirige vers une page de connexion frauduleuse. La victime saisit ses identifiants, et le pirate récupère immédiatement son mot de passe et son cookie de session grâce au kit Tycoon, un logiciel spécialisé dans ce type d'hameçonnage.

Mais au lieu de simplement voler quelques données et partir, l'attaquant a joué la carte de la discrétion. Dès qu'il a eu accès au compte compromis, il a créé une application OAuth interne baptisée sobrement « test ». Cette application a reçu les permissions nécessaires pour lire tous les e-mails, avec un accès total aux communications confidentielles de l'entreprise. Le tout en quelques minutes, depuis des serveurs VPN américains pour masquer sa véritable localisation.

Pendant quatre jours, le pirate a pu tranquillement consulter la boîte mail de sa victime. Quand celle-ci a finalement flairé l'arnaque et changé son mot de passe, les tentatives de connexion directe depuis une adresse IP nigériane ont échoué. Mais l'application « test », elle, fonctionnait toujours parfaitement. La backdoor avait survécu à la contre-mesure la plus évidente.

Pour se protéger, les entreprises doivent auditer régulièrement toutes leurs applications internes, pas seulement les services externes. Dès qu'une application suspecte apparaît, il faut la supprimer immédiatement et révoquer tous ses accès. Côté employés, la vigilance humaine reste primordiale. Pensez bien que toute demande d'autorisation inhabituelle doit être signalée sans délai aux équipes informatiques, pour éviter l'installation d'une backdoor invisible.