Depuis plusieurs mois, des campagnes de phishing exploitent un flux OAuth légitime pour obtenir un accès direct aux comptes Microsoft 365 des victimes. Une méthode connue, mais désormais utilisée à grande échelle.
Depuis plusieurs années, la protection des comptes professionnels repose sur un triptyque bien identifié : mot de passe, double authentification, vigilance face aux mails suspects. Pourtant, une série de campagnes observées depuis l’automne montre que même cette combinaison ne suffit plus toujours. En ciblant directement les mécanismes d’autorisation intégrés à Microsoft 365, certains attaquants parviennent à obtenir un accès complet aux comptes sans jamais avoir à voler la moindre information de connexion.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une autorisation légitime exploitée à des fins malveillantes
Depuis septembre, plusieurs campagnes ciblent des comptes Microsoft 365 en exploitant un flux d’authentification OAuth utilisé pour autoriser une application ou un service à accéder à un compte Microsoft. Ce flux repose sur un code temporaire que l’utilisateur est invité à saisir dans l’interface Microsoft prévue pour valider cette demande.
Dans les attaques analysées par Proofpoint, les victimes reçoivent des mails évoquant un document partagé, une prime salariale ou une vérification de compte. Dans certains cas, ces sollicitations s’inscrivent dans la continuité d’échanges réels, menés depuis des comptes déjà compromis, ce qui renforce la crédibilité de la demande et réduit les soupçons.
Le lien contenu dans le courriel mène vers une page contrôlée par l’attaquant, décrite comme une étape intermédiaire de validation et reprenant l’apparence et les codes visuels de l’organisation ciblée. Cette page affiche un code, tantôt présenté comme un mot de passe à usage unique, tantôt comme une demande de réautorisation d’accès, que la victime est invitée à saisir sur l’interface Microsoft prévue pour valider une autorisation.
En saisissant ce code dans l’interface Microsoft de validation de l’autorisation, la victime autorise sans le savoir un service contrôlé par l’attaquant à accéder à son compte, sans avoir eu besoin de transmettre son mot de passe ni de voir son code de double authentification intercepté. L’accès repose uniquement sur un consentement accordé par l’utilisateur, ce qui le rend valide pour Microsoft et immédiatement exploitable pour l’attaquant.
Proofpoint observe une hausse nette de ce type d’attaques, impliquant aussi bien des groupes cybercriminels spécialisés dans le phishing à grande échelle que des acteurs étatiques. Le groupe TA2723, déjà connu pour des campagnes usurpant OneDrive, LinkedIn ou DocuSign, a ainsi commencé à exploiter ce flux OAuth à l’automne. Des activités attribuées à un acteur soupçonné d’être lié à la Russie ont également été observées, ciblant notamment des administrations, des universités et des organismes de recherche en Europe et aux États-Unis.
Comment limiter le risque face à ce type d’attaque
Dans cette affaire, aucune faille n’a été exploitée et aucun contournement technique avancé n’est à l’œuvre. Les attaques observées reposent sur le détournement d’une fonctionnalité existante et la confiance accordée aux interfaces légitimes à des fins malveillantes. C’est d’ailleurs ce qui les rend difficiles à repérer.
Côté organisations, il va donc falloir concentrer l’effort sur les accès OAuth. Limitez strictement les applications capables d’accéder aux comptes, contrôlez les consentements accordés et restreignez l’usage des flux d’autorisation par code aux seuls contextes où ils sont réellement nécessaires. Pour rappel, les environnements s’appuyant sur Microsoft Entra permettent d’appliquer ces règles via des politiques d’accès conditionnel, en fonction des profils, des appareils ou de l’origine des connexions. Organisez également des audits réguliers des applications et services autorisés, en ciblant en priorité les éléments inconnus ou ajoutés récemment.
Concernant les utilisateurs et utilisatrices, ne saisissez jamais un code dans l’interface Microsoft de validation d’accès si vous n’êtes pas en train d’autoriser explicitement une application ou un service que vous avez vous-même initié. Toute demande liée à un document partagé, une prime ou une vérification de compte doit être traitée avec méfiance, même si le code provient d’un message légitime.
Source : Proofpoint
