Une vague de phishing cible actuellement les comptes Microsoft 365 en exploitant un parcours de connexion légitime pour obtenir un accès durable aux environnements compromis.
Plus de 340 organisations ont déjà été touchées par une vaste campagne de phishing suivie par Huntress aux États-Unis, au Canada, en Australie, en Nouvelle-Zélande et en Allemagne, dans des secteurs aussi variés que le droit, le bâtiment, le monde associatif, l’immobilier, la santé ou les services publics. Les attaques recensées visent les accès Microsoft 365 et cherchent à récupérer non pas des identifiants, mais des jetons d’authentification valides permettant aux cybercriminels de garder la main sur les comptes compromis, même après réinitialisation du mot de passe. Une opération attribuée à EvilTokens, plateforme de Phishing-as-a-Service, de toujours très active, dont le rythme s’est nettement accéléré depuis le début du mois de mars.
Une campagne massive qui détourne un mode de connexion légitime
Dans le détail, le piège repose sur le device code flow, un mode de connexion prévu par Microsoft pour certains appareils comme des téléviseurs connectés, des imprimantes ou d’autres équipements dépourvus de clavier. En temps normal, l’utilisateur ou l’utilisatrice ouvre une page Microsoft sur un autre appareil, saisit un code court, puis autorise la connexion. Ici, la victime clique d’abord sur un lien reçu par mail, arrive sur une page de leurre qui affiche un code déjà généré par les attaquants, puis est invitée à se rendre sur la page officielle microsoft.com/devicelogin pour le saisir.
C’est là ce qui rend l’attaque particulièrement trompeuse. La page de connexion est bien une vraie page Microsoft, pas une imitation. La victime suit donc un parcours qui paraît légitime jusqu’au bout. Une fois le code saisi, puis l’authentification validée avec identifiants et éventuelle double authentification, Microsoft émet des jetons OAuth. L’un permet un accès immédiat, l’autre peut servir à renouveler la session pendant plusieurs semaines. Tant que ces jetons ne sont pas révoqués, l’attaquant peut continuer à exploiter l’accès obtenu. Voilà pourquoi un simple changement de mot de passe ne suffit pas toujours à couper court à la compromission.
Cette campagne s’appuie aussi sur une grande diversité de leurres (faux appels d’offres, documents DocuSign ou DocSend, accords de partenariat, notifications de messagerie vocale, alertes sur l’expiration d’un mot de passe, espaces de partage de fichiers), ce qui complique le blocage par les filtres habituels. Les messages ne reprennent pas tous les mêmes formulations, et les liens passent souvent par plusieurs intermédiaires avant d’aboutir à la page qui affiche le code à saisir.
Huntress souligne d’ailleurs que cette hétérogénéité, combinée à l’accélération observée depuis le début du mois de mars, donne à la campagne une ampleur peu commune, d’autant qu’elle s’appuie sur des services légitimes détournés comme Cloudflare Workers, Vercel ou AWS Amplify pour héberger les leurres et les redirections, ainsi que sur Railway, dont les capacités de déploiement rapide facilitent la mise en ligne, la rotation et le renouvellement de l’infrastructure utilisée pour les authentifications suspectes et l'exploitation des jetons volés.
Ce qu’il faut faire pour limiter les dégâts
La première chose à retenir, c’est qu’il ne faut pas traiter cette attaque comme un simple vol d’identifiants. Si un compte a été piégé, changer le mot de passe est utile, mais insuffisant. Il faut aussi révoquer les jetons de session, en particulier les refresh tokens, dont la persistance permet aux attaquants de conserver l’accès au compte compromis.
Il faut également surveiller de près les journaux de connexion Microsoft 365 afin de repérer d’éventuelles authentifications suspectes, en particulier depuis des plages d’adresses IP associées à Railway et signalées dans les indicateurs de compromission publiés par Huntress.
De manière plus générale, bloquez le device code flow partout où il n’a pas d’utilité métier clairement identifiée, ou limitez-le aux seuls comptes qui en ont réellement besoin.
Il faut enfin revoir les processus de sensibilisation en entreprise. Pendant longtemps, le réflexe a consisté à traquer les fausses pages de connexion et les domaines douteux, mais compte tenu de ce type de campagnes reposant sur le détournement de portails d’authentification légitimes, il faut désormais apprendre aux équipes à se méfier aussi des demandes inhabituelles les poussant à saisir un code pour accéder à un document, un appel d’offres, un espace partagé ou une notification vocale.
Source : Huntress
