Selon un rapport des chercheurs en sécurité de ProofPoint, deux cyberattaques ciblent actuellement les détenteurs d’un compte Microsoft 365 en usurpant l’identité de services réputés via des applications OAuth. Cette technique, déjà observée dans d’autres campagnes de piratage, met en évidence la vulnérabilité des services en ligne lorsqu’ils sont exploités par des cybercriminels ingénieux.
Le principe du protocole OAuth
Microsoft 365 utilise OAuth pour valider l’accès à des services tiers sans exiger le mot de passe complet de l’utilisateur. Cette autorisation peut, dans de bonnes conditions, renforcer la sécurité (pas de partage direct du mot de passe).Toutefois, si l’application qui réclame les droits est malveillante, l’utilisateur finit par remettre des données personnelles ou professionnelles à un tiers mal intentionné.
Les campagnes de phishing dans le détail ou l’usurpation de marques reconnues
Les attaquants se font passer pour des services connus tels qu’Adobe Drive, Adobe Acrobat ou encore DocuSign.
Tout d’abord, l’usager reçoit une demande d’accès — a priori légitime — en provenance d’une adresse e-mail compromise, liée auparavant à une association caritative ou à une petite entreprise.
L’utilisateur reçoit par la suite, un lien qui semble provenir d’un service en ligne crédible.S’il clique et accorde les droits, le pirate récupère des informations sensibles (nom, ID utilisateur, photo de profil, OpenID).
Les victimes sont ensuite invitées à entrer leur identifiant et leur mot de passe Microsoft 365, aboutissant à la compromission effective de leur compte. Il s’agit donc d’un redirection phishing.
Dans la foulée, ProofPoint a constaté qu’en moins de 60 secondes après l’autorisation OAuth, les pirates se connectent au compte pour voler des données ou propager un logiciel malveillant.
Le rôle de « Chrome 2 » : un piratage parallèle révélateur
En parallèle de cette menace spécifique à Microsoft 365, des sources évoquent un piratage ciblé de “Chrome 2”, supposée future version ou mise à jour critique du navigateur de Google. Bien que les détails demeurent encore flous, il s’agirait d’exploiter une faille similaire dans le processus d’autorisation et de synchronisation de comptes. Cette nouvelle attaque en gestation démontre que tous les Géants de la Tech — Microsoft, Google, Adobe — peuvent être exposés à des détournements du protocole OAuth ou à des vulnérabilités liées à la gestion des données de leurs utilisateurs.
Le point commun entre ces deux types d’attaque ? la popularité d’outils comme Microsoft 365 et Chrome en fait des cibles de choix et les hackers misent donc sur la confiance que les internautes accordent aux marques connues pour maximiser la portée de leurs attaques.
ClickFix : une tactique de manipulation bien rodée
ProofPoint qualifie cette stratégie de “ClickFix”. L’idée est de tromper l’utilisateur pour qu’il exécute lui-même des actions malveillantes, telles qu’une vérification « Êtes-vous humain ? » ou la saisie de ses identifiants, en contournant ainsi les systèmes de sécurité traditionnels.
Quelques exemples d’abus récents ?
- Une fausse invitation Google Meet pour récupérer des informations sensibles.
- Des pages web demandant à désactiver un antivirus avant de continuer, donnant le champ libre aux virus.
Ces méthodes soulignent la nécessité de rester vigilant face à toute requête d’autorisation, même si elle semble provenir d’un émetteur fiable.
Alors quelles conséquences pour les victimes ?
Les retombées d’une compromission de compte Microsoft 365 ou d’un autre service critique sont multiples.
Bien évidemment, en tête de liste, on peut clairement nommer la perte ou le vol de données, de documents confidentiels, contrats sensibles, échanges privés…
Mais une fois un compte corrompu, le cybercriminel peut envoyer de nouvelles demandes d’autorisation malveillantes aux contacts de la victime. Il s’agit là d’attaques en cascade et leur impact est majeur.
Enfin et master but not least, les pages de phishing peuvent également pousser l’utilisateur à télécharger un virus, ouvrant la porte à d’autres formes d’intrusions (ransomware, keyloggers, etc.).
Pourquoi cette menace grandit-elle ?
D’une part, la hausse constante de l’usage d’outils collaboratifs en ligne — de la messagerie aux plateformes de partage de documents — fait exploser le nombre de cibles potentielles. Les pirates y voient une formidable opportunité d’accéder à des données sensibles par le biais d’attaques ciblées ou massives. D’autre part, les cybercriminels perfectionnent leur ingénierie sociale en élaborant des scénarios de plus en plus crédibles : e-mails crédibles imitant de grandes marques, pages de phishing à l’interface soignée, etc.
Dans certains pays, le manque de sanctions effectives contre la cybercriminalité, ainsi que les lacunes législatives, offrent un climat propice à la prolifération de ces campagnes. Qui plus est, la revente de données volées sur le Dark Web représente une source de revenus conséquente, incitant toujours plus de malfaiteurs à se lancer dans ces activités malveillantes.
Face à cette montée en puissance, quelques bonnes pratiques permettent de limiter grandement les risques :
- Analyser chaque demande OAuth : lorsqu’une application réclame un accès à votre compte, prenez quelques secondes pour vérifier que la requête provient bien d’un service officiel ou d’une source de confiance. Demandez-vous si vous aviez vraiment besoin d’accorder ces autorisations.
- Surveiller les accès déjà autorisés : sur Microsoft 365, rendez-vous régulièrement dans l’onglet « Mes applications » pour vérifier la liste des programmes ou extensions ayant accès à votre compte. N’hésitez pas à révoquer l’autorisation de tout service qui vous semble douteux ou que vous n’utilisez plus.
- Activer la double authentification (2FA) : opter pour un second facteur (SMS, application de validation ou clé de sécurité) renforce significativement la protection de votre compte, puisque la saisie du mot de passe seul ne suffit plus à s’authentifier.
- Mettre à jour ses navigateurs : les failles de sécurité sont régulièrement patchées par les éditeurs de navigateurs. Veillez donc à installer systématiquement les mises à jour, notamment si une nouvelle version majeure, comme “Chrome 2”, est annoncée.
- Former et sensibiliser : en entreprise, il est essentiel de former les collaborateurs aux règles de base de la cybersécurité (détecter un e-mail de phishing, ne pas cliquer sans réfléchir sur un lien, reconnaître une page frauduleuse…). Plus chacun est informé, plus le risque global pour l’organisation est réduit.
Des attaques très ciblées, particulièrement en Europe et aux États-Unis
ProofPoint affirme qu’“il y a deux campagnes en cours, très ciblées” visant des sociétés et organismes gouvernementaux dans plusieurs pays européens et aux États-Unis. Le mode opératoire joue sur des “leurres contractuels” : appels d’offres, propositions de contrats, etc.
On vous donne quelques exemples de scénarios :
1° Un e-mail est prétendument envoyé au service achats d’une entreprise, évoquant un contrat urgent ou un tender en cours, incitant la victime à autoriser l’application malveillante.
2° Une structure gouvernementale reçoit un message “officiel” la pressant de signer des documents sur un portail usurpant DocuSign.
On voit immédiatement quels dégâts cette méthodologie peut faire.
Les Géants de la Tech face à des enjeux communs
Ces attaques démontrent surtout les principales problématiques auxquelles sont confrontés les grands acteurs de la technologie, qu’il s’agisse de Microsoft, Adobe ou Google avec son “Chrome 2”. Le protocole OAuth, malgré ses avantages, devient une cible privilégiée car il est présent dans la plupart des services en ligne populaires.
On ne peut ignorer le fait que la mondialisation de la concurrence a engendré une difficulté qui n’est pas négligeable : chaque faille exploitée dans l’un de ces écosystèmes peut avoir des répercussions en chaîne sur d’autres plateformes. Les Géants de la Tech doivent par conséquent redoubler de vigilance pour sécuriser leurs processus d’authentification, sous peine de voir leurs utilisateurs exposés à des vagues de phishing d’une ampleur inédite.
La responsabilité se doit donc d’être collective
Si la sécurité ne pourra jamais être garantie à 100 %, utilisateurs et fournisseurs de services ont la responsabilité de mettre en place des pratiques et des outils aussi imparables que possible. La multiplication des campagnes de phishing basées sur l’autorisation OAuth rappelle que la vigilance humaine reste la première des barrières défensives.
Parallèlement, l’évolution rapide de menaces comme le piratage en cours de “Chrome 2” souligne que la cybercriminalité ne connaît pas de répit. Il faudra donc une collaboration accrue entre entreprises, institutions et particuliers, afin d’identifier rapidement les vecteurs d’attaque et de diffuser de bonnes pratiques partagées par tous.
Une fois de plus la démonstration est apportée que la lutte contre les cyberattaques est un chantier permanent. Plus la technologie avance, plus les failles potentielles se multiplient. Il appartient à chacun de nous d’être conscient des risques, de se former et d’adopter les stratégies de sécurité adéquates. Les Géants de la Tech, de leur côté, doivent quant à eux veiller à fournir des solutions fiables et mettre en place des politiques de protection à la hauteur des enjeux.
