Table des matières
Depuis quelques mois, une méthode redoutable de piratage s’attaque aux comptes Microsoft 365, exploitant habilement le flux OAuth pour contourner mots de passe et authentification multi-facteurs. Des campagnes de phishing à grande échelle se servent de cette technique pour accéder directement aux comptes des utilisateurs, remettant en question la sécurité des systèmes les plus protégés.
Les 3 infos à ne pas manquer
Le flux OAuth est un mécanisme d’authentification couramment utilisé pour autoriser des applications à accéder à des comptes Microsoft, sans besoin de mots de passe. Un code temporaire est généré, que l’utilisateur doit saisir pour valider cette autorisation. Les cybercriminels exploitent cette fonctionnalité en envoyant des courriels de phishing qui semblent authentiques.
Ces courriels contiennent des liens menant à des pages contrôlées par les attaquants, imitant l’apparence de l’organisation ciblée. Les utilisateurs sont alors trompés en leur faisant croire qu’ils valident une autorisation légitime, tandis qu’ils confèrent en réalité l’accès à leur compte à une application malveillante.
Les campagnes de phishing exploitant le flux OAuth utilisent des messages évoquant des sujets courants et attrayants tels que des documents partagés ou des primes salariales. Ces messages peuvent s’inscrire dans le cadre d’échanges réels, augmentant ainsi leur crédibilité. Les victimes, en saisissant le code fourni, accordent sans le savoir un accès complet à leur compte aux cybercriminels.
Proofpoint, une entreprise spécialisée dans la cybersécurité, a observé une forte augmentation de ces attaques, menées par des groupes connus pour leur expertise en phishing. Le groupe TA2723, par exemple, est impliqué dans ces activités depuis l’automne dernier, ciblant des secteurs sensibles en Europe et aux États-Unis.
Pour se protéger de ces attaques, les organisations doivent examiner de près les accès OAuth. Il est conseillé de limiter strictement les applications ayant accès aux comptes, de contrôler les consentements déjà accordés et de restreindre l’utilisation des flux d’autorisation par code aux contextes nécessaires. Des audits réguliers des applications autorisées sont également recommandés.
Les utilisateurs, quant à eux, doivent être vigilants et ne jamais saisir un code dans l’interface Microsoft s’ils n’ont pas initié le processus d’autorisation. Toute sollicitation liée à un document, une prime ou une vérification de compte doit être considérée avec suspicion, même si elle semble provenir d’une source légitime.
Microsoft 365, connu auparavant sous le nom d’Office 365, est une suite de services cloud intégrant des outils de productivité tels que Word, Excel et Teams. Depuis son lancement, la plateforme est devenue un pilier pour les entreprises et les institutions du monde entier, rendant ses comptes très convoités par les cybercriminels. Les attaques visant ces comptes ont évolué au fil des années, allant des simples vols de mots de passe à des techniques de phishing sophistiquées comme celles utilisant le flux OAuth.
Les efforts pour sécuriser Microsoft 365 se sont intensifiés, notamment avec l’intégration de l’authentification multi-facteurs et de politiques d’accès conditionnel. Cependant, la sophistication croissante des cyberattaques met en lumière la nécessité d’une vigilance accrue et d’une éducation continue des utilisateurs pour prévenir les compromissions de données.