Microsoft 365 : une campagne de hameçonnage contourne l'authentification à plusieurs facteurs (MFA) en exploitant une faille du protocole OAuth


Ce texte a été généré par l'intelligence artificielle (IA).Mise à jour du 8 juillet 2026 : Par ailleurs, une variante d'attaque perfectionnée a été mise au jour : elle utilise des pages d'accueil HTML chiffrées selon le protocole AES-GCM et qui ne sont déchiffrées que dans le navigateur de la victime (technique dite du „ Ghost Code “). Cette méthode complique considérablement la détection par les solutions de sécurité. Voir ci-dessous pour plus de détails.

Depuis avril 2026 au moins, on observe une campagne de phishing visant spécifiquement à compromettre des comptes Microsoft 365. Cisco Talos a publié une analyse détaillée à ce sujet le 30 juin 2026. Les attaquants exploitent pour cela une fonctionnalité légitime : le Flux d'autorisation OAuth 2.0 pour les appareils –, afin de contourner l'authentification multifactorielle (MFA) et d'accéder aux données de l'entreprise. La campagne utilise le kit « Phishing-as-a-Service » (PhaaS) ARToken, qui, selon Cisco Talos, serait un affilié ou un client de la EvilTokens- est considérée comme une plateforme et partage son infrastructure ainsi que ses contrats d'API.