Microsoft 365 : une campagne de hameçonnage contourne l'authentification à plusieurs facteurs (MFA) en exploitant une faille du protocole OAuth
Ce texte a été généré par l'intelligence artificielle (IA).Mise à jour du 8 juillet 2026 : Par ailleurs, une variante d'attaque perfectionnée a été mise au jour : elle utilise des pages d'accueil HTML chiffrées selon le protocole AES-GCM et qui ne sont déchiffrées que dans le navigateur de la victime (technique dite du „ Ghost Code “). Cette méthode complique considérablement la détection par les solutions de sécurité. Voir ci-dessous pour plus de détails.
Depuis avril 2026 au moins, on observe une campagne de phishing visant spécifiquement à compromettre des comptes Microsoft 365. Cisco Talos a publié une analyse détaillée à ce sujet le 30 juin 2026. Les attaquants exploitent pour cela une fonctionnalité légitime : le Flux d'autorisation OAuth 2.0 pour les appareils –, afin de contourner l'authentification multifactorielle (MFA) et d'accéder aux données de l'entreprise. La campagne utilise le kit « Phishing-as-a-Service » (PhaaS) ARToken, qui, selon Cisco Talos, serait un affilié ou un client de la EvilTokens- est considérée comme une plateforme et partage son infrastructure ainsi que ses contrats d'API.
Les faits en bref :
Méthode d'attaque : Hameçonnage visant les codes d'appareil Microsoft 365 via le flux OAuth 2.0 ; nouvelle variante avec des pages de destination chiffrées en AES-GCM.
Outillage : Le panneau PhaaS d'ARToken partage son infrastructure et ses modèles d'exploitation avec EvilTokens ; autre kit associé : Kali365.
Objectif : Prise de contrôle de comptes Microsoft 365 par le vol de jetons d'accès et de rafraîchissement OAuth.
Persistance : Selon Cisco Talos, les jetons de rafraîchissement OAuth volés restent valides même après un changement de mot de passe de la part de la victime, à moins qu'ils ne soient explicitement révoqués.
Nouvelle technologie : „Le phishing “ Ghost Code », qui utilise un décryptage côté navigateur, rend la détection plus difficile pour les passerelles de messagerie et les bacs à sable.
Protection : L'authentification multifactorielle (MFA) standard est inefficace. Seules l'authentification multifactorielle résistante au phishing (FIDO2) et le blocage du flux de codes sur les appareils offrent une protection.
Déroulement de l'attaque visant les comptes Microsoft 365
Cette attaque exploite une fonctionnalité de connexion conçue pour les appareils dépourvus de navigateur ou dont les possibilités de saisie sont limitées, tels que les téléviseurs connectés ou les appareils IoT. Au lieu de saisir directement ses identifiants, l'utilisateur voit s'afficher un code sur l'écran de l'appareil. L'utilisateur saisit ce code sur un deuxième appareil, déjà authentifié, via une page de connexion Microsoft légitime, autorisant ainsi le nouvel appareil.
La chaîne d'attaque commence par un e-mail de hameçonnage qui incite la victime à cliquer sur un lien sous prétexte d'une facture à vérifier. Ce lien redirige vers une page qui déclenche en arrière-plan une demande de connexion Microsoft légitime. La victime voit s’afficher une page Microsoft d’apparence authentique comportant un code d’appareil. Si l’utilisateur saisit ce code, il autorise sans le savoir la session de l’attaquant. Ce dernier reçoit alors un jeton d’accès et un jeton de rafraîchissement, ce qui lui donne accès aux e-mails, à OneDrive et à SharePoint.
Le danger particulier réside dans la persistance des données volées Jetons de rafraîchissement OAuth: Selon Cisco Talos, ils restent valides même après un changement de mot de passe de la part de l'utilisateur concerné. De plus, ARToken utilise ce qu'on appelle un „ mode broker “ pour obtenir une persistance de type PRT via le Microsoft Authentication Broker. Seule une révocation explicite des jetons via Microsoft Entra ID met fin à l'accès de l'attaquant.
« Ghost-phishing » : dissimulation grâce au décryptage côté navigateur
La nouvelle variante d'attaque observée repose sur une technique de dissimulation avancée, appelée „ Ghost Code “ phishing. Dans ce cadre, les pages de destination de phishing sont diffusées sous forme chiffrée à l'aide de l'algorithme AES-GCM. La clé de déchiffrement est fournie sous forme d'identifiant de fragment (selon le #(caractère « - ») dans l'URL et n'atteint jamais le serveur. Le décryptage s'effectue exclusivement dans le navigateur de la victime, via du code JavaScript côté client.
Cette méthode offre plusieurs avantages aux pirates : les passerelles de sécurité de messagerie et les bacs à sable ne peuvent pas analyser le contenu chiffré, car elles n'ont pas accès au fragment d'URL. Même en cas d’inspection de la page de destination par des solutions de sécurité, le contenu réel de l’hameçonnage reste masqué. Ce n’est que lorsqu’un véritable utilisateur clique sur le lien complet figurant dans l’e-mail que la page de connexion Microsoft, d’un réalisme trompeur, s’affiche avec le code de l’appareil.
Cette technologie augmente considérablement le taux de réussite de la campagne, car les systèmes traditionnels d'évaluation de la réputation des URL et les filtres de contenu s'avèrent inefficaces. Pour les équipes de sécurité, cela signifie que les contrôles préventifs, tels que le filtrage des e-mails et l'analyse des liens, ne suffisent pas à eux seuls.
ARToken et EvilTokens : l'écosystème PhaaS
Derrière cette campagne se cache le panel ARToken, commercialisé sous la forme d’un service de phishing (PhaaS). Comme l’a signalé Cisco Talos fin juin 2026, ARToken partage son infrastructure, ses contrats API et ses modèles opérationnels avec la plateforme EvilTokens et est considéré comme son affilié ou son client. Outre ARToken, il existe un autre kit PhaaS, Kali365, qui exploite la même vulnérabilité dans le flux d’autorisation des appareils Microsoft. Ces kits réduisent considérablement les obstacles à l’entrée pour les attaquants, car ils fournissent une infrastructure professionnelle permettant de mener des attaques de phishing et de gérer les comptes compromis.
Mesures de protection recommandées
Comme il s'agit d'une exploitation abusive d'une architecture de protocole, il n'existe pas de correctif logiciel classique. La protection nécessite une combinaison de contrôles techniques et de mesures de sensibilisation.
Mesures d'urgence : Demandez à vos collaborateurs de ne jamais saisir les codes d'appareil qu'ils ont reçus par e-mail non sollicité. En cas de suspicion de compromission, les administrateurs doivent immédiatement supprimer tous les jetons de mise à jour de l'utilisateur concerné à l'aide de la fonction revokeSignInSessions révoqué dans Microsoft Entra ID.
Mesures à court terme : Formez vos collaborateurs de manière ciblée aux dangers du phishing par code d'appareil et à la nouvelle variante « Ghost Code ». Surveillez les journaux Azure à la recherche d'activités suspectes liées aux jetons OAuth, d'authentifications par code d'appareil non autorisées et d'enregistrements PRT inattendus. Vérifiez les règles de réception des e-mails et les autorisations OAuth existantes. Mettez en place une détection des anomalies basée sur le comportement, car les systèmes basés sur les signatures ne détectent pas les pages de hameçonnage chiffrées.
Durcissement à long terme : La protection la plus efficace consiste à désactiver le flux d'authentification par code d'appareil via les stratégies d'accès conditionnel dans Microsoft Entra ID. Cette fonctionnalité doit être bloquée pour les utilisateurs standard et n'être autorisée que pour les comptes de service explicitement documentés et surveillés (par exemple, pour les cas d'utilisation IoT). Mettez en place une authentification multifactorielle (MFA) résistante au phishing, telle que FIDO2 ou les clés d'accès, car les méthodes MFA traditionnelles sont contournées par ce type d'attaque.
Pertinence pour les entreprises de la région DACH
Pour les entreprises situées en Allemagne, en Autriche et en Suisse, la règle suivante s'applique : si, à la suite d'un piratage de compte réussi, des données à caractère personnel sont consultées ou compromises, l'article 33 du RGPD impose une obligation de notification auprès de l'autorité compétente en matière de protection des données dans un délai de 72 heures à compter de la prise de connaissance de l'incident. En tant que plateforme centrale de communication et de collaboration, Microsoft 365 revêt également une importance particulière dans le contexte de la directive NIS-2 : les opérateurs d’infrastructures essentielles et importantes sont tenus de démontrer qu’ils ont mis en place des mesures techniques appropriées pour sécuriser les procédures d’authentification et de signaler les incidents de sécurité. Les organisations devraient vérifier si leur configuration d’authentification est conforme aux exigences de ces réglementations.
Classification par LocateRisk
L'attaque décrite met en évidence la nécessité d'une visibilité complète sur sa propre infrastructure informatique et sur les risques qui y sont associés.
Gestion de la surface d'attaque externe (EASM) : Microsoft 365 est un service accessible depuis l'extérieur qui fait partie de la surface d'attaque d'une entreprise. Une plateforme EASM telle que LocateRisk recense en permanence tous les actifs externes, y compris les services Microsoft associés à votre organisation. Cela apporte la transparence nécessaire pour vérifier les configurations et s'assurer que les méthodes d'authentification, telles que le « Device Code Flow », ne sont activées que là où elles sont nécessaires d'un point de vue opérationnel.
Gestion des risques liés aux fournisseurs (VRM) : Si un fournisseur ou un partenaire est compromis de cette manière, cela représente un risque direct pour votre propre chaîne d'approvisionnement. Les pirates pourraient utiliser le compte piraté pour lancer des attaques de type BEC (Business Email Compromise) contre votre entreprise. Une gestion continue des relations avec les fournisseurs (VRM) évalue le niveau de sécurité des prestataires tiers critiques et permet d’identifier et de traiter ces risques à un stade précoce.
LocateRisk propose une plateforme développée et hébergée en Allemagne qui aide les entreprises à se conformer aux exigences du RGPD et à préserver leur souveraineté numérique.
Une surveillance continue de vos systèmes informatiques externes est la base d'une cyberdéfense proactive. LocateRisk identifie les services exposés et les erreurs de configuration avant que les pirates ne puissent en tirer parti.
Le « phishing par code d'appareil » est une technique d'attaque qui consiste à détourner une méthode d'authentification légitime d'OAuth 2.0. Les attaquants incitent les utilisateurs à saisir, sur leur propre appareil sécurisé, un code qui autorise l'appareil de l'attaquant. Cela permet à l'attaquant d'obtenir des jetons d'accès OAuth pour le compte de la victime sans connaître son mot de passe.
Non, les méthodes d'authentification multifactorielle (MFA) traditionnelles, telles que les codes SMS ou les notifications d'application, n'offrent pas une protection efficace. Étant donné que l'utilisateur confirme lui-même la connexion sur un appareil déjà authentifié, la demande d'authentification multifactorielle aboutit. Seules les méthodes résistantes au phishing, telles que les clés de sécurité FIDO2 ou les passkeys, offrent une protection fiable.
Non, il n'existe pas de correctif logiciel pour remédier à l'exploitation abusive du flux OAuth « Device Code », car il s'agit d'une faille inhérente à la conception du protocole. La mesure de protection efficace consiste à désactiver ou à restreindre cette fonctionnalité de connexion au niveau administratif, via les politiques d'accès conditionnel (Conditional Access Policies) dans Microsoft Entra ID.
Le « Ghost-Code-Phishing » utilise le chiffrement AES-GCM pour les pages de destination de phishing, qui ne sont déchiffrées qu’une fois dans le navigateur de la victime. La clé est transmise sous forme de fragment d'URL et n'atteint jamais le serveur. De ce fait, les passerelles de messagerie et les bacs à sable ne peuvent pas analyser le contenu malveillant, ce qui réduit considérablement le taux de détection des solutions de sécurité traditionnelles.
Demandez maintenant une Démo en direct personelle
Identifiez et réduisez vos cyber-risques grâce à un aperçu comparable et compréhensible de votre sécurité informatique. Demandez conseil à nos experts et découvrez comment LocateRisk peut vous aider à résoudre vos cyber-risques.
En savoir plus, réserver une démo ou simplement échanger quelques mots ? Nous nous en réjouissons !
Nous utilisons des cookies pour optimiser notre site web et nos services.
Fonctionnel
Toujours activé
le stockage technique ou l'accès est strictement nécessaire dans le but légitime de permettre l'utilisation d'un service spécifique expressément demandé par l'abonné ou l'utilisateur, ou dans le seul but d'effectuer la transmission d'une communication par la voie d'un réseau de communications électroniques
Préférences
le stockage ou l'accès technique est nécessaire aux fins légitimes de la conservation des préférences qui n'ont pas été demandées par l'abonné ou l'utilisateur.
Statistiques
le stockage ou l'accès technique, à des fins exclusivement statistiques.le stockage ou l'accès technique, utilisé uniquement à des fins statistiques anonymes. En l'absence d'une citation, d'un accord volontaire de ton fournisseur d'accès à Internet ou d'enregistrements supplémentaires de tiers, les informations stockées ou consultées à cette seule fin ne peuvent généralement pas être utilisées pour t'identifier.
Marketing
Le stockage technique ou l'accès est nécessaire pour créer des profils d'utilisateurs, pour envoyer des publicités ou pour suivre l'utilisateur sur un site web ou sur plusieurs sites web à des fins de marketing similaires.