{"id":9154,"date":"2026-07-08T14:45:06","date_gmt":"2026-07-08T14:45:06","guid":{"rendered":"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/"},"modified":"2026-07-08T15:28:51","modified_gmt":"2026-07-08T15:28:51","slug":"microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch","status":"publish","type":"post","link":"https:\/\/locaterisk.com\/fr\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/","title":{"rendered":"Microsoft 365 : une campagne de hame\u00e7onnage contourne l'authentification \u00e0 plusieurs facteurs (MFA) en exploitant une faille du protocole OAuth"},"content":{"rendered":"<div class=\"wp-block-lr-blog-article-header-module\">\r\n    <div class=\"content\">\r\n\t\t<div class=\"headline\">\r\n\t\t\t<button class=\"to-blog-button\">Retour au blog                <a href=\"https:\/\/locaterisk.com\/fr\/blog\/\"><\/a>\r\n\t\t\t<\/button>\r\n\t\t\t\t\t<\/div>\r\n        <div class=\"main-content\">\r\n\t\t\t\t\t\t<!--\r\n            <div class=\"header\">\r\n                <h6> <\/h6>\r\n            <\/div>\r\n\t\t\t\t\t\t-->\r\n            <h1 class=\"title\">Microsoft 365 : une campagne de hame\u00e7onnage contourne l'authentification \u00e0 plusieurs facteurs (MFA) en exploitant une faille du protocole OAuth<\/h1>\r\n            <p class=\"paragraph\"><br><span class=\"lr-ai-disclosure\" style=\"display:block;margin:8px 0 28px;font-size:14px;line-height:1.4;color:#8b93a7;font-family:inherit;font-style:italic;\">Ce texte a \u00e9t\u00e9 g\u00e9n\u00e9r\u00e9 par l'intelligence artificielle (IA).<\/span><strong>Mise \u00e0 jour du 8 juillet 2026 :<\/strong> Par ailleurs, une variante d'attaque perfectionn\u00e9e a \u00e9t\u00e9 mise au jour : elle utilise des pages d'accueil HTML chiffr\u00e9es selon le protocole AES-GCM et qui ne sont d\u00e9chiffr\u00e9es que dans le navigateur de la victime (technique dite du \u201e Ghost Code \u201c). Cette m\u00e9thode complique consid\u00e9rablement la d\u00e9tection par les solutions de s\u00e9curit\u00e9. Voir ci-dessous pour plus de d\u00e9tails.<br><br>Depuis avril 2026 au moins, on observe une campagne de phishing visant sp\u00e9cifiquement \u00e0 compromettre des comptes Microsoft 365. Cisco Talos a publi\u00e9 une analyse d\u00e9taill\u00e9e \u00e0 ce sujet le 30 juin 2026. Les attaquants exploitent pour cela une fonctionnalit\u00e9 l\u00e9gitime : le <strong>Flux d'autorisation OAuth 2.0 pour les appareils<\/strong> \u2013, afin de contourner l'authentification multifactorielle (MFA) et d'acc\u00e9der aux donn\u00e9es de l'entreprise. La campagne utilise le kit \u00ab Phishing-as-a-Service \u00bb (PhaaS) <strong>ARToken<\/strong>, qui, selon Cisco Talos, serait un affili\u00e9 ou un client de la <strong>EvilTokens<\/strong>- est consid\u00e9r\u00e9e comme une plateforme et partage son infrastructure ainsi que ses contrats d'API.<\/p>\r\n        <\/div>\r\n    <\/div>\r\n<\/div>\r\n\r\n\r\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"400\" height=\"400\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/initial-access-vector.png\" alt=\"Microsoft 365: Phishing-Kampagne umgeht MFA durch OAuth-Protokoll-Missbrauch\" class=\"wp-image-9141\" srcset=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/initial-access-vector.png 400w, https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/initial-access-vector-300x300.png 300w, https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/initial-access-vector-150x150.png 150w, https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/initial-access-vector-12x12.png 12w\" sizes=\"auto, (max-width: 400px) 100vw, 400px\" \/><\/figure><\/div>\n\n\n<p><strong>Les faits en bref :<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>M\u00e9thode d'attaque :<\/strong> Hame\u00e7onnage visant les codes d'appareil Microsoft 365 via le flux OAuth 2.0 ; nouvelle variante avec des pages de destination chiffr\u00e9es en AES-GCM.<\/li>\n\n\n\n<li><strong>Outillage :<\/strong> Le panneau PhaaS d'ARToken partage son infrastructure et ses mod\u00e8les d'exploitation avec EvilTokens ; autre kit associ\u00e9 : Kali365.<\/li>\n\n\n\n<li><strong>Objectif :<\/strong> Prise de contr\u00f4le de comptes Microsoft 365 par le vol de jetons d'acc\u00e8s et de rafra\u00eechissement OAuth.<\/li>\n\n\n\n<li><strong>Persistance :<\/strong> Selon Cisco Talos, les jetons de rafra\u00eechissement OAuth vol\u00e9s restent valides m\u00eame apr\u00e8s un changement de mot de passe de la part de la victime, \u00e0 moins qu'ils ne soient explicitement r\u00e9voqu\u00e9s.<\/li>\n\n\n\n<li><strong>Nouvelle technologie :<\/strong> \u201eLe phishing \u201c Ghost Code \u00bb, qui utilise un d\u00e9cryptage c\u00f4t\u00e9 navigateur, rend la d\u00e9tection plus difficile pour les passerelles de messagerie et les bacs \u00e0 sable.<\/li>\n\n\n\n<li><strong>Protection :<\/strong> L'authentification multifactorielle (MFA) standard est inefficace. Seules l'authentification multifactorielle r\u00e9sistante au phishing (FIDO2) et le blocage du flux de codes sur les appareils offrent une protection.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>D\u00e9roulement de l'attaque visant les comptes Microsoft 365<\/strong><\/h2>\n\n\n\n<p>Cette attaque exploite une fonctionnalit\u00e9 de connexion con\u00e7ue pour les appareils d\u00e9pourvus de navigateur ou dont les possibilit\u00e9s de saisie sont limit\u00e9es, tels que les t\u00e9l\u00e9viseurs connect\u00e9s ou les appareils IoT. Au lieu de saisir directement ses identifiants, l'utilisateur voit s'afficher un code sur l'\u00e9cran de l'appareil. L'utilisateur saisit ce code sur un deuxi\u00e8me appareil, d\u00e9j\u00e0 authentifi\u00e9, via une page de connexion Microsoft l\u00e9gitime, autorisant ainsi le nouvel appareil.<\/p>\n\n\n\n<p>La cha\u00eene d'attaque commence par un e-mail de hame\u00e7onnage qui incite la victime \u00e0 cliquer sur un lien sous pr\u00e9texte d'une facture \u00e0 v\u00e9rifier. Ce lien redirige vers une page qui d\u00e9clenche en arri\u00e8re-plan une demande de connexion Microsoft l\u00e9gitime. La victime voit s\u2019afficher une page Microsoft d\u2019apparence authentique comportant un code d\u2019appareil. Si l\u2019utilisateur saisit ce code, il autorise sans le savoir la session de l\u2019attaquant. Ce dernier re\u00e7oit alors un jeton d\u2019acc\u00e8s et un jeton de rafra\u00eechissement, ce qui lui donne acc\u00e8s aux e-mails, \u00e0 OneDrive et \u00e0 SharePoint.<\/p>\n\n\n\n<p>Le danger particulier r\u00e9side dans la persistance des donn\u00e9es vol\u00e9es <strong>Jetons de rafra\u00eechissement OAuth<\/strong>: Selon Cisco Talos, ils restent valides m\u00eame apr\u00e8s un changement de mot de passe de la part de l'utilisateur concern\u00e9. De plus, ARToken utilise ce qu'on appelle un \u201e mode broker \u201c pour obtenir une persistance de type PRT via le Microsoft Authentication Broker. Seule une r\u00e9vocation explicite des jetons via Microsoft Entra ID met fin \u00e0 l'acc\u00e8s de l'attaquant.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>\u00ab Ghost-phishing \u00bb : dissimulation gr\u00e2ce au d\u00e9cryptage c\u00f4t\u00e9 navigateur<\/strong><\/h2>\n\n\n\n<p>La nouvelle variante d'attaque observ\u00e9e repose sur une technique de dissimulation avanc\u00e9e, appel\u00e9e \u201e Ghost Code \u201c phishing. Dans ce cadre, les pages de destination de phishing sont diffus\u00e9es sous forme chiffr\u00e9e \u00e0 l'aide de l'algorithme AES-GCM. La cl\u00e9 de d\u00e9chiffrement est fournie sous forme d'identifiant de fragment (selon le <strong>#<\/strong>(caract\u00e8re \u00ab - \u00bb) dans l'URL et n'atteint jamais le serveur. Le d\u00e9cryptage s'effectue exclusivement dans le navigateur de la victime, via du code JavaScript c\u00f4t\u00e9 client.<\/p>\n\n\n\n<p>Cette m\u00e9thode offre plusieurs avantages aux pirates : les passerelles de s\u00e9curit\u00e9 de messagerie et les bacs \u00e0 sable ne peuvent pas analyser le contenu chiffr\u00e9, car elles n'ont pas acc\u00e8s au fragment d'URL. M\u00eame en cas d\u2019inspection de la page de destination par des solutions de s\u00e9curit\u00e9, le contenu r\u00e9el de l\u2019hame\u00e7onnage reste masqu\u00e9. Ce n\u2019est que lorsqu\u2019un v\u00e9ritable utilisateur clique sur le lien complet figurant dans l\u2019e-mail que la page de connexion Microsoft, d\u2019un r\u00e9alisme trompeur, s\u2019affiche avec le code de l\u2019appareil.<\/p>\n\n\n\n<p>Cette technologie augmente consid\u00e9rablement le taux de r\u00e9ussite de la campagne, car les syst\u00e8mes traditionnels d'\u00e9valuation de la r\u00e9putation des URL et les filtres de contenu s'av\u00e8rent inefficaces. Pour les \u00e9quipes de s\u00e9curit\u00e9, cela signifie que les contr\u00f4les pr\u00e9ventifs, tels que le filtrage des e-mails et l'analyse des liens, ne suffisent pas \u00e0 eux seuls.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>ARToken et EvilTokens : l'\u00e9cosyst\u00e8me PhaaS<\/strong><\/h2>\n\n\n\n<p>Derri\u00e8re cette campagne se cache le panel ARToken, commercialis\u00e9 sous la forme d\u2019un service de phishing (PhaaS). Comme l\u2019a signal\u00e9 Cisco Talos fin juin 2026, ARToken partage son infrastructure, ses contrats API et ses mod\u00e8les op\u00e9rationnels avec la plateforme EvilTokens et est consid\u00e9r\u00e9 comme son affili\u00e9 ou son client. Outre ARToken, il existe un autre kit PhaaS, Kali365, qui exploite la m\u00eame vuln\u00e9rabilit\u00e9 dans le flux d\u2019autorisation des appareils Microsoft. Ces kits r\u00e9duisent consid\u00e9rablement les obstacles \u00e0 l\u2019entr\u00e9e pour les attaquants, car ils fournissent une infrastructure professionnelle permettant de mener des attaques de phishing et de g\u00e9rer les comptes compromis.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Mesures de protection recommand\u00e9es<\/strong><\/h2>\n\n\n\n<p>Comme il s'agit d'une exploitation abusive d'une architecture de protocole, il n'existe pas de correctif logiciel classique. La protection n\u00e9cessite une combinaison de contr\u00f4les techniques et de mesures de sensibilisation.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Mesures d'urgence :<\/strong> Demandez \u00e0 vos collaborateurs de ne jamais saisir les codes d'appareil qu'ils ont re\u00e7us par e-mail non sollicit\u00e9. En cas de suspicion de compromission, les administrateurs doivent imm\u00e9diatement supprimer tous les jetons de mise \u00e0 jour de l'utilisateur concern\u00e9 \u00e0 l'aide de la fonction <strong>revokeSignInSessions<\/strong> r\u00e9voqu\u00e9 dans Microsoft Entra ID.<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Mesures \u00e0 court terme :<\/strong> Formez vos collaborateurs de mani\u00e8re cibl\u00e9e aux dangers du phishing par code d'appareil et \u00e0 la nouvelle variante \u00ab Ghost Code \u00bb. Surveillez les journaux Azure \u00e0 la recherche d'activit\u00e9s suspectes li\u00e9es aux jetons OAuth, d'authentifications par code d'appareil non autoris\u00e9es et d'enregistrements PRT inattendus. V\u00e9rifiez les r\u00e8gles de r\u00e9ception des e-mails et les autorisations OAuth existantes. Mettez en place une d\u00e9tection des anomalies bas\u00e9e sur le comportement, car les syst\u00e8mes bas\u00e9s sur les signatures ne d\u00e9tectent pas les pages de hame\u00e7onnage chiffr\u00e9es.<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Durcissement \u00e0 long terme :<\/strong> La protection la plus efficace consiste \u00e0 d\u00e9sactiver le flux d'authentification par code d'appareil via les strat\u00e9gies d'acc\u00e8s conditionnel dans Microsoft Entra ID. Cette fonctionnalit\u00e9 doit \u00eatre bloqu\u00e9e pour les utilisateurs standard et n'\u00eatre autoris\u00e9e que pour les comptes de service explicitement document\u00e9s et surveill\u00e9s (par exemple, pour les cas d'utilisation IoT). Mettez en place une authentification multifactorielle (MFA) r\u00e9sistante au phishing, telle que FIDO2 ou les cl\u00e9s d'acc\u00e8s, car les m\u00e9thodes MFA traditionnelles sont contourn\u00e9es par ce type d'attaque.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Pertinence pour les entreprises de la r\u00e9gion DACH<\/strong><\/h2>\n\n\n\n<p>Pour les entreprises situ\u00e9es en Allemagne, en Autriche et en Suisse, la r\u00e8gle suivante s'applique : si, \u00e0 la suite d'un piratage de compte r\u00e9ussi, des donn\u00e9es \u00e0 caract\u00e8re personnel sont consult\u00e9es ou compromises, l'article 33 du RGPD impose une obligation de notification aupr\u00e8s de l'autorit\u00e9 comp\u00e9tente en mati\u00e8re de protection des donn\u00e9es dans un d\u00e9lai de 72 heures \u00e0 compter de la prise de connaissance de l'incident. En tant que plateforme centrale de communication et de collaboration, Microsoft 365 rev\u00eat \u00e9galement une importance particuli\u00e8re dans le contexte de la directive NIS-2 : les op\u00e9rateurs d\u2019infrastructures essentielles et importantes sont tenus de d\u00e9montrer qu\u2019ils ont mis en place des mesures techniques appropri\u00e9es pour s\u00e9curiser les proc\u00e9dures d\u2019authentification et de signaler les incidents de s\u00e9curit\u00e9. Les organisations devraient v\u00e9rifier si leur configuration d\u2019authentification est conforme aux exigences de ces r\u00e9glementations.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Classification par LocateRisk<\/strong><\/h2>\n\n\n\n<p>L'attaque d\u00e9crite met en \u00e9vidence la n\u00e9cessit\u00e9 d'une visibilit\u00e9 compl\u00e8te sur sa propre infrastructure informatique et sur les risques qui y sont associ\u00e9s.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Gestion de la surface d'attaque externe (EASM) :<\/strong> Microsoft 365 est un service accessible depuis l'ext\u00e9rieur qui fait partie de la surface d'attaque d'une entreprise. Une plateforme EASM telle que LocateRisk recense en permanence tous les actifs externes, y compris les services Microsoft associ\u00e9s \u00e0 votre organisation. Cela apporte la transparence n\u00e9cessaire pour v\u00e9rifier les configurations et s'assurer que les m\u00e9thodes d'authentification, telles que le \u00ab Device Code Flow \u00bb, ne sont activ\u00e9es que l\u00e0 o\u00f9 elles sont n\u00e9cessaires d'un point de vue op\u00e9rationnel.<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Gestion des risques li\u00e9s aux fournisseurs (VRM) :<\/strong> Si un fournisseur ou un partenaire est compromis de cette mani\u00e8re, cela repr\u00e9sente un risque direct pour votre propre cha\u00eene d'approvisionnement. Les pirates pourraient utiliser le compte pirat\u00e9 pour lancer des attaques de type BEC (Business Email Compromise) contre votre entreprise. Une gestion continue des relations avec les fournisseurs (VRM) \u00e9value le niveau de s\u00e9curit\u00e9 des prestataires tiers critiques et permet d\u2019identifier et de traiter ces risques \u00e0 un stade pr\u00e9coce.<\/li>\n<\/ul>\n\n\n\n<p>LocateRisk propose une plateforme d\u00e9velopp\u00e9e et h\u00e9berg\u00e9e en Allemagne qui aide les entreprises \u00e0 se conformer aux exigences du RGPD et \u00e0 pr\u00e9server leur souverainet\u00e9 num\u00e9rique.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Sources et informations compl\u00e9mentaires<\/strong><\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Cisco Talos (analyse primaire) :<\/strong> <a href=\"https:\/\/blog.talosintelligence.com\/artoken-inside-an-eviltokens-affiliate-panel-targeting-microsoft-365\/\" target=\"_blank\" rel=\"noreferrer noopener\">ARToken : dans les coulisses d'un panel d'affiliation d'EvilTokens ciblant Microsoft 365<\/a><\/li>\n\n\n\n<li><strong>Cisco Talos (IOC) :<\/strong> <a href=\"https:\/\/github.com\/Cisco-Talos\/IOCs\/blob\/main\/2026\/07\/artoken-inside-an-eviltokens-affiliate-panel-targeting-microsoft-365.json\" target=\"_blank\" rel=\"noreferrer noopener\">Indicateurs de compromission sur GitHub<\/a><\/li>\n\n\n\n<li><strong>Blog Microsoft Security (Contexte) :<\/strong> <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/02\/13\/storm-2372-conducts-device-code-phishing-campaign\/\" target=\"_blank\" rel=\"noreferrer noopener\">Storm-2372 m\u00e8ne une campagne de hame\u00e7onnage visant les codes des appareils (f\u00e9vrier 2025)<\/a><\/li>\n\n\n\n<li><strong>Proofpoint (Contexte) :<\/strong> <a href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/device-code-phishing-evolution-identity-takeover\" target=\"_blank\" rel=\"noreferrer noopener\">L'\u00e9volution du phishing par code d'appareil : l'usurpation d'identit\u00e9<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Connaissez-vous votre surface d'attaque externe ?<\/strong><\/h2>\n\n\n\n<p>Une surveillance continue de vos syst\u00e8mes informatiques externes est la base d'une cyberd\u00e9fense proactive. LocateRisk identifie les services expos\u00e9s et les erreurs de configuration avant que les pirates ne puissent en tirer parti.<\/p>\n\n\n\n<p><a href=\"https:\/\/locaterisk.com\/fr\/demo\/\" target=\"_blank\" rel=\"noreferrer noopener\">Demander un contr\u00f4le de s\u00e9curit\u00e9 gratuit<\/a><\/p>\n\n\n\n<div class=\"wp-block-lr-faq-module\"><div class=\"content\"><h3><strong>Questions fr\u00e9quentes<\/strong><\/h3><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Qu'est-ce que le \u00ab phishing par code d'appareil \u00bb ?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">Le \u00ab phishing par code d'appareil \u00bb est une technique d'attaque qui consiste \u00e0 d\u00e9tourner une m\u00e9thode d'authentification l\u00e9gitime d'OAuth 2.0. Les attaquants incitent les utilisateurs \u00e0 saisir, sur leur propre appareil s\u00e9curis\u00e9, un code qui autorise l'appareil de l'attaquant. Cela permet \u00e0 l'attaquant d'obtenir des jetons d'acc\u00e8s OAuth pour le compte de la victime sans conna\u00eetre son mot de passe.<\/p><\/div><\/div><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Une authentification multifactorielle (MFA) classique offre-t-elle une protection contre cette attaque ?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">Non, les m\u00e9thodes d'authentification multifactorielle (MFA) traditionnelles, telles que les codes SMS ou les notifications d'application, n'offrent pas une protection efficace. \u00c9tant donn\u00e9 que l'utilisateur confirme lui-m\u00eame la connexion sur un appareil d\u00e9j\u00e0 authentifi\u00e9, la demande d'authentification multifactorielle aboutit. Seules les m\u00e9thodes r\u00e9sistantes au phishing, telles que les cl\u00e9s de s\u00e9curit\u00e9 FIDO2 ou les passkeys, offrent une protection fiable.<\/p><\/div><\/div><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Existe-t-il un correctif pour ce probl\u00e8me de s\u00e9curit\u00e9 ?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">Non, il n'existe pas de correctif logiciel pour rem\u00e9dier \u00e0 l'exploitation abusive du flux OAuth \u00ab Device Code \u00bb, car il s'agit d'une faille inh\u00e9rente \u00e0 la conception du protocole. La mesure de protection efficace consiste \u00e0 d\u00e9sactiver ou \u00e0 restreindre cette fonctionnalit\u00e9 de connexion au niveau administratif, via les politiques d'acc\u00e8s conditionnel (Conditional Access Policies) dans Microsoft Entra ID.<\/p><\/div><\/div><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Qu'est-ce que le \u00ab ghost code phishing \u00bb et pourquoi est-il plus difficile \u00e0 d\u00e9tecter ?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">Le \u00ab Ghost-Code-Phishing \u00bb utilise le chiffrement AES-GCM pour les pages de destination de phishing, qui ne sont d\u00e9chiffr\u00e9es qu\u2019une fois dans le navigateur de la victime. La cl\u00e9 est transmise sous forme de fragment d'URL et n'atteint jamais le serveur. De ce fait, les passerelles de messagerie et les bacs \u00e0 sable ne peuvent pas analyser le contenu malveillant, ce qui r\u00e9duit consid\u00e9rablement le taux de d\u00e9tection des solutions de s\u00e9curit\u00e9 traditionnelles.<\/p><\/div><\/div><\/div><\/div>\n\n\n\n<div class=\"wp-block-lr-contact-post-module\">\n\t<div id=\"lr-contact-form\" class=\"wp-block-lr-contact-post-module\">\n\t\t<div id=\"formular\" class=\"content\">\n\t\t\t<div class=\"inner-content\">\n\t\t\t\t<div class=\"column-2 feature-mode\">\n\t\t\t\t\t<h2><br>Demandez maintenant une D\u00e9mo en direct personelle<\/h2>\n\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\t\t\t<div>\n\t\t\t\t\t\t\t\t<p class=\"margin-b-36\">Identifiez et r\u00e9duisez vos cyber-risques gr\u00e2ce \u00e0 un aper\u00e7u comparable et compr\u00e9hensible de votre s\u00e9curit\u00e9 informatique. Demandez conseil \u00e0 nos experts et d\u00e9couvrez comment LocateRisk peut vous aider \u00e0 r\u00e9soudre vos cyber-risques.<\/p>\n\t\t\t\t\t\t\t<\/div>\t\n\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t<\/div> \n\t\t\t\t<div class=\"column-2\">\n\t\t\t\t\t<form action=\"\" class=\"form\" method=\"post\" role=\"form\" novalidate data-trp-original-action=\"\">\n\t\t\t\t\t\t<input type=\"text\" id=\"successmessage\" name=\"successmessage\" value=\"Ihre Registrierung war erfolgreich Ihre Anfrage wurde erfolgreich versendet. Wir haben Ihnen soeben eine Best\u00e4tigungsmail mit einem Aktivierungs-Link zugesendet, um einem Missbrauch Ihrer E-Mail Adresse durch Dritte vorzubeugen. Die Mail wird von sales@locaterisk.com versendet und sollte sich i n wenigen Minuten in Ihrem Posteingang finden.\" hidden>\n\t\t\t\t\t\t<input type=\"text\" id=\"errormessage\" name=\"errormessage\" value=\"Da ist wohl etwas schief gelaufen. Bitte probieren Sie es erneut oder nehmen Sie direkt mit uns Kontakt auf\" hidden>\n\t\t\t\t\t\t<input type=\"text\" id=\"slug\" name=\"slug\" value=\"microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\" hidden>\n\n\t\t\t\t\t\t\t\t\t\t\t\t\t<input\n\t\t\t\t\t\t\t\ttype=\"text\"\n\t\t\t\t\t\t\t\tid=\"name\"\n\t\t\t\t\t\t\t\tname=\"name\"\n\t\t\t\t\t\t\t\tplaceholder=\"Pr\u00e9nom\"\n\t\t\t\t\t\t\t\trequired\tmaxlength=\"50\"\/>\n\n\t\t\t\t\t\t\t<input\n\t\t\t\t\t\t\t\ttype=\"text\"\n\t\t\t\t\t\t\t\tid=\"surname\"\n\t\t\t\t\t\t\t\tname=\"surname\"\n\t\t\t\t\t\t\t\tplaceholder=\"Nom\"\n\t\t\t\t\t\t\t\trequired\n\t\t\t\t\t\t\t\tmaxlength=\"50\"\/>\n\t\t\t\t\t\t\n\t\t\t\t\t\t<input\n\t\t\t\t\t\t\ttype=\"email\"\n\t\t\t\t\t\t\tid=\"email\"\n\t\t\t\t\t\t\tname=\"email\"\n\t\t\t\t\t\t\tplaceholder=\"Courrier \u00e9lectronique\"\n\t\t\t\t\t\t\trequired\n\t\t\t\t\t\t\tmaxlength=\"50\"\/>\n\n\t\t\t\t\t\t<input\n\t\t\t\t\t\t\ttype=\"text\"\n\t\t\t\t\t\t\tid=\"phone\"\n\t\t\t\t\t\t\tname=\"phone\"\n\t\t\t\t\t\t\tplaceholder=\"T\u00e9l\u00e9phone\"\n\t\t\t\t\t\t\trequired\n\t\t\t\t\t\t\tmaxlength=\"50\"\/>\n\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t<h6 class=\"error-message\" hidden>...<\/h6>\n\t\t\t\t\t\t<div class=\"checkbox_container\">\n\t\t\t\t\t\t\t<div class=\"checkbox\">\n\t\t\t\t\t\t\t\t<input\n\t\t\t\t\t\t\t\t\ttype=\"checkbox\"\n\t\t\t\t\t\t\t\t\tid=\"checkbox\"\n\t\t\t\t\t\t\t\t\tname=\"checkbox\" \/>\n\n\t\t\t\t\t\t\t\t<label for=\"checkbox\"><\/label>\n\t\t\t\t\t\t\t<\/div>\n\t\t\t\t\t\t\t<p class=\"translation-block\">Je suis d'accord avec la politique de confidentialit\u00e9<\/p> \n\t\t\t\t\t\t<\/div>\n\t\t\t\t\t\t\n\t\t\t\t\t<div class=\"g-recaptcha\" data-sitekey=\"6LdErNoZAAAAAD1Re2jNxtDFfcDaL9iED5MRBzjR\" data-callback=\"verifyRecaptchaCallback\" data-expired-callback=\"expiredRecaptchaCallback\"><\/div>\n\t\t\t\t\t<input type=\"hidden\" name=\"g-recaptcha-response\" data-recaptcha \/>\n\n\t\t\t\t\t\t<button class=\"lr-button-link\" type=\"submit\"> Demander une d\u00e9mo<\/button>\n\t\t\t\t\t<input type=\"hidden\" name=\"trp-form-language\" value=\"fr\"\/><\/form>\n\t\t\t\t<\/div>\n\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\t\n\t<\/div>\n\n\n\n<hr class=\"wp-block-separator has-css-opacity is-style-wide\"\/>\n\n\n\n<div class=\"wp-block-lr-contact-module\"><div class=\"content\"><h2>En savoir plus, r\u00e9server une d\u00e9mo ou simplement \u00e9changer quelques mots ? Nous nous en r\u00e9jouissons !<\/h2><div class=\"contact-info-row\"><div class=\"contact-person-info\"><div class=\"avatar\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2025\/06\/Lukas_Baumann_LocateRisk-300.png\"><\/div><p><span class=\"text before\">Votre Contact<\/span><span class=\"bold name\"><strong>Lukas<\/strong><\/span> <span class=\"lastname\"><strong>Baumann<strong><\/strong><\/strong><\/span><strong><strong><span class=\"separator\"><\/span><span class=\"role\">PDG<\/span><\/strong><\/strong><\/p><\/div><p class=\"bold phone\"><strong><strong>+49 6151 6290246<\/strong><\/strong><\/p><strong><strong><a class=\"pr-1\" href=\"mailto: sales@locaterisk.com\">Contactez-nous maintenant<\/a><\/strong><\/strong><\/div><\/div><\/div>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<div class=\"wp-block-lr-footer-module lr-footer-block\"><div class=\"content\"><div class=\"column0\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/assets\/img\/lr-logo.svg\"\/><\/div><div class=\"categories\"><div class=\"categories-element\"><a class=\"pr-4\" href=\"https:\/\/locaterisk.com\/fr\/\">Accueil<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/fr\/blog\/\">Blog<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/fr\/about\/\">par rapport \u00e0 nous<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/fr\/kontakt\/\">Contact<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/fr\/impressum\/\">mentiones l\u00e9gales<\/a><\/div><div class=\"categories-break\"><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/fr\/datenschutz\/\">Confidentialit\u00e9<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/files\/agb.pdf\">CONDITIONS G\u00c9N\u00c9RALES DE VENTE<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/fr\/jobs\/\">Carri\u00e8re<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"https:\/\/app.secfix.com\/trust\/locaterisk\/d1e7d433b33643aea1880bfbfeab9f60\">Centre de confiance<\/a><\/div><\/div><div class=\"social\"><div class=\"social-element\"><a target=\"_blank\" href=\"https:\/\/www.linkedin.com\/company\/locaterisk\/\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/10\/gruppe-230@3x.png\"\/><\/a><\/div><div class=\"social-element\"><a target=\"_blank\" href=\"https:\/\/www.instagram.com\/locaterisk\/\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/Instagram.png\"\/><\/a><\/div><div class=\"social-element\"><a target=\"_blank\" href=\"https:\/\/twitter.com\/locaterisk\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/twitter.png\"\/><\/a><\/div><\/div><div class=\"description\"><h6>\u00a9 LocateRisk 2026<\/h6><\/div><\/div><\/div>","protected":false},"excerpt":{"rendered":"<p>Des campagnes de phishing exploitent le flux OAuth \u00ab Device Code \u00bb de Microsoft 365 pour prendre le contr\u00f4le des comptes. Le kit ARToken et une variante de phishing \u00ab Ghost \u00bb contournent l'authentification multifactorielle (MFA) standard. Analyse et mesures de protection.<\/p>","protected":false},"author":13,"featured_media":9141,"comment_status":"closed","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-9154","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v28.0 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>Microsoft 365 Device-Code-Phishing umgeht MFA | LocateRisk Analyse<\/title>\n<meta name=\"description\" content=\"Phishing-Kampagnen missbrauchen den OAuth Device-Code-Flow von Microsoft 365 zur Konto\u00fcbernahme. ARToken-Kit und Ghost-Phishing-Variante umgehen Standard-MFA. Analyse und Schutzma\u00dfnahmen.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/locaterisk.com\/fr\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Microsoft 365 Device-Code-Phishing umgeht MFA | LocateRisk Analyse\" \/>\n<meta property=\"og:description\" content=\"Phishing-Kampagnen missbrauchen den OAuth Device-Code-Flow von Microsoft 365 zur Konto\u00fcbernahme. ARToken-Kit und Ghost-Phishing-Variante umgehen Standard-MFA. Analyse und Schutzma\u00dfnahmen.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/locaterisk.com\/fr\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/\" \/>\n<meta property=\"og:site_name\" content=\"LocateRisk\" \/>\n<meta property=\"article:published_time\" content=\"2026-07-08T14:45:06+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-07-08T15:28:51+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-14345-featured.png\" \/>\n\t<meta property=\"og:image:width\" content=\"400\" \/>\n\t<meta property=\"og:image:height\" content=\"400\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Kristina Hoinkis\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"\u00c9crit par\" \/>\n\t<meta name=\"twitter:data1\" content=\"Kristina Hoinkis\" \/>\n\t<meta name=\"twitter:label2\" content=\"Dur\u00e9e de lecture estim\u00e9e\" \/>\n\t<meta name=\"twitter:data2\" content=\"7 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\\\/\"},\"author\":{\"name\":\"Kristina Hoinkis\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/person\\\/68f3857c15afa8ff59c545848dddcc32\"},\"headline\":\"Microsoft 365: Phishing-Kampagne umgeht MFA durch OAuth-Protokoll-Missbrauch\",\"datePublished\":\"2026-07-08T14:45:06+00:00\",\"dateModified\":\"2026-07-08T15:28:51+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\\\/\"},\"wordCount\":1484,\"publisher\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/07\\\/initial-access-vector.png\",\"articleSection\":[\"Uncategorized\"],\"inLanguage\":\"fr-FR\"},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\\\/\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\\\/\",\"name\":\"Microsoft 365 Device-Code-Phishing umgeht MFA | LocateRisk Analyse\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/07\\\/initial-access-vector.png\",\"datePublished\":\"2026-07-08T14:45:06+00:00\",\"dateModified\":\"2026-07-08T15:28:51+00:00\",\"description\":\"Phishing-Kampagnen missbrauchen den OAuth Device-Code-Flow von Microsoft 365 zur Konto\u00fcbernahme. ARToken-Kit und Ghost-Phishing-Variante umgehen Standard-MFA. Analyse und Schutzma\u00dfnahmen.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\\\/#breadcrumb\"},\"inLanguage\":\"fr-FR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/locaterisk.com\\\/de\\\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\\\/#primaryimage\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/07\\\/initial-access-vector.png\",\"contentUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/07\\\/initial-access-vector.png\",\"width\":400,\"height\":400,\"caption\":\"initial-access-vector\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\\\/\\\/locaterisk.com\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Microsoft 365: Phishing-Kampagne umgeht MFA durch OAuth-Protokoll-Missbrauch\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#website\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/\",\"name\":\"LocateRisk\",\"description\":\"IT-Sicherheit messen und vergleichen\",\"publisher\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"fr-FR\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#organization\",\"name\":\"LocateRisk\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2020\\\/11\\\/Kettenglieder_V0216-9.jpg\",\"contentUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2020\\\/11\\\/Kettenglieder_V0216-9.jpg\",\"width\":1920,\"height\":1080,\"caption\":\"LocateRisk\"},\"image\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.linkedin.com\\\/company\\\/locaterisk\\\/\"]},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/person\\\/68f3857c15afa8ff59c545848dddcc32\",\"name\":\"Kristina Hoinkis\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g\",\"url\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g\",\"contentUrl\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g\",\"caption\":\"Kristina Hoinkis\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Microsoft 365 Device-Code-Phishing umgeht MFA | LocateRisk Analyse","description":"Des campagnes de phishing exploitent le flux OAuth \u00ab Device Code \u00bb de Microsoft 365 pour prendre le contr\u00f4le des comptes. Le kit ARToken et une variante de phishing \u00ab Ghost \u00bb contournent l'authentification multifactorielle (MFA) standard. Analyse et mesures de protection.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/locaterisk.com\/fr\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/","og_locale":"fr_FR","og_type":"article","og_title":"Microsoft 365 Device-Code-Phishing umgeht MFA | LocateRisk Analyse","og_description":"Phishing-Kampagnen missbrauchen den OAuth Device-Code-Flow von Microsoft 365 zur Konto\u00fcbernahme. ARToken-Kit und Ghost-Phishing-Variante umgehen Standard-MFA. Analyse und Schutzma\u00dfnahmen.","og_url":"https:\/\/locaterisk.com\/fr\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/","og_site_name":"LocateRisk","article_published_time":"2026-07-08T14:45:06+00:00","article_modified_time":"2026-07-08T15:28:51+00:00","og_image":[{"width":400,"height":400,"url":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/cve-2026-14345-featured.png","type":"image\/png"}],"author":"Kristina Hoinkis","twitter_card":"summary_large_image","twitter_misc":{"\u00c9crit par":"Kristina Hoinkis","Dur\u00e9e de lecture estim\u00e9e":"7 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/#article","isPartOf":{"@id":"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/"},"author":{"name":"Kristina Hoinkis","@id":"https:\/\/locaterisk.com\/de\/#\/schema\/person\/68f3857c15afa8ff59c545848dddcc32"},"headline":"Microsoft 365: Phishing-Kampagne umgeht MFA durch OAuth-Protokoll-Missbrauch","datePublished":"2026-07-08T14:45:06+00:00","dateModified":"2026-07-08T15:28:51+00:00","mainEntityOfPage":{"@id":"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/"},"wordCount":1484,"publisher":{"@id":"https:\/\/locaterisk.com\/de\/#organization"},"image":{"@id":"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/#primaryimage"},"thumbnailUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/initial-access-vector.png","articleSection":["Uncategorized"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/","url":"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/","name":"Microsoft 365 Device-Code-Phishing umgeht MFA | LocateRisk Analyse","isPartOf":{"@id":"https:\/\/locaterisk.com\/de\/#website"},"primaryImageOfPage":{"@id":"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/#primaryimage"},"image":{"@id":"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/#primaryimage"},"thumbnailUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/initial-access-vector.png","datePublished":"2026-07-08T14:45:06+00:00","dateModified":"2026-07-08T15:28:51+00:00","description":"Des campagnes de phishing exploitent le flux OAuth \u00ab Device Code \u00bb de Microsoft 365 pour prendre le contr\u00f4le des comptes. Le kit ARToken et une variante de phishing \u00ab Ghost \u00bb contournent l'authentification multifactorielle (MFA) standard. Analyse et mesures de protection.","breadcrumb":{"@id":"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/#primaryimage","url":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/initial-access-vector.png","contentUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/initial-access-vector.png","width":400,"height":400,"caption":"initial-access-vector"},{"@type":"BreadcrumbList","@id":"https:\/\/locaterisk.com\/de\/microsoft-365-phishing-kampagne-umgeht-mfa-durch-oauth-protokoll-missbrauch\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/locaterisk.com\/"},{"@type":"ListItem","position":2,"name":"Microsoft 365: Phishing-Kampagne umgeht MFA durch OAuth-Protokoll-Missbrauch"}]},{"@type":"WebSite","@id":"https:\/\/locaterisk.com\/de\/#website","url":"https:\/\/locaterisk.com\/de\/","name":"LocateRisk","description":"Mesurer et comparer la s\u00e9curit\u00e9 informatique","publisher":{"@id":"https:\/\/locaterisk.com\/de\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/locaterisk.com\/de\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Organization","@id":"https:\/\/locaterisk.com\/de\/#organization","name":"LocateRisk","url":"https:\/\/locaterisk.com\/de\/","logo":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/locaterisk.com\/de\/#\/schema\/logo\/image\/","url":"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/Kettenglieder_V0216-9.jpg","contentUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/Kettenglieder_V0216-9.jpg","width":1920,"height":1080,"caption":"LocateRisk"},"image":{"@id":"https:\/\/locaterisk.com\/de\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.linkedin.com\/company\/locaterisk\/"]},{"@type":"Person","@id":"https:\/\/locaterisk.com\/de\/#\/schema\/person\/68f3857c15afa8ff59c545848dddcc32","name":"Kristina Hoinkis","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/secure.gravatar.com\/avatar\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g","caption":"Kristina Hoinkis"}}]}},"_links":{"self":[{"href":"https:\/\/locaterisk.com\/fr\/wp-json\/wp\/v2\/posts\/9154","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/locaterisk.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/locaterisk.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/locaterisk.com\/fr\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/locaterisk.com\/fr\/wp-json\/wp\/v2\/comments?post=9154"}],"version-history":[{"count":1,"href":"https:\/\/locaterisk.com\/fr\/wp-json\/wp\/v2\/posts\/9154\/revisions"}],"predecessor-version":[{"id":9155,"href":"https:\/\/locaterisk.com\/fr\/wp-json\/wp\/v2\/posts\/9154\/revisions\/9155"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/locaterisk.com\/fr\/wp-json\/wp\/v2\/media\/9141"}],"wp:attachment":[{"href":"https:\/\/locaterisk.com\/fr\/wp-json\/wp\/v2\/media?parent=9154"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/locaterisk.com\/fr\/wp-json\/wp\/v2\/categories?post=9154"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/locaterisk.com\/fr\/wp-json\/wp\/v2\/tags?post=9154"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}