Depuis plusieurs mois, une méthode de cyberattaque encore plus insidieuse vise les comptes Microsoft 365. Des pirates informatiques parviennent à accéder directement aux données sensibles des utilisateurs sans avoir besoin de leurs mots de passe, ni même de contourner la double authentification. Comment cette tactique sophistiquée parvient-elle à échapper aux mesures de sécurité établies ?
Résumé en 3 points
- Des campagnes de phishing exploitent le flux OAuth pour accéder aux comptes Microsoft 365.
- Les utilisateurs sont trompés par des e-mails crédibles, facilitant l’accès non autorisé.
- Les organisations doivent renforcer la gestion des accès OAuth pour se protéger.
Une nouvelle menace pour les comptes Microsoft 365
Depuis l’automne, des campagnes de phishing à grande échelle exploitent le flux d’authentification OAuth, une méthode normalement utilisée pour autoriser des applications tierces à accéder à des comptes Microsoft. Les cybercriminels envoient des e-mails convaincants, imitant souvent des communications légitimes, pour inciter les utilisateurs à saisir un code sur l’interface de validation de Microsoft, donnant ainsi l’accès à leurs comptes sans nécessiter de mot de passe.
Les e-mails frauduleux prennent la forme de notifications sur des documents partagés, des primes salariales ou des vérifications de compte. Parfois, ces messages semblent provenir de correspondances existantes, ce qui augmente leur crédibilité et diminue les soupçons.
Les techniques utilisées par les cybercriminels
Les attaquants redirigent les victimes vers des pages web ressemblant à celles de leur organisation, où un code est présenté comme une étape de validation. Ce code, une fois entré dans l’interface Microsoft, accorde un accès à l’application malveillante, sans que l’utilisateur ne se doute de la supercherie.
Cette méthode ne repose ni sur une faille technique ni sur le vol traditionnel de données. Elle exploite plutôt la confiance accordée aux interfaces habituelles et détourne une fonctionnalité existante pour des intentions malveillantes.
Mesures de protection pour les organisations
Face à cette menace, les entreprises doivent intensifier leurs efforts pour gérer les accès OAuth. Il est impératif de limiter les applications capables d’accéder aux comptes et de surveiller les consentements accordés. Les flux d’autorisation ne doivent être utilisés que lorsque cela est nécessaire, et des audits réguliers des applications autorisées sont recommandés.
Microsoft Entra propose des politiques d’accès conditionnel qui peuvent être mises en place pour sécuriser davantage les environnements, en tenant compte des profils d’utilisateurs, des appareils utilisés et de l’origine des connexions.
Conseils pour les utilisateurs
Pour se protéger, les utilisateurs doivent éviter de saisir des codes de validation dans l’interface de Microsoft s’ils n’ont pas eux-mêmes initié l’autorisation d’une application ou d’un service. La prudence est de mise, surtout face à des demandes concernant des documents, des primes ou des vérifications de compte, même si elles semblent provenir de sources légitimes.
À propos de Microsoft 365 et des menaces actuelles
Microsoft 365 est une suite d’outils de productivité largement utilisée par les entreprises et les institutions à travers le monde. Avec des millions d’utilisateurs, elle représente une cible de choix pour les cybercriminels, qui cherchent continuellement à innover pour contourner les mesures de sécurité. La sécurité de Microsoft 365 repose traditionnellement sur des mots de passe forts et une authentification multifactorielle (MFA). Toutefois, les attaques récentes montrent que ces mesures doivent être complétées par une vigilance accrue et des stratégies de gestion des accès plus robustes.