Les attaquants ne se contentent plus de dérober des identifiants. Ils exploitent désormais des applications OAuth internes pour maintenir un accès discret et persistant aux environnements cloud. Ces applications conservent leurs privilèges même après une réinitialisation de mot de passe ou l’activation de l’authentification multifactorielle.
Dans les environnements cloud, la vulnérabilité ne se limite plus à l’usurpation d’identifiants. Elle réside désormais dans la capacité des attaquants à détourner des fonctions légitimes du système d’identité. Une analyse récente de Proofpoint alerte sur un scénario d’intrusion peu détecté, mais particulièrement résilient. Il repose sur l’enregistrement d’applications OAuth internes dans le répertoire d’une organisation, suivie de l’attribution d’autorisations étendues qui permettent de maintenir un accès prolongé aux ressources. Cette technique détourne des mécanismes natifs du cloud, échappant ainsi aux mesures de remédiation traditionnelles centrées sur les comptes utilisateurs. En somme, une application OAuth interne devient une porte d’entrée durable dans le système
L’attaque débute par une compromission classique d’un compte utilisateur. Une fois ce compte exploité, l’attaquant enregistre une application dans le tenant, avec un statut interne. Il configure cette application pour accéder aux courriels, aux fichiers ou au calendrier. Des autorisations comme Mail.Read ou offline_access lui permettent de consulter les messages sans nécessiter de réauthentification. L’étape critique intervient lorsqu’un secret client ou un certificat est généré. Grâce à ce secret, l’attaquant obtient un jeton d’accès OAuth, qu’il peut rafraîchir indéfiniment tant que l’application n’est pas supprimée ou que le secret n’est pas révoqué.
Une menace difficile à détecter dans l’ombre des environnements de confiance
Ce mécanisme rend l’accès totalement indépendant du mot de passe utilisateur. Même en cas de réinitialisation ou d’activation de protections supplémentaires, l’application conserve ses privilèges. Elle fonctionne comme une interface autorisée et invisible, exploitée à distance par l’attaquant. C’est précisément ce détournement de fonctions légitimes, combiné à l’absence de supervision, qui rend ce vecteur si problématique pour les entreprises.
La nature interne de l’application lui confère une légitimité apparente. En étant hébergée dans le tenant de l’organisation, elle échappe aux filtres de sécurité habituellement configurés pour surveiller les connexions externes. Sans une politique de gouvernance spécifique, aucune alerte n’est déclenchée. Proofpoint signale que certains groupes d’attaquants ont déjà automatisé cette approche et seraient en mesure de la proposer comme service sur les places de marché cybercriminelles. Des jetons OAuth associés à des environnements professionnels ont déjà circulé sur des forums clandestins.
Le risque provient aussi de l’absence de processus de validation ou d’inventaire. De nombreuses entreprises autorisent l’auto-enregistrement d’applications par défaut, sans revue manuelle. Les journaux d’activité ne remontent pas toujours l’ensemble des connexions API générées par ces applications. Ainsi, une porte dérobée peut rester active plusieurs mois sans être détectée, surtout si son usage reste discret et étalé dans le temps.
Une faille de gouvernance plus qu’un problème purement technique
Les environnements cloud modernes, qu’il s’agisse de Microsoft Entra ID, de Google Workspace ou d’AWS IAM, autorisent la création d’applications OAuth par les utilisateurs disposant de certains droits. Ces applications ne sont pas soumises à approbation, à moins qu’une politique explicite n’ait été mise en place. Ce fonctionnement découle d’un modèle conçu pour faciliter l’interconnexion entre services, mais il ouvre la voie à des abus si la gouvernance ne suit pas.
Le standard OAuth repose sur la délégation d’accès sans transmission d’identifiants. Cette architecture, utile en usage normal, devient problématique en cas de détournement. Une fois le jeton d’accès obtenu, l’attaquant peut l’utiliser indéfiniment sans interaction avec l’utilisateur. Cela rend l’intrusion particulièrement discrète, sans traces visibles dans les journaux d’activité classiques.
Un impératif de surveillance continue et de gouvernance renforcée
Les entreprises doivent adapter leurs pratiques pour intégrer cette nouvelle catégorie de menace. Cela passe par un inventaire automatisé des applications OAuth actives, la vérification régulière des autorisations accordées, et la mise en place de processus de révocation automatique des secrets obsolètes. Certains fournisseurs comme Microsoft intègrent désormais des modules de gouvernance des applications. D’autres éditeurs spécialisés proposent des solutions capables d’identifier les comportements anormaux au sein des flux OAuth.
Cette vigilance ne relève plus uniquement du RSSI. Elle concerne aussi les équipes IAM, les responsables cloud et les architectes de sécurité. Il devient crucial d’adopter une posture de confiance conditionnelle appliquée non seulement aux utilisateurs, mais aussi aux applications. Chaque enregistrement, chaque connexion, chaque jeton doit être évalué dans son contexte, selon les principes du moindre privilège et de la surveillance permanente. Ce changement de paradigme s’impose pour contrer une menace invisible mais parfaitement réaliste.
Un enjeu structurant pour la sécurité cloud de demain
En intégrant la surveillance des applications internes à leur stratégie de sécurité, les entreprises peuvent réduire considérablement leur surface d’exposition. Elles gagnent également en réactivité face à une compromission. Cette approche permet de détecter plus tôt les comportements suspects, d’interrompre les accès persistants et de sécuriser les interconnexions inter-applicatives. À moyen terme, cette gouvernance renforcée pourra s’appuyer sur des agents d’IA de sécurité, capables d’évaluer en temps réel la cohérence des accès OAuth dans l’environnement global.
Ce scénario d’attaque illustre une évolution profonde de la menace, qui ne repose plus sur une faille logicielle mais sur un usage abusif d’une fonction prévue par l’éditeur. Ce détournement silencieux exige des entreprises qu’elles élargissent leur périmètre de vigilance. À horizon 2026, la gouvernance des applications internes et des accès OAuth apparaîtra comme une brique fondamentale de toute stratégie de cybersécurité orientée cloud. C’est aussi une condition pour garantir la conformité aux réglementations émergentes et restaurer un véritable contrôle sur les flux de données en environnement hybride.
