Une évolution préoccupante de l’hameçonnage est apparue, qui ne cible plus directement les mots de passe, mais détourne désormais les mécanismes d’authentification de confiance de Microsoft 365. En exploitant le flux d’autorisation par code d’appareil OAuth, des groupes cybercriminels et des acteurs étatiques obtiennent un accès complet aux comptes professionnels. Cette méthode crédibilisée par l’utilisation d’éléments Microsoft authentiques constitue une menace discrète, industrielle et difficile à détecter.
L’ingénierie sociale a toujours constitué la porte d’entrée la plus efficace pour contourner les défenses techniques. Elle évolue aujourd’hui vers une exploitation beaucoup plus subtile des processus de sécurité eux-mêmes. Proofpoint documente une progression rapide des compromissions Microsoft 365 obtenues via l’abus du flux OAuth par code d’appareil, un mécanisme officialisé par Microsoft pour simplifier certaines authentifications. Les attaquants guident leurs victimes vers une page de connexion authentique de Microsoft, issue d’un processus normal d’authentification, mais utilisée de manière détournée. Cette tromperie supprime presque toute suspicion et déplace le risque vers la décision humaine.
Cette étude s’appuie sur les analyses menées par les équipes de Threat Research de Proofpoint, qui observent une accélération de l’usage de cette technique au cours de l’année. Plusieurs groupes sont identifiés, dont TA2723 à vocation financière et UNK_AcademicFlare souvent rapproché d’intérêts russes. Leur point commun tient à l’industrialisation, appuyée par des kits comme SquarePhish2 et Graphish, qui automatisent la génération des campagnes, la distribution des codes et le suivi des compromissions obtenues. La barrière technique baisse, la capacité d’échelle augmente et l’accès techniquement validé mais obtenu par tromperie devient un service quasiment prêt à l’emploi.
De flux d’authentification légitime à vecteur d’intrusion
Le cœur de la menace ne repose pas sur une vulnérabilité logicielle, mais sur la confiance accordée aux processus OAuth. Le code d’appareil constitue à l’origine une méthode pratique pour authentifier des terminaux dépourvus de clavier ou d’interface classique. Les attaquants l’exploitent en envoyant à l’utilisateur un courriel ou un QR Code le conduisant vers une page Microsoft parfaitement authentique, où il saisit de bonne foi un code fourni. Cette action valide l’accès de l’attaquant sans qu’aucun mot de passe ne soit explicitement demandé. L’illusion de sécurité est totale puisque l’utilisateur interagit avec une page officielle, dans un environnement familier, et souvent persuadé de renforcer la protection de son compte.
Proofpoint souligne que cette crédibilité constitue la force principale de cette approche. Les victimes pensent exécuter une vérification de sécurité ou un contrôle MFA supplémentaire alors qu’elles confèrent en réalité une autorisation complète à une session contrôlée par l’attaquant. Une fois validé, l’accès s’appuie sur les jetons OAuth pour rester actif et contourner certains contrôles ultérieurs. La conséquence directe est l’ouverture pleine et entière d’un compte Microsoft 365, avec toutes les données, les capacités collaboratives et parfois les droits d’administration associés.
Des campagnes structurées et désormais massifiées
Les acteurs observés par Proofpoint ne mènent pas des actions opportunistes isolées. Les campagnes suivent une logique industrielle avec des infrastructures préparées, des kits d’automatisation et des scénarios d’ingénierie sociale éprouvés. Les outils SquarePhish2 et Graphish jouent ici un rôle déterminant. Ils orchestrent la distribution des courriels, la génération dynamique des codes, la gestion des liens et l’exploitation des sessions ouvertes. Cette professionnalisation du hameçonnage par code d’appareil réduit fortement le coût d’entrée pour des groupes moins sophistiqués tout en augmentant la capacité d’attaques simultanées.
Cette massification modifie l’équation défensive. Là où les entreprises, les administrations et les fournisseurs de services avaient construit des politiques de protection centrées sur la détection des URL piégées, des faux formulaires et des tentatives d’usurpation, ils se trouvent désormais confrontés à un scénario où tout paraît légitime. Les infrastructures Microsoft ne sont pas falsifiées, les pages ne sont pas contrefaites et la validation émane directement de l’utilisateur. Le hameçonnage se déplace vers une dimension comportementale plus difficile à contrer uniquement par des filtres techniques.
Un accès Microsoft 365 complet et persistant
Une compromission réussie ouvre à l’attaquant un périmètre fonctionnel très large. L’accès aux courriels constitue souvent la première étape, permettant de cartographier l’environnement, d’identifier les échanges sensibles, d’intercepter des conversations financières et de préparer des fraudes internes. Les accès collaboratifs à OneDrive, SharePoint et Teams facilitent ensuite le repérage des données critiques et la préparation de mouvements latéraux. Dans certains cas, l’accès peut déboucher sur une compromission durable, grâce à l’intégration d’applications OAuth malveillantes ou à la création de règles invisibles dans la messagerie.
Les impacts métiers deviennent immédiatement tangibles. Des données confidentielles peuvent être exfiltrées sans alerte apparente. Des chaînes internes de validation financière peuvent être manipulées. Des comptes techniques peuvent être approchés pour élargir la compromission. Proofpoint évoque explicitement le risque de compromission persistante et de contrôle étendu, ce qui place cette méthode bien au-delà d’un simple vol de mot de passe. Il s’agit d’une prise de possession légitime d’identité numérique avec des conséquences opérationnelles directes.
Une menace qui interroge la gouvernance MFA et la pédagogie
Les chercheurs de Proofpoint estiment que l’abus des flux OAuth continuera de progresser avec la généralisation des MFA modernes conformes aux standards FIDO. Cette projection soulève une question stratégique pour les responsables sécurité. Les organisations misent depuis des années sur le MFA comme rempart décisif contre les compromissions. Or cette nouvelle mécanique contourne la logique habituelle en utilisant précisément cette chaîne de confiance. Le problème ne réside plus uniquement dans la robustesse technique du MFA, mais dans la manière dont les utilisateurs perçoivent et valident les étapes d’authentification.
Cette évolution rappelle une vérité que la cybersécurité tente parfois d’oublier. Une technologie ne protège que si les comportements restent alignés avec la finalité sécuritaire. Chaque nouvelle couche introduit aussi de nouveaux points aveugles. Lorsque l’utilisateur se retrouve face à une page Microsoft authentique et à une procédure apparemment conforme, l’arbitrage cognitif bascule naturellement vers l’acceptation. La gouvernance MFA doit donc évoluer vers des contrôles supplémentaires, des politiques d’approbation applicatives plus strictes et une vigilance accrue sur les autorisations OAuth accordées.
Une révision inévitable des priorités de défense
Les entreprises, les administrations et les fournisseurs de services se trouvent désormais confrontés à une menace qui exploite directement leur référentiel de confiance numérique. La réponse ne peut pas uniquement passer par une nouvelle couche de filtrage. Elle impose une révision des politiques d’autorisation, une surveillance renforcée des applications OAuth, un audit régulier des jetons actifs et une sensibilisation précise des utilisateurs aux codes d’appareil et aux QR Codes d’authentification. La prévention repose autant sur la clarté des consignes que sur les contrôles techniques.
À court terme, ce type d’attaque oblige les directions informatiques à réévaluer leurs priorités. La protection des identités devient une fonction critique, au même titre que la protection des données et des infrastructures. Les solutions capables d’analyser les comportements d’authentification, d’identifier les déviations d’usage et de bloquer automatiquement les autorisations suspectes prennent une importance nouvelle. La menace décrite par Proofpoint rappelle enfin que la confiance ne doit jamais être implicite. Une architecture Zero Trust réellement opérante suppose que même les processus de sécurité eux-mêmes puissent être remis en question.
