Dès les premiers mois de 2025, les chercheurs de ProofPoint avaient identifié une série d’activités orchestrées par des cybercriminels exploitant le protocole OAuth de Microsoft : ils créaient de fausses applications Microsoft 365, habilement déguisées en services légitimes tels que RingCentral, SharePoint, Adobe ou DocuSign. Ces applications frauduleuses étaient présentées aux cibles via des courriels envoyés depuis des comptes compromis, souvent sous le prétexte d’une demande de devis ou d’un accord commercial.
Un cas particulièrement ciblé concernait ILSMart, un service dédié à l’industrie aérospatiale. L’application « iLSMART » simulait des demandes légitimes d’accès au profil de l’utilisateur et à ses données. Qu’il clique sur « Accepter » ou sur « Annuler », la victime était redirigée vers un écran Captcha, puis vers une page de connexion Microsoft falsifiée, où ses identifiants ainsi que les jetons MFA étaient interceptés via une attaque de type « attaquant au milieu » (AiTM) utilisant les kits Tycoon ou ODx.
Analyse technique approfondie
Le modus operandi reposait sur une imitation quasi parfaite des écrans OAuth légitimes, y compris le logo et l’ensemble des éléments visuels et graphiques qui inspirent spontanément la crédibilité à l’utilisateur, rendant la fausse page d’acceptation indiscernable pour un utilisateur non averti. Ce type d’attaque s’inscrit dans une tendance plus large où les assaillants déplacent la compromission du poste de travail vers les couches d’autorisation cloud, en exploitant les failles humaines et les mécanismes d’intégration d’applications.L’astuce technique consistait à exploiter les capacités de relais de session des kits AiTM. Concrètement, ces outils interceptent le trafic entre l’utilisateur et le service légitime, en agissant comme un intermédiaire invisible. Pendant que l’utilisateur saisit ses identifiants et valide son MFA, le kit transmet en parallèle ces informations au service légitime, tout en capturant les jetons d’authentification générés. Ces jetons permettaient ensuite à l’attaquant de se connecter directement au compte visé, sans avoir à repasser par la procédure MFA.
Au moins cinquante applications OAuth usurpées ont été observées dans cette campagne, les messages frauduleux ayant été diffusés par milliers et visant des centaines d’entreprises. Selon certaines estimations, près de 3 000 comptes ont été compromis à travers plus de 900 environnements Microsoft 365. Les jetons OAuth, une fois accordés, demeuraient valides indépendamment d’un changement de mot de passe, ouvrant aux attaquants un accès persistant jusqu’à sa révocation.
Face à cette menace, Microsoft a annoncé en juin 2025 une mise à jour des paramètres par défaut de Microsoft 365 : la désactivation des anciens protocoles d’authentification et l’exigence d’un consentement administrateur pour les accès aux applications tierces, ces mesures ont été déployées entre mi-juillet et août 2025.
Ce type d’attaque n’est pas limité aux environnements Microsoft 365. Des campagnes similaires ont visé, ces dernières années, les écosystèmes Google Workspace, Slack et Salesforce, avec des applications tierces usurpant l’identité d’outils RH ou de gestion de projets. En 2024, un acteur malveillant avait ainsi exploité de faux connecteurs Trello et Asana pour obtenir des accès permanents aux calendriers et aux documents internes d’entreprises du secteur de l’ingénierie et de la logistique.
Dans la santé, des hôpitaux américains ont été ciblés par de fausses intégrations OAuth se faisant passer pour des portails de laboratoire ou des plateformes de gestion des rendez-vous. Là encore, le scénario reposait sur la confiance accordée à un fournisseur supposé connu, avec pour conséquence l’exfiltration massive de données médicales protégées.
Pour les entreprises, les impacts dépassent la simple compromission de comptes : les attaquants peuvent utiliser les accès OAuth pour parcourir, copier ou supprimer des documents stratégiques, injecter du contenu frauduleux dans des workflows internes, ou préparer des attaques ultérieures sur la chaîne d’approvisionnement numérique. Le coût moyen d’un incident de compromission de compte cloud a été estimé à 4,91 millions de dollars en 2024 par l’IBM Cost of a Data Breach Report, un montant qui grimpe lorsque l’accès non autorisé est maintenu sur plusieurs mois.
Cette campagne démontre que MFA, souvent présentée comme une barrière ultime, peut être contournée grâce à des techniques de phishing sophistiquées qui exploitent la confiance humaine et des processus OAuth familiers. Ce constat impose aux entreprises de revoir leur approche de la sécurité identitaire au-delà des mots de passe et du MFA conventionnel.
Les mesures prioritaires incluent la restriction de l’approbation des applications OAuth aux seules instances certifiées, l’activation du blocage des protocoles obsolètes, et la surveillance proactive des nouveaux consentements ainsi que des flux MFA inhabituels. La formation des utilisateurs à identifier les écrans de consentement frauduleux et à repérer les incohérences de marque ou d’URL reste indispensable. Enfin, l’intégration de solutions de sécurité avancées, comme des outils d’analyse du consentement, une surveillance comportementale et des MFA résistant à l’hameçonnage (FIDO), sont incontournables pour protéger les environnements cloud modernes et maintenir la continuité des activités.
