Des pirates exploitent de fausses applications OAuth de Microsoft pour piéger les utilisateurs et accéder à leurs comptes Office 365, OneDrive, Outlook ou Teams. Cette méthode leur permet de contourner l’authentification multifacteur (MFA) grâce à des jetons de session persistants. Microsoft a commencé à déployer des mesures correctives, mais la vigilance des entreprises et la sensibilisation des utilisateurs restent essentielles.
Les chercheurs de Proofpoint ont identifié une campagne sophistiquée de cyberattaques exploitant les applications OAuth pour cibler les environnements Microsoft 365. Les pirates créent de fausses applications (DocuSign, SharePoint, Adobe, etc.) et imitent les écrans d’autorisation officiels afin de convaincre les utilisateurs d’accorder l’accès à leurs données. Une fois validé, l’attaquant obtient des jetons OAuth qui permettent un accès prolongé, même après un changement de mot de passe.
L’authentification multifacteur (MFA), censée renforcer la sécurité des comptes, est ici contournée grâce à des kits de phishing Attacker-in-the-Middle (AiTM) tels que Tycoon ou ODx. En insérant une étape « captcha » et des redirections vers de fausses pages Microsoft, les cybercriminels capturent non seulement les identifiants, mais aussi les jetons de session. Ces derniers leur donnent un accès persistant aux emails, fichiers et applications cloud.
La particularité inquiétante de ces attaques est que les jetons OAuth survivent aux réinitialisations de mot de passe. Même si un utilisateur change ses identifiants, les permissions accordées aux applications frauduleuses continuent d’ouvrir la porte aux attaquants jusqu’à révocation manuelle.
Selon Proofpoint, plus de 50 marques de confiance ont été usurpées pour crédibiliser les attaques, dont RingCentral, SharePoint, Adobe et DocuSign. Des milliers de messages malveillants ont été diffusés via des comptes compromis, utilisant des autorisations apparemment anodines comme « voir votre profil » ou « maintenir l’accès aux données » pour piéger les victimes.
Alerté en début d’année 2025, Microsoft a annoncé en juin des modifications des paramètres par défaut de Microsoft 365 afin de mieux contrôler l’usage des applications tierces. Le déploiement de ces mesures a commencé en juillet et doit s’achever courant août 2025. L’objectif est de réduire drastiquement la capacité des attaquants à exploiter les applications OAuth comme vecteur d’intrusion.
En parallèle, Proofpoint a partagé les identifiants des applications frauduleuses et les empreintes des kits de phishing utilisés afin d’aider à la détection et au blocage des futures attaques.
Cette campagne illustre une évolution des techniques de phishing qui dépassent désormais la simple collecte d’identifiants. En exploitant la confiance des utilisateurs dans les applications Microsoft OAuth, les cybercriminels démontrent leur capacité à contourner les défenses classiques, y compris le MFA. Seule une combinaison de mesures techniques, organisationnelles et de sensibilisation permettra de réduire efficacement ce risque.