Publié le 23 février 2026 à 07h33. Une nouvelle campagne de phishing sophistiquée cible les entreprises et les professionnels d’Amérique du Nord, exploitant une faille de sécurité dans Microsoft 365 qui permet de contourner l’authentification multifacteur (MFA) et de compromettre des données sensibles.
- Des attaquants exploitent une vulnérabilité dans le flux d’autorisation OAuth 2.0 pour accéder aux comptes Microsoft 365 (Outlook, Teams, OneDrive).
- Cette attaque ne vole pas les identifiants, mais détourne les jetons d’accès OAuth légitimes, accordant un accès persistant aux données des victimes.
- Les secteurs de la technologie, de la fabrication et de la finance sont particulièrement visés, avec plus de 44 % des victimes aux États-Unis.
KnowBe4 Threat Labs a mis en évidence cette campagne de phishing particulièrement ingénieuse, qui se distingue par sa capacité à contourner les mesures de sécurité traditionnelles. Au lieu de chercher à dérober les mots de passe ou à forcer l’authentification multifacteur, les attaquants manipulent le processus d’autorisation OAuth 2.0 pour obtenir un accès légitime, mais détourné, aux comptes des utilisateurs.
L’attaque se déroule en plusieurs étapes. Les cybercriminels enregistrent d’abord une application OAuth malveillante au sein de l’écosystème Microsoft 365, générant ainsi un code d’appareil unique. Ce code est ensuite diffusé aux victimes potentielles via des courriels de phishing ciblés. Les victimes, incitées à cliquer sur des liens malveillants, sont redirigées vers des pages imitant les services Microsoft, où elles sont invitées à saisir le code sur le portail légitime microsoft.com/devicelogin.
Une fois authentifiées avec leurs identifiants et après avoir validé leur MFA, les victimes déclenchent l’émission de jetons d’accès OAuth valides par Microsoft. Les attaquants interceptent et exploitent ces jetons en temps réel, obtenant ainsi un accès à long terme aux comptes compromis. Cet accès illimité permet aux attaquants de lire, d’écrire et d’envoyer des courriels, de gérer les calendriers, d’accéder aux fichiers stockés sur OneDrive et SharePoint, et même d’effectuer des actions administratives.
Les attaquants misent sur l’ingénierie sociale pour piéger leurs victimes, en utilisant des tactiques d’usurpation d’identité ou en proposant des appâts financiers. Des exemples de leurres incluent de fausses confirmations de paiement, des partages de documents frauduleux et des notifications de messagerie vocale suspectes. KnowBe4 a identifié des exemples concrets de lignes d’objet utilisées dans ces attaques, telles que « REF-UIVJRW Confirmation TEF : paiement de l’avis de distribution traité » ou « [Nom du contact] Partage du document « Formulaire de distribution de primes salariales liées aux bénéfices du 4e trimestre – Année 25 » ».
Les entreprises nord-américaines des secteurs ciblés sont invitées à examiner attentivement leurs journaux d’événements et leurs journaux de connexion pour détecter d’éventuelles compromissions. KnowBe4 a publié une liste d’indicateurs de compromission (IOC) pour aider les équipes de sécurité à identifier et à bloquer ces attaques, notamment des adresses d’expéditeurs suspectes (comme noreply-application-integration@google.com), des domaines malveillants (connexion.sharefileselfservices.cloud, sso-services.com, newcrowdcapital.com) et des URL de stockage dans le cloud compromettantes (stockage.cloud.google.com/…/check.html, stockage.cloud.google.com/…/captcha.html).
Les jetons compromis échappent aux contrôles de l’authentification multifacteur et peuvent persister jusqu’à leur révocation, ouvrant la voie à l’espionnage, à la préparation de rançongiciels ou au vol de données. La persistance de l’accès constitue un risque majeur pour les organisations ciblées.
| Type de COI | Exemples |
|---|---|
| Adresse de l’expéditeur | noreply-application-integration@google.com |
| Domaines malveillants | connexion.sharefileselfservices.cloud, sso-services.com, newcrowdcapital.com |
| URL de stockage dans le cloud | stockage.cloud.google.com/…/check.html, stockage.cloud.google.com/…/captcha.html |
| Modèles de sujets | Messagerie vocale (### secondes), ####### Confirmation : Paiement de l’avis de distribution traité, #### Document partagé : « Formulaire de distributions de primes salariales liées aux bénéfices du quatrième trimestre, année 25 » |
Suivez-nous sur Google News, LinkedIn et X pour plus d'actualités instantanées. Définissez Cyberpress comme source privilégiée sur Google.