Une nouvelle campagne de phishing sophistiquée cible actuellement les entreprises et les professionnels d’Amérique du Nord, exploitant une faille de sécurité dans Microsoft 365 qui permet de contourner l’authentification multifacteur (MFA). Les attaquants parviennent à obtenir un accès persistant aux comptes des victimes, notamment Outlook, Teams et OneDrive, sans même voler leurs identifiants.
Selon KnowBe4 Threat Labs, qui a révélé cette attaque début février 2026, les pirates informatiques abusent du flux d’autorisation des appareils OAuth 2.0. La victime est redirigée vers le portail Microsoft légitime (microsoft.com/devicelogin) et invitée à saisir un code fourni par l’attaquant. Cette action, en apparence anodine, permet d’authentifier la victime et de générer un jeton d’accès OAuth valide, que les attaquants interceptent pour accéder aux données de l’entreprise.
Ce qui rend cette campagne particulièrement préoccupante, c’est sa capacité à contourner les mesures de sécurité traditionnelles. « Cette campagne ne repose pas sur le vol d’identifiants, mais sur la manipulation de l’utilisateur pour qu’il s’authentifie sur un domaine Microsoft légitime », expliquent les analystes de KnowBe4. Le vol du jeton se produit après que l’utilisateur a validé son identité avec succès via la MFA, rendant la détection plus difficile.
L’attaque a été observée pour la première fois en décembre 2025 et vise principalement les secteurs de la technologie, de la fabrication et des services financiers. Plus de 44 % des victimes se trouvent aux États-Unis. Une fois le jeton OAuth volé, les attaquants disposent d’un accès complet aux comptes Microsoft 365 des victimes, incluant la lecture, l’écriture et l’envoi d’e-mails, l’accès au calendrier et aux fichiers stockés sur OneDrive et SharePoint, ainsi qu’aux fonctions administratives.
Pour se protéger contre cette menace, les équipes de sécurité sont invitées à adopter plusieurs mesures : bloquer les domaines et URL malveillants connus, rechercher des schémas spécifiques dans les journaux de messagerie, examiner et révoquer les autorisations des applications OAuth suspectes, vérifier les journaux de connexion Azure AD pour détecter les activités inhabituelles, et envisager de désactiver le flux de code de l’appareil si possible. L’utilisation de politiques d’accès conditionnel et la surveillance du consentement des applications OAuth via Microsoft Defender pour Cloud Apps sont également recommandées.
Les experts soulignent que les défenses périmétriques traditionnelles et les simples vérifications d’identifiants ne suffisent plus face à des attaques aussi sophistiquées. Une approche proactive, axée sur la veille sur les menaces en temps réel et la sensibilisation des utilisateurs, est désormais essentielle pour contrer ces risques.