La firme de Redmond a mis en lumière une campagne de hameçonnage particulièrement retorse, ciblant en priorité les organisations gouvernementales et du secteur public. Les attaquants ne cherchent pas à exploiter une faille. Ils détournent une fonction standard et légitime du protocole d’autorisation, transformant les messages d’erreur en autoroutes vers leurs propres infrastructures malveillantes.
Comment cette attaque fonctionne-t-elle exactement ?
Les pirates créent d’abord une application malveillante dans un environnement qu’ils contrôlent. Ensuite, ils diffusent des liens piégés qui déclenchent une demande d’authentification via OAuth (un standard ouvert pour l’autorisation qui permet à des services tiers d’accéder à vos informations sans connaître votre mot de passe). Sauf qu’ils utilisent des paramètres volontairement invalides.
Cette action force délibérément la génération d’une erreur. Et c’est là que le piège se referme. Le protocole, dans son fonctionnement normal, redirige l’utilisateur vers une URL prédéfinie par l’application en cas d’échec. Une URL, bien sûr, contrôlée par l’attaquant. Aucune ligne de code n’est cassée, seule la confiance dans le processus est brisée, le tout de manière totalement transparente pour la victime.
Quel est le véritable objectif des pirates derrière ce détournement ?
Une fois le clic fatal effectué, deux scénarios se dessinent. La redirection peut mener l’utilisateur vers des plateformes de phishing avancées, comme le tristement célèbre EvilProxy. Ces kits agissent en « homme du milieu » (AitM) pour intercepter les identifiants et les cookies de session, contournant ainsi l’authentification multifacteur (MFA).
Dans d’autres cas, la finalité est encore plus directe : le déploiement de malware. La page malveillante lance le téléchargement automatique d’une archive ZIP. À l’intérieur, un simple fichier raccourci (LNK) qui, une fois ouvert, exécute des scripts PowerShell, effectue une reconnaissance du système, et utilise une technique de DLL side-loading (le chargement d’une bibliothèque de liens dynamiques malveillante par un programme légitime) pour compromettre la machine et établir une connexion avec un serveur de commande et contrôle (C2).
Quelles mesures de protection sont préconisées ?
Face à cette menace qui joue sur les règles établies, la parade ne peut être un simple patch. Microsoft insiste sur la nécessité d’une gouvernance stricte des applications OAuth. Cela passe par la limitation du consentement utilisateur, obligeant une validation administrative pour les nouvelles applications, et par des audits réguliers pour révoquer les permissions inutiles ou suspectes. L’analyse des journaux de connexion pour repérer des redirections vers des domaines inconnus est aussi cruciale.
L’enjeu est de taille, car cette approche démontre à quel point le phishing moderne évolue. Plutôt que de s’attaquer à la robustesse des mots de passe, les cybercriminels ciblent désormais les relations de confiance inhérentes aux protocoles d’authentification eux-mêmes. Le déploiement de politiques d’accès conditionnel et de solutions de détection et réponse étendues (XDR) devient donc une absolue nécessité pour corréler les signaux faibles entre l’email, l’identité et le terminal.
Foire Aux Questions (FAQ)
Est-ce une faille de sécurité dans le protocole OAuth ?
Non, et c’est tout le problème. L’attaque n’exploite aucune vulnérabilité technique mais abuse d’un comportement standard et documenté du protocole, spécifiquement la gestion des erreurs par redirection. C’est une manipulation de la logique, pas un bug.
Qui sont les principales cibles de ces attaques ?
Selon les rapports, les campagnes observées visent principalement les organisations gouvernementales et les entités du secteur public. Cependant, la technique étant générique, elle pourrait facilement être adaptée pour cibler n’importe quel type d’entreprise ou de particulier.