Avec l’aide des forces de l’ordre, Microsoft vient de neutraliser Tycoon2FA, une plateforme criminelle qui louait des kits de phishing capables de contourner la double authentification. Les outils ont permis à de nombreux hackers de pirater des comptes pourtant bien protégés.
Un outil clé de l’arsenal des cybercriminels vient d’être mis hors ligne. Tycoon2FA, une plateforme de « phishing-as-a-service », a été démantelée par Europol, avec l’aide de Microsoft, dans le cadre d’une opération internationale de police. Active depuis au moins août 2023, la plateforme mettait à disposition un kit de phishing permettant de pirater des comptes Microsoft (365, OneDrive, Outlook, et SharePoint) et Google (Gmail) en imitant leurs pages de connexion. Le kit était vendu pour environ 120 dollars les 10 jours par le biais de Telegram, le nouveau repaire des cybercriminels, et Signal.
À lire aussi : Cyberattaque contre Gmail – cette attaque phishing exploite une faille de Google
Comment Tycoon2FA contourne la double authentification
Quand la victime se connecte, le kit intercepte à la fois les identifiants et les cookies de session. En parallèle, il envoie les données nécessaires à la connexion à la plateforme légitime. L’utilisateur a l’impression de s’être connecté au service en ligne, en fournissant mots de passe, identifiants et code de double authentification, sans se rendre compte que les pirates vont profiter de la session qui vient d’être ouverte. Les codes « étaient relayés via les serveurs proxy de Tycoon2FA vers le service d’authentification », explique Microsoft.
Une fois dans le compte, les pirates s’empressent de changer les mots de passe. Cette mesure exclut le propriétaire hors de son propre compte. Notez que cette méthode permettait aux cybercriminels de contourner la double authentification, le mécanisme de sécurité qui bloque la plupart des cyberattaques. Comme l’explique Trend Micro, qui est le premier à avoir découvert le kit, « les attaquants peuvent ensuite réutiliser ces cookies de session pour prendre le contrôle de comptes, même lorsque l’authentification multifacteur est activée ». Relativement accessible, il a permis à des hackers peu qualifiés, avec de faibles connaissances en informatique, de pirater des comptes protégés par l’authentification multifactorielle. Les attaquants se tournent de plus en plus vers « des outils ciblant le processus d’authentification lui-même », analyse Microsoft.
La plateforme envoyait des dizaines de millions de messages de phishing chaque mois. Microsoft a remarqué que « les victimes étaient souvent attirées par des courriels d’hameçonnage contenant des pièces jointes de type .svg, .pdf, .html ou .docx , souvent dotées de codes QR ou de code JavaScript » malveillant.
Le kit Tycoon2FA est impliqué dans des cyberattaques contre près de 100 000 organisations dans le monde, dont des administrations, des écoles et des hôpitaux, indique Europol dans son communiqué. Plus de 500 000 organisations se sont retrouvées dans le viseur de Tycoon2FA. Le kit est à l’origine de 60 % des tentatives de phishing bloquées par Microsoft. Comme l’explique l’éditeur, l’outil permettait aux cybercriminels de « maintenir leur accès et d’accéder à des informations sensibles même après la réinitialisation des mots de passe ». Microsoft attribue le succès de Tycoon2FA à la disparition d’autres services de phishing populaires, comme RaccoonO365. Cette redoutable plateforme de phishing a été mise hors ligne par Microsoft l’an dernier.
À lire aussi : Vague de phishing Google et Microsoft – une redoutable plateforme criminelle a été découverte
Microsoft neutralise la plateforme de phishing
C’est à la suite de plusieurs signalements réalisés par les chercheurs de Trend Micro que les autorités se sont penchés sur les activités de Tycoon2FA. Pour mettre un terme à la plateforme de phishing, Europol s’est tourné vers Microsoft. Avec l’aide d’entreprises comme Cloudflare, Coinbase, Intel471, Proofpoint, Shadowserver, et SpyCloud, Microsoft s’est chargé de la « perturbation technique » de l’outil criminel.
La saisie des infrastructures a été orchestrée par Europol, avec l’appui des forces de l’ordre en Lettonie, en Lituanie, au Portugal, en Pologne, en Espagne et au Royaume-Uni. Europol précise que 330 domaines « constituant l’infrastructure centrale du service criminel, notamment des pages d’hameçonnage et des panneaux de contrôle », ont été neutralisés par ses soins. C’est un nouveau coup dur pour l’écosystème criminel, déjà marqué par la fermeture de LeakBase, l’un des plus grands forums au monde dédiés à la revente d’informations piratées, ou la chute de HeartSender, un réseau criminel vendant des outils de phishing à de nombreux gangs, quelques mois plus tôt.
Toutefois, « la fermeture de la plateforme » ne signifie pas que la guerre contre Tycoon2FA est terminée, nuance Trend Micro. En effet, les cybercriminels ont « toujours su s’adapter, reconstruire et migrer vers de nouvelles infrastructures ». Par ailleurs, il faut s’attendre à ce que les utilisateurs de la plateforme cherchent à « poursuivre leurs activités » en exploitant les identifiants et cookies de session déjà volés avec l’aide du kit.
Selon les données de Proofpoint, presque toutes les entreprises (99%) ont été visées par des tentatives de prise de contrôle de comptes en 2025. Dans 67% des cas, les pirates sont arrivés à leurs fins. Dans près de 60 % des attaques réussies, les comptes visés étaient protégés par un système de double authentification.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.