Threat Intelligence 6 min de lecture

Phishing OAuth device code : 340 organisations Microsoft 365 compromises en quelques semaines

En bref

  • Campagne massive de phishing OAuth device code : 340+ organisations Microsoft 365 compromises
  • 5 pays touchés en quelques semaines via le flux d'autorisation device code de Microsoft
  • Les attaquants abusent du flux OAuth légitime, pas d'une vulnérabilité technique
  • Les tokens OAuth obtenus donnent un accès persistant sans MFA

340 organisations compromises sans exploiter une seule vulnérabilité

Le rapport publié par la Cloud Security Alliance en avril 2026 documente l’une des campagnes de phishing les plus efficaces de ces derniers mois. Plus de 340 organisations utilisant Microsoft 365 ont été compromises dans cinq pays en l’espace de quelques semaines, sans que les attaquants n’aient eu besoin d’exploiter une faille technique dans un logiciel.

La technique utilisée, le phishing OAuth device code, est remarquable car elle abuse d’un flux d’autorisation entièrement légitime et intentionnellement conçu par Microsoft pour faciliter l’authentification sur les appareils sans navigateur (télévisions connectées, consoles, etc.). Ce qui était une fonctionnalité de confort est devenu un vecteur d’attaque redoutable.

Le flux OAuth device code : une fonctionnalité détournée

Comment fonctionne le flux device code légitime

Dans un usage normal, le flux OAuth device code (aussi appelé Device Authorization Grant) fonctionne ainsi :

  1. Un appareil sans navigateur (une application console, une Smart TV, une console de jeu) demande l’autorisation d’accéder à des ressources Microsoft 365
  2. Microsoft retourne un code court (device code) et une URL : microsoft.com/devicelogin
  3. L’utilisateur ouvre l’URL sur un autre appareil (son téléphone ou ordinateur), entre le code, et s’authentifie normalement avec son MFA
  4. L’appareil d’origine reçoit un token OAuth et peut accéder aux ressources autorisées

Ce flux est utilisé par des outils légitimes comme Azure CLI, Microsoft Teams sur certaines plateformes, et de nombreux outils DevOps.

Comment les attaquants le détournent

Dans la campagne documentée par la Cloud Security Alliance, le processus d’attaque est le suivant :

  1. L’attaquant initie lui-même une demande de device code auprès de Microsoft pour une application légitime (souvent Microsoft Teams ou Office 365)
  2. Microsoft génère un code et une URL valides
  3. L’attaquant envoie à la victime un message de phishing lui demandant de se rendre sur microsoft.com/devicelogin et d’entrer le code fourni. Le message est soigneusement conçu pour paraître légitime : convocation à une réunion Teams urgente, demande de vérification de compte, alerte de sécurité
  4. La victime, pensant suivre une procédure normale de Microsoft, entre le code et s’authentifie avec son MFA
  5. L’attaquant reçoit immédiatement un token OAuth valide, lié à l’identité de la victime, avec une durée de vie longue (souvent 90 jours pour les refresh tokens)

Pourquoi le MFA ne protège pas

C’est le point central qui rend cette attaque si efficace : la victime réalise elle-même l’authentification MFA. Le second facteur est valide, l’identité est vérifiée, et Microsoft délivre un token parfaitement légitime. Les systèmes de détection basés sur l’anomalie MFA (tentatives bloquées, etc.) ne voient rien d’anormal.

L’attaquant n’a pas contourné le MFA, il a trompé l’utilisateur pour qu’il l’effectue en son nom.

Accès persistant et mouvement latéral

Une fois le token OAuth obtenu, l’attaquant dispose d’un accès persistant aux ressources Microsoft 365 de la victime, typiquement :

  • Messagerie Outlook (lecture, exfiltration, règles de transfert automatique)
  • SharePoint et OneDrive (téléchargement de documents internes)
  • Microsoft Teams (surveillance des conversations, envoi de messages au nom de la victime)
  • Calendrier (reconnaissance des réunions sensibles)

Le refresh token, valide jusqu’à 90 jours s’il est utilisé régulièrement, permet de maintenir cet accès même si la victime change son mot de passe, car les tokens OAuth ne sont pas invalidés par un changement de mot de passe dans la configuration par défaut de Microsoft 365.

Cet accès initial est souvent utilisé comme tremplin pour un mouvement latéral : depuis la boîte mail compromise, l’attaquant envoie des messages de phishing aux collègues de la victime avec une crédibilité maximale.

Détection et prévention

Politiques d’accès conditionnel

La mesure la plus efficace est de désactiver le flux device code pour les utilisateurs qui n’en ont pas besoin. Dans Microsoft Entra ID (anciennement Azure AD), une politique d’accès conditionnel peut bloquer les authentifications de type Device Flow :

  • Dans le portail Entra ID, créez une politique qui bloque les authentifications via le flux device code
  • Appliquez-la à tous les utilisateurs sauf les comptes de service et applications qui en ont besoin

Cette seule mesure élimine le vecteur d’attaque.

Surveillance des journaux de connexion

Si vous ne pouvez pas désactiver le flux device code immédiatement, configurez des alertes sur les connexions de type device code dans vos journaux Microsoft Entra ID. Recherchez particulièrement :

  • Des authentifications device code pour des utilisateurs qui n’utilisent normalement pas ce flux
  • Des authentifications device code suivies immédiatement d’accès massifs à des emails ou fichiers
  • Des tokens accordés à des applications inconnues ou non répertoriées

Formation des utilisateurs

Formez vos utilisateurs à ne jamais entrer un code sur microsoft.com/devicelogin à la demande d’un email ou d’un message Teams qu’ils n’ont pas initié eux-mêmes. Le flux device code légitime commence toujours par une action de l’utilisateur sur un appareil, jamais par un email entrant.

Révocation des tokens compromis

Si vous suspectez une compromission via ce vecteur, révoquez les tokens de session de l’utilisateur affecté depuis le portail Entra ID et forcez une réauthentification. Auditez également les règles de boîte mail et les autorisations accordées aux applications tierces.

Lectures recommandées

Ces liens sont des liens affiliés. Si vous effectuez un achat via ces liens, nous pouvons recevoir une commission, sans coût supplémentaire pour vous.

  • Pro Cybersécurité : outils et plans d’action : inclut des chapitres sur la sécurisation des environnements Microsoft 365 et la gestion des identités cloud, directement applicables aux menaces décrites dans cet article.
  • Cybersécurité pour les Nuls : une introduction accessible aux enjeux d’authentification et de phishing, idéale pour former vos équipes non techniques à ces nouvelles menaces.

Pour les équipes qui accèdent à Microsoft 365 depuis des réseaux non sécurisés, NordVPN chiffre les connexions et réduit le risque d’interception. La gestion centralisée des tokens et credentials Microsoft 365 est également facilitée par NordPass, qui permet de stocker et partager de manière sécurisée les accès aux comptes de service.

Sources

#OAuth #phishing #Microsoft-365 #device-code #cloud
Partager :

Publicité

Articles liés

Dropbox Sign breach : 68 millions de comptes exposés via une clé API compromise

Scattered Spider revient : ingénierie sociale ciblée contre les helpdesks IT en Europe

Fortinet FortiGate : porte dérobée par lien symbolique, persistance après patching