Netcrook Logo
👤 CIPHERWARDEN
🗓️ 22 Oct 2025   🗂️ Threats    

Termites dans le Cloud : Traquer les Applications Malveillantes Cachées dans Microsoft 365

Des applications OAuth malveillantes rôdent invisibles dans les environnements Microsoft 365 - voici comment de nouveaux outils comme Cazadora révèlent les acteurs de la menace silencieuse qui se cachent à la vue de tous.

En Bref

  • Des applications OAuth malveillantes peuvent infiltrer Microsoft 365, donnant aux hackers un accès à des données sensibles.
  • Environ 10 % des locataires Microsoft 365 interrogés avaient au moins une application à haut risque installée.
  • Cazadora est un script open-source conçu pour aider les administrateurs à traquer les applications suspectes.
  • Les attaquants exploitent des fonctionnalités légitimes d’applications, rendant la détection difficile et la correction presque impossible.
  • Le “Traitorware” (applications légitimes détournées par des hackers) et les “Stealthware” personnalisées sont tous deux en hausse.

La Menace Cachée dans les Outils du Quotidien

Imaginez un matin paisible soudainement troublé par la découverte d’une seule termite - un présage qu’une infestation cachée se trouve sous la surface. C’est la réalité inquiétante à laquelle sont confrontés les administrateurs Microsoft 365 : derrière l’interface familière, des applications OAuth malveillantes peuvent discrètement accorder aux attaquants un accès continu aux e-mails, fichiers et comptes utilisateurs. Ces applications malveillantes n’exploitent pas des failles ; elles tirent parti des fonctionnalités mêmes conçues pour rendre les logiciels cloud flexibles et puissants.

OAuth, le système qui permet aux utilisateurs de connecter des applications à leurs comptes Microsoft 365, est une arme à double tranchant. S’il alimente les outils de productivité, il ouvre aussi des portes aux attaquants. Une fois qu’une application a reçu le consentement - même involontairement - elle peut fonctionner avec les autorisations accordées, souvent sans être détectée pendant des mois, voire des années.

Du Traitorware au Stealthware : Une Menace Croissante

L’équipe de Huntress Labs, dirigée par Matt Kiely, a récemment analysé les données de plus de 8 000 locataires Microsoft 365. Leur constat ? Le “Traitorware” - applications légitimes fréquemment détournées par des hackers - et les “Stealthware” sur mesure sont largement présents. Les applications Traitorware sont comme des pieds-de-biche : utiles pour le bien, mais tout aussi pratiques pour forcer une entrée. Le Stealthware, en revanche, est un logiciel malveillant façonné à la main, déguisé en application métier et adapté à chaque attaque.

L’histoire montre que ce risque n’est pas théorique. En 2020, Microsoft a alerté sur des attaques massives de “Consentement Illicite”, où des cybercriminels trompent les utilisateurs pour qu’ils autorisent l’accès à des applications malveillantes. Des attaques similaires ont touché Google Workspace et Salesforce, mettant en lumière un problème généralisé : à mesure que les entreprises adoptent massivement les plateformes cloud, les attaquants exploitent la complexité et la confiance inhérentes à ces systèmes.

Pour compliquer la tâche, les paramètres par défaut d’Azure permettent à tout utilisateur d’installer et de consentir à de nouvelles applications, souvent avec peu de contrôle. Les attaquants en profitent pour créer des applications aux noms anodins ou composés de chaînes aléatoires, se fondant dans le bruit numérique ambiant.

Faire la Lumière avec Cazadora

Pour aider les administrateurs à débusquer ces menaces cachées, Huntress a publié Cazadora, un script open-source qui analyse les locataires Microsoft 365 à la recherche d’applications suspectes. En exploitant l’API Graph de Microsoft, Cazadora signale les applications présentant des caractéristiques à risque - noms inhabituels, autorisations rares ou comportements d’accès anormaux. Aucun outil ne peut détecter toutes les applications malveillantes, mais Cazadora offre un point de départ essentiel pour que les organisations reprennent le contrôle de leur environnement cloud.

Les enjeux sont élevés. À mesure que de plus en plus d’entreprises migrent vers le cloud, le risque de compromission silencieuse augmente. Les experts en sécurité recommandent des audits réguliers, des politiques de consentement aux applications plus strictes et une vigilance constante. Après tout, la pire des infestations est celle que l’on ne voit jamais - jusqu’à ce qu’il soit trop tard.

Dans un paysage où les attaquants prospèrent grâce à la complexité et à l’obscurité, des outils comme Cazadora permettent aux défenseurs de soulever les planchers numériques et d’affronter les menaces qui se cachent en dessous. Le message est clair : auditez vos applications, ou prenez le risque de laisser les termites festoyer en toute discrétion.

WIKICROOK

  • OAuth : OAuth est un protocole qui permet aux utilisateurs de donner à des applications l’accès à leurs comptes sans partager de mots de passe, améliorant la sécurité mais présentant aussi certains risques.
  • Locataire Microsoft 365 : Un locataire Microsoft 365 est un espace cloud privé d’une organisation qui contient tous ses utilisateurs, applications et données, géré de manière sécurisée au sein de Microsoft 365.
  • Application d’Entreprise : Une application d’entreprise est un logiciel développé en externe, installé dans l’environnement d’une entreprise, comme Microsoft 365, pour soutenir les opérations et la collaboration professionnelles.
  • Service Principal : Un Service Principal est un compte spécial qui permet à une application ou un service d’accéder de manière sécurisée à des ressources cloud avec des autorisations définies, au lieu d’utiliser des identifiants utilisateur.
  • Graph API : Graph API est l’interface de Facebook permettant aux applications d’accéder aux données des utilisateurs ; elle peut être exploitée par des attaquants pour collecter des informations à partir de comptes compromis.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news