Netcrook Logo
👤 LOGICFALCON
🗓️ 03 Mar 2026  

Redirections OAuth : la nouvelle porte dérobée dans les attaques de logiciels malveillants visant les gouvernements

Les cybercriminels détournent les systèmes de connexion de confiance pour livrer des malwares sophistiqués directement aux cibles gouvernementales, alerte Microsoft.

Tout a commencé par un e-mail à l’apparence anodine - peut-être une demande de signature électronique, un enregistrement de réunion Teams ou un document gouvernemental. Mais pour les employés du secteur public à travers le monde, cliquer sur ce lien revenait à tomber droit dans le piège d’un cybercriminel. La dernière enquête de Microsoft révèle un nouveau rebondissement glaçant dans la cyberguerre en cours : les attaquants utilisent OAuth, une norme fondamentale d’authentification sur Internet, pour faire passer des malwares à travers même les défenses les plus robustes.

OAuth est censé rendre la connexion plus sûre et plus simple, permettant aux utilisateurs d’accéder à plusieurs services avec un seul compte de confiance. Mais cette commodité même est devenue une arme à double tranchant. L’équipe de sécurité de Microsoft a découvert des campagnes de phishing qui ne volent pas les mots de passe et n’exploitent pas de failles logicielles. À la place, elles manipulent les mécanismes de redirection normaux d’OAuth - des fonctionnalités conçues pour gérer les erreurs ou le parcours utilisateur - et les détournent à des fins malveillantes.

Voici comment le stratagème fonctionne : les cybercriminels créent une application malveillante sous leur propre locataire cloud et définissent son URL de redirection vers un domaine frauduleux. Les victimes reçoivent des e-mails de phishing - souvent conçus pour imiter des communications gouvernementales ou professionnelles urgentes - contenant des liens OAuth. Lorsqu’un utilisateur clique, il est invité à se connecter avec un fournisseur de confiance comme Entra ID ou Google Workspace. Mais à cause d’un champ de portée volontairement invalide dans la requête, le comportement standard d’OAuth est déclenché : l’utilisateur est redirigé, non pas vers un endroit sûr, mais directement vers le site hébergeant le malware de l’attaquant.

Le malware arrive sous la forme d’une archive ZIP. À l’intérieur, un raccourci Windows piégé (LNK) lance des commandes PowerShell pour la reconnaissance de l’hôte, tandis qu’un installateur MSI caché dépose un document leurre et charge une DLL malveillante. La charge finale est déchiffrée en mémoire et se connecte à un serveur externe, plaçant le système de la victime sous le contrôle total de l’attaquant. Dans certains cas, les attaques vont jusqu’au vol d’identifiants grâce à des frameworks avancés d’adversaire-intermédiaire comme EvilProxy.

Pour renforcer la légitimité, les attaquants encodent l’adresse e-mail de la victime dans le paramètre d’état OAuth, rendant les pages de phishing personnalisées et crédibles. Des outils d’envoi massif et des scripts personnalisés en Python et Node.js ont permis de distribuer ces e-mails à grande échelle, souvent en intégrant les liens directement ou dans des PDF.

Microsoft a réagi en supprimant les applications OAuth malveillantes connues et exhorte les organisations à restreindre les autorisations des applications, à auditer régulièrement les accès et à supprimer les applications inutiles ou à risque. Mais l’avertissement est clair : à mesure que les attaquants exploitent de plus en plus les protocoles de confiance, la frontière entre légitime et malveillant devient dangereusement mince.

Alors que les mécanismes de confiance numérique deviennent des champs de bataille, chaque connexion pourrait être une embuscade potentielle. La leçon pour les défenseurs est sans appel : la sécurité ne consiste pas seulement à bloquer les menaces évidentes - il s’agit de remettre en question les systèmes mêmes auxquels nous faisons le plus confiance.

WIKICROOK

  • OAuth : OAuth est un protocole qui permet aux utilisateurs de donner à des applications l’accès à leurs comptes sans partager leurs mots de passe, améliorant la sécurité mais présentant aussi certains risques.
  • URL de redirection : Une URL de redirection est un lien web qui envoie les utilisateurs vers un autre site, souvent utilisé par les attaquants pour dissimuler des destinations malveillantes dans des campagnes de phishing.
  • DLL Side : DLL Side est une technique où les attaquants trompent des programmes pour qu’ils chargent des fichiers DLL malveillants, contournant la sécurité et obtenant un accès ou un contrôle non autorisé.
  • PowerShell : PowerShell est un outil de script Windows utilisé pour l’automatisation, mais souvent exploité par les attaquants pour mener des actions malveillantes de façon furtive.
  • Adversaire : Un adversaire est toute personne ou groupe cherchant à compromettre des systèmes informatiques ou des données, souvent à des fins malveillantes comme le vol ou la perturbation.
OAuth Malware Attacks Cybersecurity
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news