Netcrook Logo
👤 LOGICFALCON
🗓️ 04 Mar 2026  

Redirections Fantômes : des hackers exploitent une faille OAuth pour contourner les défenses de Microsoft

Une nouvelle génération d’attaques de phishing détourne les flux d’authentification de confiance, échappant aux mesures de sécurité traditionnelles et ciblant les organisations du secteur public.

Lorsque vous vous connectez à votre compte professionnel, vous faites confiance au processus : cliquer sur un lien, s’authentifier, et vous êtes en sécurité. Mais que se passe-t-il si le mécanisme même censé vous protéger devient une arme ? Le dernier avertissement de Microsoft révèle une campagne de phishing ingénieuse où des cybercriminels manipulent les règles d’OAuth - un protocole d’authentification standard de l’industrie - pour piéger silencieusement leurs victimes, contournant à la fois les filtres de messagerie et la vigilance des utilisateurs.

Anatomie d’une attaque de phishing furtive

Cette nouvelle attaque, révélée par Microsoft, ne repose pas sur l’exploitation de failles logicielles ou le vol direct de mots de passe. À la place, les acteurs malveillants créent des applications malicieuses dans leur propre environnement cloud et configurent soigneusement les URI de redirection d’OAuth pour diriger les victimes vers leur propre infrastructure. L’e-mail de phishing initial - déguisé en demande de signature électronique légitime ou en invitation urgente à une réunion - contient un lien qui lance un flux d’autorisation OAuth.

C’est ici que la supercherie opère : les attaquants manipulent le flux avec des paramètres comme prompt=none et un scope=invalid volontairement invalide. Cela pousse le fournisseur d’identité (comme Microsoft Entra ID) à générer silencieusement une erreur et à rediriger automatiquement l’utilisateur - sans pop-up, sans avertissement. Comme la redirection provient d’un fournisseur de confiance, le lien passe inaperçu à travers la plupart des systèmes de sécurité et semble sûr pour le destinataire.

Les attaquants renforcent encore la crédibilité en transmettant l’adresse e-mail de la victime dans le paramètre state d’OAuth, habilement encodée. Lorsque la victime arrive sur le site de phishing, son e-mail est déjà prérempli, renforçant l’illusion de légitimité. À partir de là, l’attaque se divise : parfois la cible est incitée à saisir ses identifiants (qui sont récoltés par des outils d’attaque de type EvilProxy), tandis que dans d’autres cas, un fichier ZIP malveillant est téléchargé, libérant un malware via des fichiers raccourcis et le chargement latéral de DLL. Cela donne aux attaquants un accès et un contrôle à distance sur le système compromis.

Pourquoi les défenses traditionnelles échouent - et que faire

Parce que l’attaque abuse de comportements standards explicitement autorisés par les spécifications OAuth, elle reste invisible pour de nombreuses défenses conventionnelles. Microsoft insiste sur le fait que la solution ne réside pas dans des correctifs logiciels, mais dans une gouvernance plus stricte des applications, la surveillance des paramètres OAuth suspects et la corrélation des activités e-mail, identité et endpoint à l’aide d’outils de détection avancés.

Les organisations sont invitées à limiter le consentement des utilisateurs pour les applications tierces, à auditer les applications existantes pour détecter des permissions excessives, et à déployer des analyses comportementales pour repérer des activités malveillantes sur PowerShell et DLL. Les équipes de sécurité doivent rechercher des signes révélateurs comme prompt=none, scope=invalid dans les URLs, et des téléchargements inattendus déclenchés par des redirections d’erreur OAuth.

Conclusion

Cette campagne rappelle brutalement que lorsque les attaquants respectent les règles, ce sont les règles elles-mêmes qui deviennent un champ de bataille. À mesure que les menaces basées sur l’identité gagnent en ruse, la vigilance et l’analyse des protocoles deviennent la nouvelle ligne de front. Les chemins d’authentification de confiance, autrefois considérés comme sûrs, peuvent être transformés en armes - obligeant les organisations à repenser non seulement ce qu’elles défendent, mais comment elles le défendent.

WIKICROOK

  • OAuth 2.0 : OAuth 2.0 est une norme ouverte qui permet aux utilisateurs d’accorder à des applications l’accès à leurs données sur d’autres services de manière sécurisée, sans partager leurs mots de passe.
  • Redirect URI : Une URI de redirection est l’adresse web de destination pour les utilisateurs après l’authentification dans OAuth, essentielle pour une autorisation sécurisée et pour prévenir les attaques de redirection.
  • DLL Side : DLL Side est une technique où les attaquants trompent des programmes pour charger des fichiers DLL malveillants, contournant la sécurité et obtenant un accès ou un contrôle non autorisé.
  • State Parameter : Le paramètre state est une valeur unique dans les flux OAuth pour prévenir les attaques CSRF et garantir l’intégrité des requêtes, mais il doit être validé pour éviter les abus.
  • Command : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui ordonnant d’effectuer des actions spécifiques, parfois à des fins malveillantes.
OAuth Exploit Phishing Attack Microsoft Security
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news