Netcrook Logo
👤 HEXSENTINEL
🗓️ 20 Nov 2025  

La connexion fantôme : comment la nouvelle astuce de Sneaky2FA déjoue même les plus vigilants

Des maîtres du phishing déploient une fausse fenêtre de navigateur intégrée pour dérober des identifiants Microsoft - contournant l’authentification à deux facteurs et trompant même les utilisateurs les plus attentifs.

En bref

  • Sneaky2FA, un kit de phishing en tant que service, imite désormais les fenêtres de connexion Microsoft grâce à la technique du “Browser-in-the-Browser” (BitB).
  • Les attaques BitB affichent une fausse fenêtre contextuelle de navigateur avec une barre d’adresse convaincante, incitant les utilisateurs à livrer mots de passe et jetons de session.
  • Même les comptes protégés par l’authentification à deux facteurs (2FA) peuvent être compromis si les jetons de session sont volés.
  • Le kit de phishing utilise une forte obfuscation et des astuces conditionnelles pour échapper à la détection par les outils de sécurité et les chercheurs.
  • Des techniques BitB similaires ont déjà ciblé Facebook, Steam et d’autres services en ligne de grande valeur.

L’art de la tromperie numérique

Imaginez-vous assis à votre bureau, cliquant sur un lien pour consulter un document, et faisant face à une fenêtre de connexion Microsoft familière. Vous vérifiez la barre d’adresse - tout semble légitime. Mais dans l’ombre, une nouvelle génération de cybercriminels sourit. Leur dernière arme : une fausse fenêtre de navigateur si convaincante qu’elle peut tromper même les yeux les plus avertis.

Bienvenue dans l’univers de Sneaky2FA, un kit de phishing en tant que service (PhaaS) tristement célèbre qui fait actuellement sensation dans les cercles criminels. Sa dernière mise à jour reprend une technique de “red team” appelée Browser-in-the-Browser (BitB), présentée pour la première fois par le chercheur en sécurité mr.d0x en 2022. Les attaques BitB créent des fenêtres de connexion contextuelles à l’intérieur d’une page web, avec des barres d’adresse et un style de navigateur authentiques. Ce qui ressemble à une connexion Microsoft sécurisée n’est en réalité qu’une illusion soigneusement élaborée.

Comment le piège se referme

Voici comment cela fonctionne : vous recevez un lien de phishing, peut-être déguisé en document partagé sur un site comme ‘previewdoc[.]com’. Après une vérification rapide par un bot, on vous invite à “Se connecter avec Microsoft”. Cliquez sur ce bouton, et une nouvelle fenêtre apparaît - parfaitement adaptée à votre navigateur et système d’exploitation.

Mais il ne s’agit pas d’une vraie fenêtre contextuelle du navigateur. C’est en fait un iframe - une fenêtre à l’intérieur de la page web - conçue pour être identique à l’originale. La barre d’adresse affiche le domaine de confiance de Microsoft, le titre de la fenêtre correspond à votre navigateur, et le formulaire de connexion est impossible à distinguer de l’authentique. En coulisses, le proxy inversé de Sneaky2FA transmet vos identifiants et jetons de session directement aux attaquants, contournant même l’authentification à deux facteurs en détournant votre session active.

Pourquoi c’est si difficile à détecter

Ce qui rend cette attaque particulièrement dangereuse, c’est son souci du détail. La fenêtre de phishing ne peut pas être déplacée en dehors du navigateur parent - le seul indice subtil pour les plus observateurs. Parallèlement, le code HTML et JavaScript est volontairement brouillé, avec des balises cachées et des images encodées, rendant le tout presque invisible pour les scanners de sécurité.

Push Security, qui a récemment analysé les nouvelles tactiques de Sneaky2FA, avertit que ces sites sont conçus pour échapper aussi bien aux outils automatisés qu’aux chercheurs humains. Des attaques similaires ont été observées dans d’autres services PhaaS comme Raccoon0365, qui a été démantelé après avoir volé des milliers d’identifiants Microsoft.

Une menace grandissante

L’évolution rapide de kits de phishing comme Sneaky2FA marque un tournant inquiétant : des outils et techniques autrefois réservés aux hackers d’élite sont désormais accessibles à quiconque est prêt à payer. Avec les comptes Microsoft 365 en première ligne pour l’espionnage, la fraude et l’extorsion, les enjeux n’ont jamais été aussi élevés. À mesure que les attaquants brouillent la frontière entre vrai et faux, les utilisateurs - et les organisations - doivent apprendre à remettre en question même les façades numériques les plus convaincantes.

Dans un monde où une fausse fenêtre peut voler votre identité numérique, la vigilance ne suffit plus. Les défenses auxquelles nous faisons confiance doivent évoluer, sous peine de nous retrouver face à la prochaine illusion parfaite - un identifiant trop tard.

WIKICROOK

  • Phishing : Le phishing est une cybercriminalité où les attaquants envoient de faux messages pour inciter les utilisateurs à révéler des données sensibles ou à cliquer sur des liens malveillants.
  • Navigateur : Un navigateur est un logiciel permettant d’accéder et de consulter des sites web, collectant souvent des données de télémétrie pour surveiller l’activité des utilisateurs et renforcer la cybersécurité.
  • Jeton de session : Un jeton de session est un code numérique unique qui maintient les utilisateurs connectés à des sites ou applications. S’il est volé, les attaquants peuvent accéder aux comptes sans mot de passe.
  • Proxy inversé : Un proxy inversé est un serveur qui s’intercale entre les utilisateurs et un service web, masquant la véritable localisation du service et le protégeant des attaques directes.
  • Obfuscation : L’obfuscation est la pratique qui consiste à déguiser du code ou des données pour les rendre difficiles à comprendre, analyser ou détecter par des humains ou des outils de sécurité.
Phishing Sneaky2FA Two-Factor Authentication
HEXSENTINEL HEXSENTINEL
Binary & Malware Analyst
← Back to news