Microsoft 365 accounts targeted in wave of OAuth phishing attacks

2 minute de lecture

Mis à jour : December 19, 2025

Piratage de comptes Microsoft 365 via des attaques OAuth

Des acteurs malveillants multiplient les attaques de phishing visant les comptes Microsoft 365 en exploitant le mécanisme d’autorisation de code d’appareil OAuth. Ces attaques, bien que non nouvelles, ont vu leur volume augmenter de manière significative depuis septembre 2025, impliquant des cybercriminels à motivation financière ainsi que des groupes étatiques.

Les méthodes utilisées consistent à tromper les victimes pour qu’elles saisissent un code d’appareil sur une page de connexion Microsoft légitime. Ce faisant, elles autorisent involontairement une application contrôlée par l’attaquant, lui accordant ainsi un accès au compte cible sans nécessiter le vol d’identifiants ni contourner l’authentification multifacteur (MFA).

Deux kits de phishing ont été identifiés : SquarePhish (v1 et v2) et Graphish. SquarePhish est un outil de “red teaming” disponible publiquement, ciblant les flux d’autorisation via des codes QR. Graphish, un kit de phishing malveillant partagé sur des forums, prend en charge l’abus d’OAuth, les enregistrements d’applications Azure et les attaques “adversary-in-the-middle” (AiTM).

Trois campagnes notables ont été observées :

Attaques “Bonus Salarial” : Utilisation de leurres de partage de documents et de marquages d’entreprise localisés pour inciter les victimes à cliquer sur des liens menant à des sites contrôlés par les attaquants. Les victimes sont ensuite invitées à effectuer une “authentification sécurisée” en saisissant un code sur la page de connexion Microsoft.
Attaques TA2723 : Cet acteur, déjà connu pour des campagnes de phishing d’identifiants ciblant OneDrive, LinkedIn et DocuSign, a commencé à utiliser le phishing par code d’appareil OAuth en octobre. Les premières phases auraient utilisé SquarePhish2, avec un passage potentiel à Graphish.
Activité Étatique Suspectée (UNK_AcademicFlare) : Depuis septembre 2025, un acteur suspecté d’être lié à la Russie utilise l’autorisation de code d’appareil OAuth pour le piratage de comptes. Il utilise des comptes de messagerie gouvernementaux et militaires compromis pour établir un lien avant de partager des liens usurpant OneDrive et dirigeant les victimes vers le flux de phishing. Ces attaques ciblent principalement les secteurs gouvernemental, académique, des groupes de réflexion et des transports aux États-Unis et en Europe.

Aucune vulnérabilité spécifique (CVE) n’est mentionnée dans l’article.

Recommandations :

Pour contrer ces attaques, il est recommandé aux organisations d’utiliser Microsoft Entra Conditional Access dans la mesure du possible et d’envisager l’introduction d’une politique sur l’origine de la connexion.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Microsoft 365 accounts targeted in wave of OAuth phishing attacks

Piratage de comptes Microsoft 365 via des attaques OAuth

Recommandations :

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast