OAuth détourné : comment de fausses applications Adobe piègent les utilisateurs Microsoft 365

Des applications OAuth malveillantes imitant Adobe et DocuSign ciblent actuellement les utilisateurs Microsoft 365. Cette campagne sophistiquée, découverte par Proofpoint, exploite la confiance accordée à ces services populaires pour dérober des identifiants et distribuer des logiciels malveillants, principalement en Europe et aux États-Unis.

L'hameçonnage nouvelle génération

Le protocole OAuth, devenu standard pour l'authentification aux services en ligne sans transmettre de mot de passe, se retrouve aujourd'hui détourné par des cybercriminels. Contrairement aux tentatives de phishing classiques visant à dérober directement un mot de passe, cette approche plus subtile manipule les autorisations d'accès.

Si les attaques par applications OAuth malveillantes sont documentées depuis plusieurs années, leur sophistication et leur efficacité continuent de s'améliorer. La particularité de cette campagne réside dans l'imitation parfaite de services légitimes très répandus en entreprise : Adobe Drive, Adobe Drive X, Adobe Acrobat et DocuSign.

Une attaque orchestrée en trois temps

Le mode opératoire suit un schéma bien établi. Tout commence par l'envoi d'un email provenant d'une adresse légitime — généralement un compte compromis appartenant à une petite entreprise ou une organisation caritative. Cette première étape établit la confiance avec le destinataire qui reconnaît souvent l'expéditeur.

L'email contient un lien renvoyant vers une application OAuth malveillante qui se fait passer pour un service Adobe ou DocuSign. Pour éviter d'éveiller les soupçons, ces applications ne demandent que des autorisations limitées : accès au profil (nom, identifiant, photo) et à l'OpenID permettant de confirmer l'identité de l'utilisateur. Ces permissions, en apparence anodines, suffisent pourtant à créer un premier point d'ancrage dans le système.

La troisième phase se déclenche après l'accord de l'utilisateur. Celui-ci est redirigé vers une fausse page de connexion Microsoft 365 ou vers un téléchargement de fichier piégé. "Moins d'une minute après l'autorisation, Proofpoint a détecté une activité de connexion suspecte sur le compte", précisent les chercheurs. Les cybercriminels exploitent notamment la technique "ClickFix", une méthode d'ingénierie sociale qui pousse l'utilisateur à exécuter lui-même les actions malveillantes.

Des cibles stratégiques dans des secteurs sensibles

Ces attaques ne frappent pas au hasard. Les chercheurs de Proofpoint ont identifié des cibles précises, principalement situées en Europe et aux États-Unis. Les secteurs les plus visés incluent les administrations gouvernementales, les établissements de santé, les acteurs de la chaîne d'approvisionnement et la grande distribution.

Pour manipuler leurs victimes, les attaquants utilisent souvent des leurres liés à la signature de contrats ou de documents professionnels, exploitant ainsi la légitimité naturelle des services d'Adobe et de DocuSign dans ces domaines. Cette stratégie ciblée suggère une reconnaissance préalable des organisations visées et une préparation minutieuse.

Se protéger efficacement contre ces menaces avancées

Face à ces attaques, plusieurs mesures préventives s'imposent :

• Vérifier systématiquement l'authenticité de toute demande d'autorisation OAuth, particulièrement lorsqu'elle arrive de façon inattendue.
• Gérer activement les autorisations en effectuant un audit régulier des applications connectées au compte Microsoft 365. Pour cela, rendez-vous sur le portail "Mes applications" de Microsoft, puis dans "Gérer vos applications".
• Au niveau organisationnel, limiter globalement la capacité des utilisateurs à accorder des autorisations aux applications tierces. Cette restriction se configure dans la console d'administration Azure Active Directory, via "Applications d'entreprise > Consentement et autorisations".
• Maintenir l'authentification multifactorielle qui, même si elle ne protège pas entièrement contre ce type d'attaque, complique considérablement la tâche des pirates.

La vigilance reste la première ligne de défense

Les cybermenaces évoluent constamment et les attaques par applications OAuth frauduleuses illustrent cette sophistication croissante. La vigilance des utilisateurs reste la première ligne de défense contre ces techniques d'ingénierie sociale avancées qui exploitent davantage la confiance que les vulnérabilités techniques.

Pour les organisations, la formation régulière des collaborateurs aux risques cybernétiques devient aussi cruciale que les mesures techniques. Comprendre le fonctionnement de ces attaques permet de mieux identifier les signaux d'alerte et de maintenir une posture de sécurité adaptée face à des menaces en perpétuelle évolution.

Pour plus d'informations sur la sécurité OAuth, consultez la documentation officielle de Microsoft.