Proofpoint a mis en garde contre les campagnes de phishing abusant du flux d’autorisation légitime des appareils pour contourner la MFA et obtenir un accès persistant.
Les cybercriminels et les pirates informatiques parrainés par l’État exploitent de plus en plus le processus légitime d’autorisation des appareils OAuth 2.0 de Microsoft pour détourner des comptes d’entreprise, contournant les protections d’authentification multifactorielle et obtenant un accès persistant aux données organisationnelles sensibles, selon un rapport.
Les chercheurs de Proofpoint ont suivi plusieurs groupes de menaces – à la fois motivées par des raisons financières et alignées sur l’État – qui utilisaient des techniques de phishing par code d’appareil pour inciter les utilisateurs à accorder un accès non autorisé à leurs comptes Microsoft 365. Les campagnes se sont multipliées depuis septembre 2025, ce qui représente un passage significatif d’attaques limitées et ciblées à une exploitation généralisée.
« Bien qu’il ne s’agisse pas nécessairement d’une technique nouvelle, il est remarquable de la voir de plus en plus utilisée par plusieurs groupes de menaces », a écrit l’équipe de recherche sur les menaces Proofpoint dans un article de blog.
Cette tactique représente une évolution des techniques que des groupes à motivation financière ont utilisées plus tôt cette année pour violer les environnements Salesforce de Google, Qantas et des marques de luxe par le biais d’abus OAuth similaires, affectant des centaines d’organisations. Ces attaques Salesforce, qui ont débuté en juin 2025, utilisaient le phishing vocal. La vague actuelle abandonne les appels téléphoniques pour l’ingénierie sociale basée sur le courrier électronique, ce qui facilite la mise à l’échelle des attaques.
Un processus légitime devenu malveillant
Les attaques abusent du flux d’autorisation des appareils d’OAuth, conçu pour l’authentification sur des appareils à entrées limitées comme les téléviseurs intelligents et les appareils IoT. Selon le billet de blog, les acteurs malveillants lancent le processus légitime d’autorisation des appareils Microsoft, puis incitent les victimes à saisir le code de l’appareil généré – déguisé en mot de passe à usage unique – sur la propre URL de vérification de Microsoft.
« Les leurres prétendent généralement que le code de l’appareil est un OTP et demandent à l’utilisateur de saisir le code sur l’URL de vérification de Microsoft », ont écrit les chercheurs. « Une fois que l’utilisateur a saisi le code, le jeton d’origine est validé, donnant à l’acteur malveillant l’accès au compte M365 ciblé. »
Les attaques réussies permettent le piratage de comptes, l’exfiltration de données, les mouvements latéraux au sein des réseaux et l’établissement d’un accès persistant aux ressources de l’entreprise. Dans certains cas, les données volées deviennent la base de tentatives d’extorsion, comme l’a démontré ShinyHunters dans ses campagnes Salesforce.
Outils du métier
Ce qui explique cette hausse, c’est la disponibilité d’outils qui facilitent l’exécution de ces attaques. Proofpoint a identifié deux kits principaux : SquarePhish2 et Graphish.
SquarePhish2 est une version mise à jour d’un outil initialement publié par Dell Secureworks en 2022. Il automatise le flux d’autorisation d’octroi de périphérique OAuth et intègre la fonctionnalité de code QR.
Le kit de phishing Graphish, partagé sur des forums de piratage criminel approuvés, permet la création de pages de phishing convaincantes exploitant les enregistrements d’applications Azure et les capacités d’attaque de l’adversaire au milieu. « L’outil est conçu pour être convivial et ne nécessite pas d’expertise technique avancée, ce qui réduit les barrières à l’entrée et permet même aux acteurs malveillants peu qualifiés de mener des campagnes de phishing sophistiquées », ont écrit les chercheurs de Proofpoint sur le blog.
Ces outils aident les attaquants à surmonter une limitation clé : les codes d’appareil sont généralement de courte durée. L’automatisation permet des campagnes à plus grande échelle qu’auparavant.
Les acteurs étatiques se joignent aux cybercriminels
Depuis janvier 2025, Proofpoint a suivi plusieurs acteurs malveillants alignés sur l’État abusant de l’autorisation du code de périphérique OAuth pour le contrôle de compte, ce qui représente une évolution inquiétante dans le domaine de l’espionnage.
« Cette technique a été la plus largement utilisée par les acteurs de la menace alignés sur la Russie », ont noté les chercheurs, citant des rapports antérieurs de la société de sécurité Volexity. Proofpoint a également observé des activités suspectées d’alignement sur la Chine et d’autres campagnes d’espionnage non attribuées.
Un groupe, appelé UNK_AcademicFlare, mène du phishing par code d’appareil depuis au moins septembre 2025. L’acteur présumé proche de la Russie utilise des adresses e-mail compromises d’organisations gouvernementales et militaires pour cibler des entités du gouvernement, des groupes de réflexion, de l’enseignement supérieur et des transports aux États-Unis et en Europe.
UNK_AcademicFlare établit généralement des relations avec les patients via une sensibilisation bénigne avant de lancer des tentatives de phishing sur le code de l’appareil. Le groupe utilise des comptes compromis pour organiser des réunions ou des entretiens fictifs, puis partage des liens malveillants vers des URL Cloudflare Worker usurpant des comptes OneDrive.
Les chercheurs de Volexity ont documenté des tactiques similaires lors de campagnes récentes au cours desquelles des acteurs russes ont créé de faux sites Web se faisant passer pour des conférences européennes légitimes sur la sécurité pour inciter les participants à accorder un accès OAuth.
Des campagnes généralisées ciblent les leurres financiers
Les auteurs de menaces motivés par des raisons financières ont également adopté le phishing par code d’appareil. Proofpoint a mis en évidence l’activité de TA2723, un acteur de phishing d’informations d’identification à grand volume connu pour ses campagnes d’usurpation d’identité de Microsoft OneDrive, LinkedIn et DocuSign.
À partir d’octobre 2025, TA2723 a lancé des campagnes utilisant des leurres sur le thème des salaires et des avantages sociaux. Une campagne a utilisé des messages électroniques prétendant contenir des documents intitulés « OCTOBER_SALARY_AMENDED » et « Salary Bonus + Employer Benefits Reports 25 ».
Les messages dirigeaient les destinataires vers des URL qui menaient finalement à des pages d’autorisation de code d’appareil où les victimes étaient amenées à générer et à saisir des codes d’accès à usage unique. Les chercheurs de Proofpoint soupçonnent que TA2723 a utilisé à la fois les outils SquarePhish2 et Graphish au cours de différentes vagues de campagne.
La campagne ShinyHunters 2025 a démontré les dégâts potentiels. Dans un incident d’abus OAuth distinct mais connexe, des acteurs malveillants ont exploité des jetons OAuth volés dans l’intégration Salesloft/Drift pour accéder aux instances Salesforce de centaines d’organisations. Des entreprises, notamment Cloudflare, Zscaler et Tenable, ont divulgué publiquement tout accès non autorisé aux données, déclenchant ainsi des exigences de notification des violations.
Les organisations recommandées par Proofpoint créent des politiques d’accès conditionnel pour bloquer entièrement le flux de code des appareils ou mettre en œuvre des listes d’autorisation pour les utilisateurs et les plages IP approuvés. « La sensibilisation au phishing traditionnelle met souvent l’accent sur la vérification de la légitimité des URL. Cette approche ne traite pas efficacement le phishing par code d’appareil, où les utilisateurs sont invités à saisir un code d’appareil sur le portail Microsoft de confiance », ont écrit les chercheurs.
Microsoft n’a pas répondu à une demande de commentaires sur les résultats.
