Microsoft alerte sur une campagne de phishing sophistiquée exploitant une faille méconnue dans l’authentification par code d’appareil. Cette méthode permet aux hackers d’accéder aux emails et fichiers Microsoft 365, sans mots de passe. Qui est visé ? Comment se protéger ? Découvrez les détails de cette menace inédite.
Microsoft alerte sur une cyberattaque inédite : comment les hackers accèdent à vos emails !
Par Zineb Mouhoubi
Publié le 17/02/2025 à 19:27
Microsoft a identifié une campagne de phishing sophistiquée, menée par un groupe de cybercriminels nommé Storm-2372. Ces attaquants exploitent une faille dans l’authentification par code d’appareil, leur permettant d’accéder aux comptes Microsoft 365 de nombreuses organisations. La menace, en cours depuis août 2024, vise plusieurs secteurs stratégiques, notamment la défense, les télécommunications et l’énergie.
Une attaque ciblée contre des organisations sensibles
Dans un rapport publié par Microsoft, l’entreprise révèle que Storm-2372 cible principalement des gouvernements, des ONG et des entreprises technologiques en Europe, Amérique du Nord, Afrique et au Moyen-Orient. Selon Microsoft Threat Intelligence, ces cyberattaques correspondent aux intérêts d’un État-nation, sans toutefois identifier formellement les responsables.
Les attaquants utilisent une technique de phishing spécifique, détournant le processus d’authentification par code, souvent utilisé pour connecter des appareils sans clavier ni navigateur. Ils contactent leurs victimes via WhatsApp, Signal ou Microsoft Teams, en se faisant passer pour des personnalités influentes. Une fois la confiance établie, ils envoient un faux lien de connexion accompagné d’un code d’appareil généré par leurs soins. L’utilisateur, pensant valider une authentification légitime, entre ce code sur une page officielle, donnant ainsi aux pirates un accès direct à son compte.
Eine mutmaßlich russische Hackergruppe namens Storm-237 hat eine #Phishing-Kampagne gestartet, die sich gezielt gegen #Microsoft365-Konten richtet. Die Angreifer nutzen dabei eine eigentlich für Geräte ohne Tastatur gedachte Authentifizierungsmethode aus. https://t.co/Pednm3HoUt
— it security (@it__security) February 17, 2025
Un détournement du processus d’authentification qui facilite l’intrusion
Contrairement aux attaques de phishing traditionnelles, cette méthode ne cherche pas à voler un mot de passe, mais à exploiter une fonctionnalité d’authentification légitime. Une fois le code d’appareil entré, les hackers obtiennent un jeton d’accès leur permettant d’accéder aux emails, fichiers stockés sur le cloud et autres services Microsoft 365 liés au compte compromis.
Dans son rapport, Microsoft précise que Storm-2372 ne se contente pas d’accéder aux comptes, mais cherche à prolonger son infiltration. Les attaquants peuvent enregistrer un nouvel appareil dans Entra ID, la solution de gestion des identités de Microsoft, afin d’obtenir un jeton d’accès prolongé. Cela leur permet de collecter des emails et d’effectuer des recherches ciblées sur des mots-clés sensibles, comme les identifiants administratifs ou des termes liés aux infrastructures critiques.
Face à cette menace, Microsoft recommande de désactiver l’authentification par code lorsque cela est possible et d’appliquer des politiques d’accès conditionnel pour limiter les connexions aux seuls appareils de confiance. L’entreprise insiste sur l’importance de révoquer immédiatement les sessions suspectes et d’effectuer une surveillance accrue des tentatives d’authentification inhabituelles. Cette campagne illustre une évolution des cyberattaques, exploitant des mécanismes méconnus pour contourner les protections traditionnelles.