Phishing OAuth / consent phishing
Attaque qui amène l'utilisateur à accorder à une application tierce malveillante un accès OAuth persistant à sa messagerie, ses fichiers ou son workspace — contournant entièrement le MFA.
Le phishing OAuth — aussi appelé consent phishing ou octroi de consentement illicite — est une attaque qui dirige l’utilisateur vers un vrai écran de consentement OAuth Microsoft ou Google, mais pour une application contrôlée par l’attaquant, et le convainc de cliquer sur Autoriser. Le mot de passe et le MFA ne quittent jamais le fournisseur d’identité légitime ; les couches de détection orientées vol d’identifiants ne voient rien. Ce qui est cédé, c’est un jeton OAuth qui permet à l’application malveillante de lire la messagerie, exfiltrer le Drive, envoyer au nom de l’utilisateur, ou maintenir cet accès aussi longtemps que le jeton n’est pas révoqué.
Propriétés caractéristiques :
- Indifférent au MFA. L’utilisateur s’authentifie sur le vrai Microsoft ou Google. Le jeton est ensuite émis normalement. Push, TOTP, et même les clés FIDO2 ne bloquent pas l’octroi — ils l’autorisent.
- Persistant. Les refresh tokens vivent souvent plusieurs mois. Une réinitialisation de mot de passe ne les révoque pas ; seule une révocation explicite y parvient.
- Discret pour les filtres. Les appels API qui suivent viennent de plages IP Microsoft / Google avec des jetons valides — ils ne ressemblent en rien à une alerte de vol d’identifiants.
- Réutilise la confiance de marque. L’écran de consentement est une vraie UI Microsoft / Google ; l’attaquant ne contrôle que le nom de l’application et les scopes demandés.
L’avis Microsoft de 2021 sur le « OAuth phishing » et les activités d’acteurs comme Storm-0558 ont fait passer la technique du registre théorique à celui du tradecraft standard. Les défenseurs répondent généralement par des politiques de consentement admin, des exigences de vérification d’application et des restrictions tenant sur les scopes — mais ces contrôles ne valent que si le catalogue et la politique restent à jour.
La couche comportementale compte parce que le résidu est précisément ce qui passe : un outil de productivité à l’apparence anodine qui demande « lire votre messagerie » ou « lire vos fichiers », scopé juste assez étroitement pour qu’aucune politique admin ne le bloque. Le levier défensif est la reconnaissance — via simulation ciblée et nudge à la seconde de l’octroi — que tout écran de consentement OAuth demandant un scope messagerie, fichiers ou send-as mérite la même méfiance qu’une page d’identifiants. Voir aussi octroi OAuth pour le schéma de risque SaaS sous-jacent et shadow IT pour le catalogue plus large d’expositions non gérées.
Termes liés
- Hameçonnage (phishing)Attaque d'ingénierie sociale qui usurpe l'identité d'un tiers de confiance pour obtenir des identifiants, de l'argent ou un accès — par e-mail, SMS, voix, QR code ou consentement OAuth.
- Spear-phishingAttaque de phishing ciblée sur une personne ou un petit groupe, exploitant l'OSINT public pour atteindre une crédibilité que le phishing de masse n'a pas.
- Octroi OAuthJeton d'accès qu'un utilisateur délivre à une application tierce via OAuth, donnant à cette application un droit permanent de lire ou écrire dans un SaaS — souvent au-delà du MFA, souvent à vie.
- Authentification multi-facteur (MFA)Schéma d'authentification exigeant au moins deux facteurs indépendants — ce que l'on sait, possède ou est — pour vérifier un utilisateur et renchérir le vol d'identifiants.
- Shadow ITLogiciels, SaaS ou services cloud utilisés dans l'organisation sans approbation IT ou sécurité — invisibles à l'inventaire, non gouvernés, rarement désactivés à la sortie.