Octroi OAuth
Jeton d'accès qu'un utilisateur délivre à une application tierce via OAuth, donnant à cette application un droit permanent de lire ou écrire dans un SaaS — souvent au-delà du MFA, souvent à vie.
Un octroi OAuth est le jeton d’accès durable qu’un utilisateur délivre lorsqu’il clique sur « Se connecter avec Google », « Continuer avec Microsoft » ou « Connecter à Slack » sur une application tierce. Derrière le bouton avenant, l’utilisateur consent à un ensemble de scopes — lire vos emails, envoyer en votre nom, lister votre calendrier, modifier vos fichiers Drive — que l’application réceptrice peut utiliser bien après la fin de la session initiale.
OAuth a été conçu pour être plus sûr que l’alternative qu’il a remplacée (le partage de mot de passe). Pari globalement réussi, mais il a introduit une classe de risque inédite : un jeton qui survit à l’utilisateur, qui survit souvent à la relation avec l’éditeur, et qui contourne le MFA une fois émis. Propriétés essentielles :
- Persiste au-delà de la session. La plupart des octrois restent valides jusqu’à révocation explicite. Les refresh tokens font tourner silencieusement les access tokens pendant des années.
- Contourne le MFA à l’usage. Le MFA protège la cérémonie d’octroi ; le jeton lui-même est un identifiant porteur. Un attaquant qui hameçonne l’écran de consentement n’aura plus jamais à affronter le MFA.
- Souvent sur-portée. Les éditeurs demandent les scopes les plus larges qui font marcher leur app dans le plus de cas ; les utilisateurs valident en deux secondes.
- Invisible aux inventaires classiques. Un octroi n’apparaît ni dans l’inventaire des licences SaaS, ni dans l’inventaire endpoint, ni dans les logs réseau.
- Audité mais rarement relu. Google Workspace et Microsoft 365 exposent les journaux d’octrois ; peu d’équipes les consultent réellement.
Les octrois OAuth sont la surface d’attaque silencieuse du périmètre SaaS moderne — le vecteur du phishing OAuth, des extensions de navigateur malveillantes, et d’outils productivité parfaitement innocents qui demandent simplement trop. Voir en continu chaque nouvel octroi, faire remonter les risqués, et envoyer un nudge à l’utilisateur émetteur : c’est précisément la mission de la surveillance SaaS centrée comportement.
Termes liés
- Shadow ITLogiciels, SaaS ou services cloud utilisés dans l'organisation sans approbation IT ou sécurité — invisibles à l'inventaire, non gouvernés, rarement désactivés à la sortie.
- Phishing OAuth / consent phishingAttaque qui amène l'utilisateur à accorder à une application tierce malveillante un accès OAuth persistant à sa messagerie, ses fichiers ou son workspace — contournant entièrement le MFA.
- CASB (Cloud Access Security Broker)Couche d'application des politiques entre les utilisateurs et les SaaS, qui inspecte le trafic et bloque les actions interdites — le modèle « gardien » de la sécurité SaaS.
- Partage public de fichiersPartage d'un fichier ou d'un dossier SaaS via une option « toute personne disposant du lien » qui contourne l'authentification — la fuite silencieuse la plus fréquente dans Drive, SharePoint, Dropbox, Notion.