Il y a quelques jours, un incident inquiétant a révélé combien la chaîne de confiance dans les extensions de courrier peut être brisée lorsqu'un projet est «orphelin». Un complément légitime d'Outlook appelé AgreeTo, initialement créé pour faciliter la programmation de réunion, a été détourné et transformé en un kit d'hameçonnage qui, selon la recherche, est venu recueillir plus de 4000 identifiants de compte Microsoft, ainsi que des données sensibles telles que les numéros de carte et les réponses aux questions de sécurité.
Ce n'était pas un bug dans Outlook, mais la façon dont les adresses Office fonctionnent: Ces suppléments sont essentiellement des pages Web hébergées sur les serveurs développeurs et sont chargées dans le client de Microsoft. Microsoft passe en revue le manifeste add-in au moment de la publication et le signe, mais sauf exceptions, il n'y a aucun contrôle continu sur le contenu que cette URL sert une fois le plugin déjà publié. La documentation officielle explique comment ces suppléments sont intégrés et pourquoi leur contenu peut provenir de n'importe quel serveur externe: cela fait partie de l'architecture Office Add-ins.
Dans le cas de AgreeTo, le développeur original a publié le supplément en décembre 2022 et utilisé une URL hébergée dans Vercel. Au fil du temps, la demande a été abandonnée et le domaine associé à ce déploiement était disponible pour la réclamation. Un acteur malveillant a profité de cette occasion pour pointer l'URL sur un ensemble de pages conçues pour tromper l'utilisateur : une réplique de la page de connexion de Microsoft, une page pour recueillir des mots de passe, un script pour envoyer ces données à l'attaquant et une réadresse après la page légitime pour déguiser le vol.
Le mécanisme d'exfiltration était étonnamment direct: Les données volées ont été envoyées via l'API Telegram Bot, un canal que les chercheurs de Koi Security ont réussi à localiser et à utiliser pour confirmer l'ampleur de l'attaque. À la suite de cet accès, les analystes ont constaté que les exploitants avaient recueilli des milliers de justificatifs et qu'ils testaient activement les comptes volés pour en vérifier la validité. Le rapport technique de l'équipe qui a découvert l'incident contient toutes les constatations et l'analyse de la trousse d'hameçonnage : Koi Security: enquête d'accord.
Les informations ont été recueillies par des médias spécialisés qui ont souligné la portée et l'unicité de l'affaire: selon les rapports, il pourrait s'agir du premier exemple documenté d'un complément malveillant opérant à partir du magasin officiel Microsoft et exploitant la confiance implicite que les utilisateurs placent sur le marché. Entre autres couvertures, BleepingComputer rapporté sur la recherche et la réaction initiale.
Du point de vue technique, l'ajout a conservé des permissions qui lui auraient permis de lire et de modifier des messages (ReadWriteItem). Bien que Koi n'ait trouvé aucune preuve que l'acteur les ait utilisés pour manipuler le courrier ou créer des règles de renvoi, la simple possession de ces permis augmente le risque : une extension malveillante avec la possibilité de modifier la boîte aux lettres pourrait voler des informations supplémentaires ou ouvrir des routes persistantes dans un compte compromis.
Comment avez-vous profité de la situation ? Le flux de l'escroquerie était simple et efficace. Lorsqu'un utilisateur a ouvert l'extension sur la barre latérale Outlook, au lieu de voir l'interface de programmation attendue, un formulaire semblait être le véritable écran d'authentification Microsoft. Lorsqu'ils ont introduit des identifiants, ils ont été envoyés au serveur contrôlé par l'agresseur et, ensuite, la victime a été redirigée vers la page de connexion réelle de sorte que le comportement semblait légitime et l'utilisateur n'a pas immédiatement suspecté.
Les attaquants ont également démontré un modèle: Koi Security souligne que l'opérateur derrière ce kit gère de multiples collections de pages d'hameçonnage adressées aux fournisseurs de services, banques et courriers web. Cela suggère un modèle d'affaires récurrent basé sur des trousses réutilisables qui sont déployées là où il y a une opportunité, et dans ce cas l'occasion est apparue parce qu'un complément approuvé a été laissé sans maintenance et son URL a été réclamé.
Qu'ont fait Microsoft et les chercheurs? Les analystes Koi ont détecté l'activité, accédé au canal d'exfiltration et documenté l'étendue du vol. Après la divulgation, Microsoft a retiré le plugin du magasin. Il est important de se rappeler que le retrait rapide d'un add-in ne répare pas automatiquement les comptes déjà engagés; par conséquent, la communication des conclusions et des recommandations aux utilisateurs est essentielle dans ces cas.
Si vous avez l'extension AgreementTo installée dans votre Outlook ou soupçonnez que votre compte aurait été affecté, agissez rapidement. Tout d'abord, supprimez le plugin et changez votre mot de passe de compte Microsoft. Il active l'authentification multifactor si vous ne l'avez pas encore activée : une protection supplémentaire réduit fortement l'efficacité des identifiants volés. Microsoft explique comment MFA fonctionne et pourquoi c'est une barrière essentielle : plus sur l'authentification multifactorielle. Il convient également d'examiner la récente activité de connexion, de fermer les sessions ouvertes et de vérifier s'il existe des règles de transmission ou des autorisations suspectes dans la boîte aux lettres.
Ce cas laisse plusieurs leçons claires pour les utilisateurs et les plateformes: Les marchés des extensions devraient améliorer leurs contrôles continus sur le contenu d'une URL approuvée, surtout lorsque cette URL change de propriétaire ou que le développeur cesse de la maintenir. Pour les utilisateurs, la prudence va en limitant les autorisations aux formulaires de connexion strictement nécessaires, méfiant des sites ou des applications que vous ne vous attendiez pas et en utilisant des mots de passe uniques avec les gestionnaires et MFA. Pour les gestionnaires et les responsables de la sécurité, il est essentiel de vérifier régulièrement les extensions installées dans les environnements ministériels et de mettre en œuvre des politiques qui empêchent l'installation de suppléments non vérifiés par le service informatique.
Si vous voulez entrer dans les détails techniques de l'attaque, l'enquête Koi Security offre une analyse détaillée du kit et des indicateurs d'engagement. Pour comprendre comment fonctionne l'API utilisée par les attaquants pour exfilter les données, la documentation officielle de Telegram sur les robots et son API précise pourquoi ce canal a été choisi: API Telegram Bot. Et si vous avez besoin de gérer les suppléments organisationnels, Microsoft a des guides de gestion sur la façon de contrôler et supprimer les add-ins dans les environnements Microsoft 365: gestion des add-ins dans Microsoft 365.
Bref, l'épisode AgreementTo rappelle que la sécurité ne se termine pas lorsqu'un logiciel est publié dans un magasin officiel : une surveillance continue, tant par les plateformes que par les utilisateurs, est essentielle pour que l'écosystème des suppléments reste utile et sûr. Si vous avez des doutes sur les mesures concrètes à prendre après une exposition éventuelle, consultez le support officiel ou votre équipe de sécurité et prioriser le blocage de l'accès immédiat en modifiant les clés et en activant MFA.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...