Un nouveau kit malveillant appelé EvilTokens a de nouveau mis sur la table une technique qui, bien que connue de la communauté de la sécurité, continue d'être efficace et dangereuse: l'abus du flux d'autorisation pour les appareils OAuth 2.0 pour enlever des comptes d'entreprise. Les chercheurs de l'entreprise de détection et d'intervention de Sekoia ont documenté des campagnes qui utilisent ce kit et confirment qu'il s'agit d'un service frauduleux en constante évolution, offert aux acheteurs par Telegram et dans l'intention déclarée d'étendre sa portée à d'autres plateformes telles que Gmail et Okta. Vous pouvez lire l'analyse technique et les indicateurs d'engagement dans le rapport de Sekoia publié par les chercheurs.
La technique qui exploite ces attaques est basée sur le « flux de code d'appareil » d'OAuth 2.0, conçu à l'origine pour permettre l'authentification sur des appareils avec des interfaces limitées. Essentiellement, le flux génère un code de périphérique que l'utilisateur final doit entrer ou autoriser à partir d'un navigateur dans un deuxième périphérique; le problème apparaît lorsque ce processus est manipulé de sorte que la victime, croyant être valide un service légitime, finit par livrer à l'attaquant accès et jetons de rafraîchissement. La norme décrite dans ce mécanisme est accessible au public dans la spécification RFC 8628 Voilà., et Microsoft documente également sa mise en œuvre et son utilisation dans Azure AD dans sa documentation pour les développeurs sur le débit du dispositif.
Dans les campagnes analysées par Sekoia, la porte d'entrée n'est pas un courrier binaire ou une explosion complexe, mais un leurre bien fait: documents en formats réguliers - PDF, HTML, DOCX, XLSX ou même SVG - contenant un code QR ou un lien vers des modèles d'hameçonnage créés par EvilTokens. Ces leurres imitent des documents commerciaux crédibles, tels que les bons de commande, les avis de paie, les invitations à des réunions ou les fichiers dits partagés par des services de fiducie tels que DocuSign ou SharePoint; par conséquent, ils ciblent souvent des profils spécifiques au sein des entreprises, en particulier les finances, les ressources humaines, la logistique ou les ventes. Lors de l'ouverture du lien, la victime trouve une page qui simule être un service légitime et demande une vérification par code; après avoir appuyé sur un bouton - par exemple "Continuer Microsoft" - elle est redirigée vers le site de connexion Microsoft authentique pour compléter l'autorisation, sans soupçonner que le même acte donne des pouvoirs à l'agresseur.
Le vecteur d'abus est ingénieux parce que l'agresseur utilise une application client légitime pour demander le code de périphérique et, en guidant la victime à entrer dans l'URL authentique de Microsoft, obtient à la fois un jeton d'accès temporaire et un jeton de rafraîchissement qui permet de maintenir l'accès persistant. Avec ces jetons, l'attaquant peut non seulement lire et envoyer des courriels, accéder aux fichiers et aux conversations d'équipes, ou se déplacer latéralement à travers des services avec une seule connexion, mais aussi automatiser les actions d'engagement d'entreprise (BEC) pour supplanter des identités, déplacer de l'argent ou extraire des informations sensibles. Sekoia a identifié des opérations internationales; les pays les plus touchés sont les États-Unis, le Canada, la France, l'Australie, l'Inde, la Suisse et les Émirats arabes unis.
La chose la plus inquiétante est que EvilTokens est commercialisé comme un service physique-as@-@ a@-@ (PhaaS), ce qui facilite l'utilisation de ce service à grande échelle pour les acteurs ayant différents niveaux de compétence. Selon les chercheurs, le kit intègre divers modèles et outils d'automatisation spécifiquement conçus pour faciliter les attaques de remplacement d'entreprises, et l'auteur annonce déjà un soutien futur pour d'autres fournisseurs d'identité. Ce modèle d'affaires réduit la barrière d'entrée pour les campagnes de masse et, en centralisant le développement en un seul kit évolutif, permet aux opérateurs de mettre à jour rapidement les modèles et les techniques.
Pour les organisations et les défenseurs, il existe une combinaison de mesures techniques et de sensibilisation qui peuvent atténuer ce risque. La première ligne de défense est la prévention et la segmentation de l'utilisation des flux d'OAuth : examiner quelles applications ont accès aux permis, appliquer des politiques de consentement pour les applications et limiter l'utilisation du flux de code d'appareil lorsque ce n'est pas nécessaire. De plus, les contrôles d'accès conditionnel et les politiques qui évaluent la réputation, l'emplacement ou le risque de session du client peuvent bloquer les tentatives anormales d'obtenir des jetons. En parallèle, la détection devrait inclure l'analyse des jetons émis, des alertes sur les jetons de rafraîchissement appliqués à des endroits inattendus et la vérification des consentements de demande. Les équipes d'intervention peuvent s'appuyer sur les règles YARA et IoC que Sekoia a mises à disposition dans son rapport pour identifier les infrastructures liées à EvilTokens et les modèles de campagne.
La composante humaine ne doit pas être oubliée : l'ingénierie sociale reste le vecteur le plus efficace. C'est pourquoi il est crucial que les employés soient formés pour identifier les courriels avec des documents suspects, vérifier l'authenticité des expéditeurs et éviter de scanner les codes QR ou de presser des liens non vérifiés. Les organisations devraient promouvoir des procédures claires pour confirmer les demandes d'informations ou de transferts sensibles et fournir d'autres canaux sûrs pour valider les communications critiques; en cas de doute quant à la légitimité d'une ressource, vérifier l'URL et confirmer par d'autres moyens, il évite de nombreux incidents.
Pour approfondir le fonctionnement du flux d'appareils et les raisons pour lesquelles il peut être exploité, il est recommandé de revoir à la fois les spécifications techniques d'OAuth 2.0 pour les codes d'appareils (RFC 8628) et les guides de mise en œuvre des fournisseurs d'identité que votre entreprise utilise. De plus, des lignes directrices générales sur la mise en oeuvre et les engagements de courrier d'affaires publiés par les agences de cybersécurité aident à contextualiser les menaces et les meilleures pratiques pour réagir. Ressources utiles incluent la documentation Microsoft sur le flux de l'appareil et l'analyse de Sekoia sur EvilTokens, ainsi que des documents d'agences comme la CISA sur la fraude par courrier d'entreprise liés à la BEC et recommandations des centres nationaux de sécurité sur le phishing et les bonnes pratiques sur le Web.
Bref, EvilTokens est un rappel solide que les menaces évoluent au point où la commodité technique est croisée avec la confiance humaine. Il ne s'agit pas seulement de couvrir un échec technique, mais de resserrer la culture de sécurité et les contrôles d'identité. réduire à la fois la surface exposée et l'impact d'un titre compromis. Les organisations qui combinent des politiques d'accès strictes, une surveillance active des jetons et une formation ciblée en génie social seront mieux préparées à détecter et à neutraliser ces attaques avant qu'elles ne causent des dommages importants.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...