Une équipe de chercheurs en cybersécurité a mis un cas inhabituel mais inquiétant sur la table: la détection de qui, selon leurs constatations, serait le premier complément malveillant pour Microsoft Outlook vu en général. La pièce affectée, une extension appelée AgreeTo, a cessé de suivre son développeur et cette fenêtre était suffisante pour qu'un attaquant profite de son infrastructure distante et transforme l'expérience dans Outlook en un piège de transplantation.
Pour comprendre pourquoi c'était possible, nous devons revoir la prorogations ou ajouts d'office. Contrairement à une application emballée qui livre tout votre code au moment de l'installation, les add-ins Outlook publient un manifeste qui pointe vers une URL distante. Chaque fois que l'utilisateur ouvre le plugin, Outlook charge le contenu que l'URL retourne dans un iframe. Cette flexibilité est utile pour les mises à jour et les services en nuage, mais implique également que le comportement réel du complément dépend entièrement de ce que le serveur sert dans chaque accès. Microsoft décrit ce flux dans sa documentation sur l'utilisation de plugins pour Outlook: https: / / support.microsoft.com /....
Dans l'incident analysé par la société Koi Security, le manifeste complémentaire a indiqué une URL hébergée à Vercel qui a été rendue disponible lorsque le développeur original a retiré son déploiement après avoir quitté le projet. Avec ce nom d'hôte disponible, l'attaquant a téléchargé un kit d'hameçonnage qui présentait une page de connexion Microsoft falsifiée. Les références introduites par les victimes ont été envoyées hors de la plate-forme par l'intermédiaire de l'API Telegram Bot, puis la victime a été redirigée vers la page légitime de Microsoft pour couvrir la piste. Selon les chercheurs de Koi, cette campagne aurait obtenu plus de 4 000 titres volés; Koi détaille ses conclusions dans son rapport technique: https: / / www.koi.ai / blog / conventos-....
Le cas devient plus sérieux pour les permissions avec lesquelles l'ajout a été configuré. Le supplément en question a demandé le permis readWriteItem, qui vous permet de lire et de modifier les courriels de l'utilisateur à partir d'Outlook. Avec ce niveau d'accès, un acteur malveillant aurait pu faire bien plus que des mots de passe volés : Il aurait été possible d'exfilter des messages entiers ou d'injecter du code pour les opérations d'infiltration. Microsoft explique la portée de ces autorisations dans son Guide des autorisations supplémentaires : https: / / learn.microsoft.com /... / compréhension-aspects-add-in-permissions.
Du point de vue de la chaîne d'approvisionnement des logiciels, l'épisode illustre une vulnérabilité structurelle : les marchés qui permettent des dépendances dynamiques donnent, par leur conception, confiance aux artefacts qui peuvent changer après une évaluation initiale. Koi et les experts des médias ont souligné que ce n'est pas unique à Outlook ; des modèles similaires ont été vus dans les extensions de navigateur, les paquets npm et les suppléments d'environnement de développement. Le processus typique, qui consiste à revoir un manifeste au moment de sa publication et à donner son approbation, ne garantit pas que le contenu servi ultérieurement est le même.
Les mesures de confinement proposées par les chercheurs combinent les contrôles techniques et les politiques de plate-forme. Il s'agit notamment de mécanismes qui détectent les écarts entre le contenu révisé et que l'URL retourne en temps réel, de validations de propriété de domaine pour vérifier que l'auteur original continue à gérer l'infrastructure, et de politiques pour marquer ou retirer les suppléments qui ne reçoivent pas de mises à jour après de longues périodes d'abandon. Ils recommandent également d'accroître la visibilité en montrant, par exemple, le nombre d'installations pour évaluer la portée d'un éventuel incident.
En attendant, il y a des mesures pratiques que les utilisateurs et les administrateurs peuvent prendre aujourd'hui pour réduire le risque. Revoir régulièrement les plugins installés dans Outlook, supprimer les add-ins qui ne sont plus utilisés, limiter les permissions au minimum nécessaire et activer les protections de compte tels que l'authentification de plusieurs facteurs sont des mesures de bon sens qui compliquent la vie des attaquants. Pour les organisations, l'audition d'intégrations par des tiers et l'application de contrôles d'accès et de surveillance autour des comptes avec un haut privilège aident à atténuer l'impact si un titre de compétence devient divulgué.
Cet événement est également un appel de réveil pour les opérateurs de marchés: d'approuver un manifeste une fois qu'il ne remplace pas le besoin de surveillance continue de ce que les URL externes servent après. La responsabilité partagée entre les développeurs, les plateformes et les utilisateurs est essentielle pour contenir ce type de risque dans les services qui dépendent de contenus distants dynamiques. Microsoft exige des développeurs qu'ils créent un compte et soumettent leur solution au processus Partner Center pour un premier examen, mais le défi est maintenant de compléter ce gatekeeping par des contrôles permanents; la solution d'envoi guide à AppSource explique une partie du flux de publication: https: / / learn.microsoft.com /... / submit-to-appsource-via-partner-center.
Enfin, il convient de rappeler que les techniques utilisées par cet attaquant - phishing logé dans l'infrastructure revendiquée après l'abandon, exfiltration par les API publiques comme Telegram ( https: / / core.telegam.org / bots / api) et la transmission aux pages légitimes pour éviter la détection - sont des tactiques déjà connues, mais appliquées ici à une nouvelle surface: l'écosystème des add-ins d'Outlook. Les résultats publiés par Koi et la couverture des médias spécialisés sont une invitation à repenser la manière dont les composants distants sont gérés sur les marchés et à exiger une plus grande transparence et des contrôles continus sur ces plateformes. Pour lire l'analyse de Koi et approfondir la technique utilisée, votre rapport est une bonne lecture: Rapport de Koi Security.
Si vous êtes responsable de l'informatique ou de la gestion de comptes d'affaires, prenez ceci comme un rappel pratique: examiner et resserrer l'intégration de tiers aujourd'hui, et demander aux responsables de vos annonceurs préférés d'adopter des contrôles continus. La commodité des suppléments ne devrait pas devenir une porte arrière pour le vol d'information.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...