Récemment, des chercheurs en matière de sécurité ont identifié une campagne visant à voler les salaires des employés canadiens en utilisant une combinaison de techniques qui ont déjà connu une croissance au cours des dernières années : de fausses pages de connexion qui interceptent les jetons de session et des règles de plateau d'entrée qui font taire tout avis de ressources humaines. Le groupe derrière ce régime, tracé comme Tempête 2755, il n'a pas accepté de capturer les noms d'utilisateur et les mots de passe : son but était de réutiliser les sessions déjà authentifiées pour se déplacer en toute impunité dans les environnements Microsoft 365 et plateformes de paie.
La mécanique de la fraude fait partie d'une tactique d'hameçonnage classique améliorée : les attaquants placent au sommet des résultats de recherche ou des annonces malveillantes qui imitent les formes de démarrage de Microsoft 365. Lorsque la victime tente de s'authentifier, la page agit comme un mandataire en temps réel - une technique connue sous le nom de adverse-in-the-middle (AiTM) - et capture les cookies et les jetons OAuth émis après une authentification réussie. Ces jetons sont équivalents à une session qui a déjà été reprise, et de sorte que les criminels peuvent les réutiliser pour accéder aux services sans être demandé le mot de passe ou le code multifactor à nouveau. Microsoft explique plus en détail comment ces attaques fonctionnent et le flux suivi de Storm-2755 dans son rapport technique récemment publié.
Un exemple concret qui illustre la tromperie est l'utilisation de domaines légitimes pour abriter de fausses pages (par exemple les noms en cause, bluegraintours [.] com), et la promotion de ces pages par des techniques de dumping ou d'empoisonnement des moteurs de recherche. Le résultat : les victimes qui croient avoir accès à Microsoft 365 lorsqu'elles délivrent les justificatifs et, plus critiquement, la preuve d'une session déjà validée.
Une fois dans un compte compromis, les agresseurs ont mis en place des mesures pour s'assurer que la victime ne détecte pas l'intrusion. Ils créent des règles automatiques dans la boîte de réception qui déplace les courriels de ressources humaines vers des dossiers cachés qui incluent des mots clés tels que "dépôt direct" ou "banque", ce qui empêche l'utilisateur de voir des communications sur les changements de paie. Ils cherchent ensuite des courriels liés à la « paie », à la « RH », au dépôt direct ou au financement « et se présentent comme l'employé pour demander au personnel des ressources humaines de mettre à jour les données bancaires. Lorsque l'ingénierie sociale ne fonctionne pas, les adversaires profitent de la session volée pour entrer directement dans les plateformes de gestion du personnel telles que Workday et modifier les comptes pour détourner les transferts.
Ce type de fraude, connu sous le nom de « pirate de la paie » ou de piratage de la paie, est une variante des systèmes d'engagement de courrier d'affaires (BEC) qui ciblent les organisations et les personnes qui effectuent des transferts réguliers d'argent. L'ampleur du problème est énorme: selon le rapport annuel du FBI, IC3 a reçu en 2025 plus de 24 000 plaintes BEC avec des pertes supérieures à 3 milliards de dollars, ce qui place cette fraude parmi les plus lucratives au niveau mondial. selon le CI3 lui-même.
Les équipes de sécurité ont plusieurs leviers pour réduire le risque de ce vecteur d'attaque, et beaucoup d'entre elles s'en vont en empêchant la réutilisation d'un jeton volé. Les protocoles d'authentification par blocs et les méthodes MFA résistantes au phishing sont des mesures clés. Des organisations comme NIST proposent des lignes directrices sur la gestion de l'identité et l'authentification qui recommandent d'éviter les mécanismes vulnérables; en outre, Microsoft et d'autres plateformes expliquent comment mettre en œuvre des méthodes basées sur FIDO2 ou certifiées qui compliquent grandement le travail des mandataires AiTM. Pour un cadre pratique MFA résistant au phishing, la documentation technique de Microsoft sur cette approche de sécurité est disponible. Voilà. et les guides de contrôle d'accès NIST aident à comprendre les principes sous-jacents dans le présent document.
Si une intrusion est détectée, la réponse rapide est essentielle : révoquer les sessions et les jetons engagés, supprimer les règles sur les plateaux suspects, forcer la restauration des facteurs d'authentification et d'identification et examiner l'accès aux systèmes de paye. Microsoft détaille ces recommandations opérationnelles dans son rapport sur la tempête-2755, et les mesures de confinement devraient combiner les mesures techniques avec un examen médico-légal pour comprendre l'ampleur de l'abus.
Cet incident s'inscrit dans une tendance plus large. En octobre dernier, Microsoft est intervenu pour démanteler une autre campagne de piratage des salaires - attribuée à un autre acteur, Storm-2657 - qui, depuis mars 2025, compromettait les comptes de journées de travail des employés universitaires aux États-Unis. La tactique était similaire: le phishing combiné avec les techniques AiTM pour éviter MFA et prendre le contrôle des boîtes aux lettres d'échange en ligne afin de manipuler les paiements.
Pour les organisations, la leçon est double : d'une part, renforcer les contrôles techniques (ancien bloc d'authentification, résistant au phishing MFA, suivi de session et révocation automatique contre un comportement anormal). D'autre part, adapter les procédures de gestion des ressources humaines et de financement pour valider les changements de comptes bancaires avec plusieurs canaux en dehors du courriel habituel, et garder le personnel de RR. HH formé pour détecter les applications suspectes. Il est également important que les équipes d'approvisionnement de publicité et les reputators de moteur de recherche contrôlent où les annonces sont affichées et surveillent le contenu malveillant possible qui peut promouvoir les pages clonées.
En fin de compte, ces attaques montrent que la sécurité moderne ne dépend plus seulement d'un bon mot de passe ou d'un second facteur traditionnel : les adversaires sophistiqués exploitent leurs propres mécanismes d'authentification pour les transformer en portes d'entrée. Pour être efficace, la défense doit combiner technologie, processus et gouvernance afin qu'une session volée ne soit plus un billet gratuit pour les comptes de paie. Pour ceux qui veulent approfondir, les sources Microsoft et IC3 constituent un point de départ solide et à jour sur la nature de ces menaces et les contre-mesures recommandées.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...