Pendant longtemps, le phishing reposait sur des techniques relativement simples : imiter une page de connexion, tromper l’utilisateur avec un domaine proche de l’original et récupérer ses identifiants. Cette mécanique reste présente, mais elle évolue rapidement. Les campagnes modernes cherchent de moins en moins à reproduire un service et de plus en plus à exploiter directement les mécanismes d’authentification réels. L’apparition d’attaques reposant sur le détournement des redirections OAuth en constitue une illustration particulièrement révélatrice.
Ces attaques ne reposent pas sur une faille logicielle au sens classique du terme. Elles exploitent au contraire un comportement prévu par le protocole. C’est précisément ce qui les rend efficaces. Lorsqu’un mécanisme conçu pour simplifier l’authentification devient un vecteur d’attaque, la frontière entre usage légitime et détournement devient beaucoup plus difficile à distinguer.
OAuth 2.0 s’est imposé au fil des années comme l’un des piliers de l’authentification moderne. Utilisé par les grandes plateformes cloud, les services SaaS et de nombreuses applications professionnelles, ce protocole permet à une application d’accéder à certaines ressources d’un utilisateur sans avoir besoin de connaître son mot de passe. L’utilisateur délègue ainsi une autorisation à un service tiers via un fournisseur d’identité, souvent Microsoft, Google ou un autre acteur majeur de l’écosystème numérique.
Dans son principe, OAuth est un mécanisme de confiance. Il simplifie l’expérience utilisateur, facilite l’intégration entre services et permet de centraliser la gestion des identités. Mais cette centralité en fait également une cible de choix pour les attaquants. Lorsqu’un protocole devient omniprésent dans les architectures numériques, toute possibilité de détournement prend mécaniquement une dimension stratégique.
Les campagnes observées récemment s’appuient sur ce principe. Des acteurs malveillants enregistrent d’abord une application OAuth dans un environnement qu’ils contrôlent, par exemple un tenant cloud. Ils configurent ensuite l’URI de redirection de cette application vers une infrastructure malveillante. Ce paramètre, parfaitement légitime dans le fonctionnement normal du protocole, indique au fournisseur d’identité où renvoyer l’utilisateur après une tentative d’authentification.
L’étape suivante consiste à générer des liens d’authentification OAuth qui paraissent authentiques. Ces liens utilisent des domaines et des paramètres associés au fournisseur d’identité légitime. Pour les systèmes de filtrage des e-mails ou pour l’utilisateur lui-même, l’URL ne présente rien d’anormal. Elle renvoie vers une plateforme reconnue et utilise un protocole standard.
C’est ici que la mécanique de l’attaque se met en place. Les attaquants introduisent volontairement des paramètres invalides dans la requête d’authentification. Cette anomalie déclenche une erreur au niveau du fournisseur d’identité. Or, dans le fonctionnement normal du protocole OAuth, ce type d’erreur entraîne une redirection vers l’URI configuré par l’application.
Autrement dit, la redirection vers l’infrastructure malveillante n’est pas le résultat d’une compromission du fournisseur d’identité. Elle est la conséquence d’un comportement conforme au protocole. Ce détail technique transforme un mécanisme de gestion d’erreur en vecteur d’attaque.
Pour les outils de sécurité, la situation devient particulièrement complexe. Les filtres anti-phishing analysent généralement la réputation des domaines, la structure des URL et la présence éventuelle de contenu malveillant. Dans ce cas précis, la requête initiale est dirigée vers un domaine légitime et respecte les standards d’authentification. Le signal de danger apparaît seulement après la redirection, souvent trop tard pour être bloqué.
« La confiance technique devient alors la surface d’attaque. »
Les campagnes observées ne se limitent pas à la redirection vers une page de phishing classique. Dans certains cas, les victimes sont dirigées vers des pages utilisant des frameworks d’attaque de type attaquesattaques Man-in-the-Middle (MitM) , comme EvilProxy. Ces outils permettent d’intercepter la session d’authentification en temps réel et de capturer les cookies associés à la connexion.
Cette technique modifie profondément la nature de l’attaque. L’objectif n’est plus seulement de voler un mot de passe. Il s’agit d’obtenir une session authentifiée valide. Une fois cette session capturée, l’attaquant peut accéder aux services de la victime sans déclencher immédiatement les mécanismes de protection liés à l’authentification multifactorielle.
Dans d’autres scénarios observés, la redirection mène vers une étape différente : un téléchargement malveillant présenté comme un document ou un fichier nécessaire à la procédure. L’utilisateur reçoit alors une archive ZIP contenant plusieurs fichiers. Parmi eux se trouvent souvent des raccourcis Windows au format .LNK.
L’ouverture de ces fichiers déclenche l’exécution d’un script PowerShell qui commence par effectuer une reconnaissance du système. Cette étape permet d’identifier l’environnement de la machine compromise et de préparer l’intrusion suivante. Le script peut ensuite procéder à un chargement indirect de bibliothèque dynamique, technique connue sous le nom de DLL sideloading.
Dans ce type de scénario, une DLL malveillante est déchiffrée et chargée directement en mémoire, tandis qu’un exécutable légitime est lancé en parallèle pour détourner l’attention de l’utilisateur. La combinaison de ces techniques permet de maintenir une apparence normale tout en installant une charge malveillante sur le système.
« Le phishing cesse alors d’être un simple vol d’identifiants. Il devient une porte d’entrée vers la compromission complète d’un poste de travail. »
Ces campagnes illustrent une évolution plus large de la cybersécurité. Les attaques modernes exploitent de plus en plus les mécanismes légitimes des infrastructures numériques. Les protocoles d’authentification, les services cloud et les plateformes collaboratives offrent des opportunités nouvelles aux attaquants précisément parce qu’ils sont largement déployés et profondément intégrés aux systèmes d’information.
Ce déplacement de la surface d’attaque est particulièrement visible dans les environnements cloud et SaaS. Dans ces architectures, l’identité devient le principal point de contrôle. L’accès aux données, aux applications et aux services dépend de l’authentification et des autorisations associées à chaque utilisateur ou application.
Dans ce contexte, compromettre une identité peut suffire à franchir plusieurs niveaux de sécurité. Les attaquants l’ont parfaitement compris. Plutôt que de s’attaquer directement aux infrastructures, ils cherchent désormais à exploiter les flux d’authentification et les mécanismes de délégation d’accès.
Cette évolution modifie également le rôle des défenses traditionnelles. Les outils de sécurité périmétrique, conçus pour filtrer les connexions réseau ou bloquer les domaines malveillants, sont moins efficaces face à des attaques reposant sur des services légitimes. La distinction entre trafic normal et trafic malveillant devient plus subtile.
Pour les organisations, la réponse ne peut pas se limiter à des contrôles techniques supplémentaires. Elle suppose une meilleure visibilité sur les identités et sur les applications autorisées à accéder aux données. Les permissions accordées aux applications OAuth, par exemple, doivent être examinées avec attention. Dans de nombreux environnements, ces autorisations s’accumulent au fil du temps sans être réellement auditées.
Les politiques d’accès conditionnel constituent également un levier important. En analysant le contexte de connexion — localisation, appareil utilisé, comportement de l’utilisateur — ces mécanismes permettent de détecter des anomalies qui échapperaient aux contrôles traditionnels. Mais leur efficacité dépend largement de la qualité de leur configuration et de leur intégration dans la stratégie globale de sécurité.
Microsoft recommande d’ailleurs aux organisations de restreindre l’enregistrement d’applications OAuth, de renforcer les protections liées aux identités et de surveiller plus étroitement les autorisations accordées aux services tiers. Ces mesures visent à réduire la surface d’exposition créée par les applications malveillantes ou mal configurées.
« L’identité devient progressivement le nouveau périmètre de sécurité. »
Cette transformation n’est pas seulement technique. Elle reflète l’évolution des architectures numériques. Dans un environnement dominé par les services cloud, les applications web et les intégrations API, les frontières traditionnelles du système d’information perdent de leur pertinence. Les flux d’authentification et les mécanismes de délégation d’accès deviennent les points de passage obligés.
Les attaques par redirection OAuth rappellent que ces mécanismes de confiance peuvent être détournés. Elles ne remettent pas en cause le protocole lui-même, mais elles montrent que la sécurité dépend désormais autant de la gouvernance des identités que de la robustesse des infrastructures.
Pour les responsables de la cybersécurité, l’enjeu consiste à anticiper ces détournements plutôt qu’à réagir uniquement aux incidents visibles. La surveillance des environnements d’identité, l’analyse des applications autorisées et la détection comportementale deviennent des éléments essentiels de la défense.
Ces attaques illustrent enfin une tendance plus générale : la cybersécurité entre dans une phase où les mécanismes conçus pour simplifier les usages deviennent eux-mêmes des surfaces d’attaque. Les protocoles d’authentification, les services cloud et les plateformes collaboratives offrent des opportunités inédites aux acteurs malveillants précisément parce qu’ils sont au cœur des infrastructures numériques.
Lorsque la confiance technique devient un vecteur d’intrusion, la sécurité ne peut plus reposer uniquement sur la solidité des systèmes. Elle dépend aussi de la capacité des organisations à comprendre les mécanismes qu’elles utilisent et à surveiller les usages qui en sont faits.
Le détournement des redirections OAuth n’est peut-être pas spectaculaire. Il est néanmoins révélateur d’une mutation plus profonde. Les attaques modernes ne cherchent plus seulement à exploiter des failles logicielles. Elles exploitent les comportements attendus des systèmes.
Dans un environnement numérique de plus en plus interconnecté, cette évolution rappelle une réalité essentielle : la confiance n’est pas une faiblesse en soi, mais elle devient vulnérable dès qu’elle est automatisée et largement distribuée.
La cybersécurité doit désormais apprendre à protéger non seulement les infrastructures, mais aussi les mécanismes de confiance qui permettent au numérique de fonctionner.
