Security

Campagne de phishing AiTM visant Microsoft 365

3 min de lecture

Résumé

Microsoft a détaillé une campagne de phishing adversary-in-the-middle (AiTM) à grande échelle qui utilisait de fausses enquêtes sur le code de conduite pour voler des jetons d’authentification. L’attaque combinait une ingénierie sociale soignée, des pages CAPTCHA intermédiaires et un flux de connexion Microsoft légitime, soulignant l’importance de protections résistantes au phishing et de défenses email renforcées.

Besoin d'aide avec Security ?Parler à un expert

Introduction

Microsoft a découvert une campagne de phishing sophistiquée qui a ciblé plus de 35 000 utilisateurs dans plus de 13 000 organisations réparties dans 26 pays. Pour les administrateurs Microsoft 365 et sécurité, c’est important, car l’attaque utilisait une technique adversary-in-the-middle (AiTM) pour capturer des jetons d’authentification, ce qui peut contourner une MFA non résistante au phishing et donner aux attaquants un accès immédiat aux comptes.

Quoi de neuf

Entre le 14 et le 16 avril 2026, Microsoft a observé une opération de phishing en plusieurs étapes utilisant des leurres liés au code de conduite et à la conformité interne. Les messages étaient conçus pour ressembler à des communications internes légitimes et ont été envoyés dans des emails authentifiés depuis des domaines contrôlés par les attaquants via un service légitime de distribution d’emails.

Les principales caractéristiques de la campagne comprenaient :

  • Des emails soignés sur le thème de la conformité avec des objets urgents concernant des fautes professionnelles ou des cas de non-conformité
  • Des pièces jointes PDF demandant aux destinataires d’examiner les éléments du dossier
  • Plusieurs pages intermédiaires incluant des vérifications CAPTCHA et des étapes de « vérification »
  • Une invite finale de connexion Microsoft intégrée dans un flux AiTM pour intercepter les jetons de session
  • Un impact étendu dans tous les secteurs, en particulier la santé, les services financiers, les services professionnels et la technologie

Microsoft a indiqué que la plupart des victimes se trouvaient aux États-Unis, mais que la campagne a touché des organisations dans le monde entier.

Pourquoi cette attaque est importante

Contrairement au phishing d’identifiants classique, les attaques AiTM transmettent la session d’authentification en temps réel via un proxy. Cela signifie que même lorsque les utilisateurs terminent la MFA, les attaquants peuvent quand même capturer des jetons et les réutiliser pour accéder aux comptes.

Cette campagne montre également comment les tactiques de phishing évoluent :

  • Les attaquants ont utilisé des modèles HTML de style entreprise pour renforcer leur crédibilité
  • Ils ont exploité la pression temporelle et des accusations de type RH pour pousser à une réaction rapide
  • Les pages CAPTCHA et intermédiaires ont aidé à filtrer les analyses de sécurité automatisées
  • Le flux final de connexion paraissait suffisamment légitime pour réduire la méfiance des utilisateurs

Impact pour les administrateurs IT

Les équipes de sécurité doivent y voir un rappel : la sensibilisation des utilisateurs ne suffit pas à elle seule. Les organisations ont besoin de défenses multicouches couvrant l’email, l’identité, les terminaux et la protection web.

Les administrateurs doivent examiner :

  • Les configurations de Exchange Online Protection et Microsoft Defender for Office 365
  • Les politiques anti-phishing et les protections contre l’usurpation d’identité
  • La prise en charge de SmartScreen dans les navigateurs gérés
  • La protection réseau dans Windows pour bloquer les destinations web malveillantes
  • La couverture de détection et de réponse pour les activités de connexion suspectes et l’abus de jetons

Étapes recommandées

Les équipes IT devraient prendre les mesures suivantes :

  1. Former les utilisateurs aux leurres de phishing liés aux RH, à la conformité et à la réglementation
  2. Exécuter des simulations de phishing avec la formation de simulation d’attaque de Microsoft Defender for Office 365
  3. Renforcer les paramètres de sécurité des emails et examiner les recommandations de politique dans le portail de sécurité Microsoft
  4. Prioriser une authentification résistante au phishing lorsque cela est possible
  5. Rechercher des indicateurs de compromission et enquêter sur les comportements de session inhabituels liés aux événements de connexion

Cette campagne renforce une leçon clé en matière de sécurité : le phishing moderne ne concerne plus seulement les mots de passe. Se défendre contre le vol de jetons exige des protections d’identité plus solides, une meilleure sécurité des emails et une sensibilisation continue des utilisateurs.

Besoin d'aide avec Security ?

Nos experts peuvent vous aider à implémenter et optimiser vos solutions Microsoft.

Parler à un expert

Restez informé sur les technologies Microsoft

Lire l'article original de Microsoft Defender Security Research Team and Microsoft Threat Intelligence
AiTM phishingMicrosoft 365 securitytoken theftMicrosoft Defender for Office 365phishing campaign

Articles connexes

Security

Campagne ClickFix macOS : diffusion d’infostealers

Microsoft a identifié une nouvelle campagne de type ClickFix visant les utilisateurs de macOS avec de fausses instructions de dépannage et d’utilitaires hébergées sur des blogs et des plateformes de contenu. Au lieu de télécharger des applications, les victimes sont incitées à exécuter des commandes Terminal qui contournent les contrôles habituels de macOS et déploient des infostealers comme Macsync, SHub Stealer et AMOS.

Security

CVE-2026-31431 : menace d’escalade root Linux

Microsoft a détaillé CVE-2026-31431, une faille Linux d’escalade locale de privilèges de haute sévérité pouvant accorder un accès root sur les principales distributions et charges de travail hébergées dans le cloud. Le problème est important car il affecte les environnements à noyau partagé tels que les conteneurs et Kubernetes, augmentant le risque d’évasion de conteneur, de mouvement latéral et de compromission de l’hôte si les systèmes ne sont pas corrigés rapidement.

Security

Microsoft Agent 365 GA : sécurité et contrôles IA

Microsoft Agent 365 est désormais disponible en disponibilité générale pour les clients commerciaux, offrant aux équipes IT et de sécurité un plan de contrôle unifié pour observer, gouverner et sécuriser les agents IA dans Microsoft 365, sur les endpoints et dans les environnements cloud. De nouvelles fonctionnalités en preview étendent aussi la visibilité au Shadow AI, aux agents Windows locaux, aux plateformes d’agents multicloud et aux contrôles basés sur des stratégies via Defender et Intune.

Security

{{Paysage des menaces email T1 2026 : insights Microsoft}}

Microsoft signale 8,3 milliards d’e-mails de phishing détectés au T1 2026, avec plus du double d’attaques par QR code et des campagnes avec CAPTCHA en évolution rapide. Ces conclusions sont importantes pour les équipes de sécurité, car les attaquants se tournent vers le vol d’identifiants basé sur des liens, tandis que les actions de perturbation contre Tycoon2FA montrent qu’une réponse coordonnée peut réduire l’impact du phishing.

Security

Mises à jour Microsoft Security : Agent 365 et Defender

Microsoft a annoncé de nouvelles capacités de sécurité dans Agent 365, Defender for Cloud, GitHub Advanced Security et Microsoft Purview. Ces mises à jour visent à améliorer la visibilité sur l’activité des agents IA, à renforcer la protection du code jusqu’à l’exécution et à accélérer les enquêtes sur la sécurité des données pour les équipes sécurité et IT.

Security

Bonnes pratiques des revues de risques CISO

Microsoft a publié un cadre pratique pour aider les CISO et responsables sécurité à mener des revues de risques plus efficaces face à la montée des cybermenaces dopées à l’IA. Les recommandations portent sur huit domaines d’examen — des actifs et applications à l’authentification, l’autorisation et l’isolation réseau — afin d’aider les organisations à passer d’une réponse réactive à une réduction proactive des risques.