Les cybercriminels exploitent désormais les applications OAuth pour contourner les défenses cloud. Cette nouvelle méthode, étudiée par Proofpoint, révèle comment ces accès invisibles permettent de maintenir une présence prolongée au cœur des systèmes informatiques.
Les chercheurs de Proofpoint tirent la sonnette d’alarme : les cyberattaques qui exploitent les applications OAuth se multiplient. Cette démarche insidieuse permet aux pirates de conserver un accès prolongé aux environnements cloud, même après la réinitialisation des mots de passe ou l’activation de l’authentification multifactorielle (MFA).
Une nouvelle génération d’attaques persistantes
Les équipes de Proofpoint ont mis en lumière une méthode d’intrusion redoutable : l’utilisation d’applications internes, appelées second-party apps, comme cheval de Troie numérique. Ces applications, créées directement au sein du locataire cloud d’une entreprise, bénéficient d’un haut niveau de confiance. Une fois enregistrées, elles peuvent conserver leurs droits d’accès même si les identifiants compromis sont révoqués.
Les chercheurs décrivent un scénario inquiétant ! Des acteurs malveillants enregistrent des applications OAuth internes dotées de permissions personnalisées. Cela leur permettent de lire les e-mails, d’accéder aux fichiers sur OneDrive ou d’espionner les conversations Teams. « La valeur stratégique de cette approche réside dans son mécanisme de persistance », souligne Proofpoint. « Même si les mots de passe changent, l’accès reste actif tant que l’application n’est pas explicitement supprimée. »
Des attaques automatisées et difficiles à détecter
Pour démontrer la portée du problème, Proofpoint a développé un outil de validation de concept capable d’automatiser la création d’applications malveillantes. Le logiciel simule le comportement d’un attaquant : création d’applications internes, configuration de permissions, génération de secrets clients et récupération de tokens d’accès. Une fois installée, l’application semble légitime. Dans Microsoft Entra ID, elle apparaît comme un service interne, enregistrée sous le nom du compte compromis.
Les contrôles de sécurité classiques comme la réinitialisation de mot de passe ou l’activation MFA deviennent alors inopérants. Seule une révocation manuelle du client secret ou la suppression complète de l’application peut couper l’accès. Proofpoint illustre la menace par un cas concret. Une campagne de phishing qui utilise le kit Tycoon a permis à des cybercriminels de créer une application interne. Celle-ci donnait accès à la messagerie d’une victime pendant quatre jours, même après un changement de mot de passe.
Les entreprises face à un risque invisible
Ce type d’attaque, appelé cloud account takeover, est particulièrement redoutable car il s’appuie sur les mécanismes mêmes de confiance du cloud. Dissimulés derrière des applications « internes », les pirates échappent à la plupart des outils de détection. Les conséquences sont lourdes : exfiltration de données sensibles, espionnage industriel et accès prolongé à des comptes critiques.
Pour se prémunir, Proofpoint recommande une démarche rigoureuse : révoquer systématiquement les secrets d’applications suspectes, supprimer les enregistrements douteux et surveiller en continu les autorisations OAuth internes. La sensibilisation des collaborateurs est également cruciale : toute demande de consentement inattendue doit être considérée comme un signal d’alerte. Les chercheurs révèlent cette tactique. Ils rappellent qu’à l’ère du cloud, la frontière entre application légitime et menace cachée devient plus fine que jamais.
Article basé sur un communiqué de presse reçu par la rédaction.
