L'authentification multi-facteurs (MFA) est depuis longtemps présentée comme un rempart essentiel contre les accès non autorisés. Pourtant, les dernières campagnes malveillantes montrent que cette protection est de plus en plus souvent contournée. Les attaquants ont déplacé leur cible : au lieu de tenter de deviner ou d'intercepter des mots de passe, ils cherchent désormais à s'emparer des jetons d'accès qui permettent de valider une session sans avoir à répéter la double authentification.
Des kits de phishing spécialisés
Parmi les outils utilisés, le kit EvilTokens a été repéré par des chercheurs en sécurité depuis février dernier. Ce kit permet de capturer les tokens échangés lors de l'authentification, notamment ceux de Microsoft 365. Les victimes sont redirigées vers des pages frauduleuses imitant les écrans de connexion légitimes, où leurs identifiants et leurs codes MFA sont récupérés en temps réel. Les jetons ainsi volés permettent aux cybercriminels de maintenir un accès persistant aux comptes, sans avoir à fournir de nouveau le deuxième facteur.
Microsoft a publié un avertissement concernant des campagnes de phishing dites « adversary-in-the-middle » (AitM) qui interceptent les échanges entre l'utilisateur et le service légitime. Parallèlement, des attaques exploitant les mécanismes de redirection du protocole OAuth ont été observées : elles manipulent les URLs pour contourner les filtres anti-phishing classiques et dérober les jetons.
Une plateforme « phishing as a service » pour les novices
Le Federal Bureau of Investigation (FBI) a émis un bulletin d'alerte concernant Kali365, une plateforme de « phishing as a service » qui, selon les enquêteurs, abaisse considérablement la barrière technique à l'entrée pour les cyberdélinquants. Cet outil propose des leurres de phishing générés par intelligence artificielle, des modèles de campagnes automatisés, un tableau de bord de suivi en temps réel des cibles et des fonctionnalités de capture de jetons OAuth. Même des attaquants peu expérimentés peuvent ainsi lancer des opérations sophistiquées de vol d'identifiants.
Des implications pour les entreprises
La multiplication de ces techniques rend la seule dépendance au MFA insuffisante. Les administrateurs système et les directions informatiques sont invités à renforcer leurs défenses en combinant plusieurs couches de sécurité : surveillance des comportements anormaux dans l'utilisation des jetons, activation de politiques d'accès conditionnel, utilisation de l'authentification sans mot de passe (comme les clés de sécurité FIDO2) et formation des utilisateurs à reconnaître les tentatives de phishing même sophistiquées.
Le FBI recommande également de durcir la configuration des applications OAuth et de limiter les autorisations accordées aux applications tierces. Les entreprises doivent considérer que les jetons d'authentification sont devenus une cible de premier ordre, au même titre que les mots de passe.
Vers une approche de confiance zéro
Au-delà des correctifs techniques, les experts en cybersécurité soulignent que l'ère où le MFA suffisait à lui seul est révolue. L'adoption d'une architecture de confiance zéro (zero trust) – où chaque accès est vérifié en continu, indépendamment de la validité du jeton – apparaît comme une évolution nécessaire. Les organisations doivent intégrer la menace du vol de jetons dans leur modèle de risque et déployer des outils capables de détecter les connexions suspectes même lorsque le facteur d'authentification semble valide.
La vigilance reste de mise : les campagnes utilisant ces kits devraient continuer à se multiplier, et les cybercriminels innovent sans cesse pour exploiter les failles des mécanismes d'authentification les plus répandus.
