Une campagne de vishing (hameçonnage vocal) cible depuis le printemps 2026 les utilisateurs de Microsoft 365 en tirant parti de l'adoption croissante des passkeys Entra, le système d'authentification sans mot de passe promu par Microsoft. Les assaillants se font passer pour le service informatique d'une organisation et incitent leurs victimes à enregistrer une nouvelle clé d'accès sous prétexte d'une mise à jour de sécurité. En réalité, la passkey enrôlée est celle de l'attaquant, ce qui lui octroie un accès permanent au compte de la victime.
Mode opératoire : un appel téléphonique comme première étape
Contrairement aux campagnes de phishing classiques qui débutent par un courriel, cette opération commence par un appel vocal. L'interlocuteur, se présentant comme un collaborateur du support informatique, explique que l'utilisateur doit enregistrer une nouvelle passkey « pour des raisons de sécurité ». L'argument est d'autant plus crédible que Microsoft encourage activement les entreprises à migrer vers l'authentification par passkey dans le cadre de la transition vers un environnement sans mot de passe.
La victime est ensuite redirigée vers un sous-domaine conçu spécialement pour son organisation. Les noms de domaine utilisés dans cette campagne intègrent systématiquement le mot « passkey ». Plusieurs d'entre eux ont été identifiés : assignpasskey.com, deploypasskey.com, passkeydeploy.com, passkeyadd.com et setpasskey.com. Ces sites sont hébergés chez DDoS-Guard (numéro de système autonome AS57724, localisé en Russie) et chez IQWeb FZ-LLC (AS59692, basé aux États-Unis).
Un faux portail d'authentification et une inscription en temps réel
La page web présentée à la cible imite le portail de connexion Entra ID. Pour renforcer l'illusion, les éléments graphiques de style Microsoft sont chargés directement depuis le CDN officiel de Microsoft. L'attaquant va jusqu'à intégrer le logo et l'arrière-plan de l'entreprise visée, qu'il configure lui-même côté serveur.
Pendant que l'utilisateur navigue sur cette interface frauduleuse, l'assaillant, toujours en ligne, crée simultanément sa propre passkey Entra. Ce mécanisme permet au pirate de se substituer à la légitimité du processus : la victime pense enregistrer une clé pour son propre compte, mais celle qui est effectivement liée est celle du fraudeur. Une fois cette clé enregistrée, le cybercriminel peut se connecter au compte Microsoft 365 de la cible sans mot de passe, en utilisant la passkey compromise.
Secteurs ciblés et motivations
Cette activité malveillante est surveillée sous le nom de code O-UNC-066 par Okta, tandis que Palo Alto Networks Unit 42 la suit sous l'appellation Pink. Selon ces analystes, les attaquants ciblent prioritairement des entreprises œuvrant dans les secteurs agroalimentaire, technologique, de la santé, de l'automobile, de la construction et de l'aéronautique. La motivation principale serait l'extorsion de données, les auteurs cherchant à dérober des informations sensibles pour ensuite exiger une rançon.
Implications pour la sécurité et recommandations
Cette campagne illustre les failles potentielles des systèmes d'authentification moderne lorsque des techniques d'ingénierie sociale sont employées. Les passkeys sont conçues pour être plus sûres que les mots de passe traditionnels, mais elles restent vulnérables aux manipulations humaines. En s'appuyant sur la confiance que les utilisateurs accordent aux instructions téléphoniques émanant de leur service informatique, les pirates parviennent à contourner les protections multi-facteurs les plus avancées.
Les experts conseillent aux organisations de sensibiliser leurs collaborateurs à ce type de menace, notamment en rappelant que le service informatique ne demande jamais d'enregistrer une clé d'accès par téléphone. Par ailleurs, il est recommandé de vérifier systématiquement l'identité de l'interlocuteur via un canal distinct avant d'effectuer une opération de sécurité sensible. Les administrateurs peuvent également restreindre l'enrôlement de passkeys à des processus validés et surveiller les inscriptions suspectes.