Alerte phishing : une campagne mondiale vole les tokens Microsoft 365 et contourne la 2FA — êtes‑vous exposé ?

Une campagne de phishing d’une ampleur inédite cible actuellement Microsoft 365 : plus de 340 organisations touchées, un mode opératoire sophistiqué qui n’attaque plus simplement des mots de passe, mais vole directement les tokens de session, contournant ainsi la fameuse authentification à deux facteurs. Pour les entreprises et les administrateurs, ce type d’attaque change la donne et impose de repenser urgemment la stratégie de protection des identités numériques.

Ce que sont ces « tokens » et pourquoi ils sont précieux

Lorsqu’un utilisateur se connecte à Microsoft 365, le système émet un jeton (token) qui atteste de l’authentification et permet de maintenir la session active sans resaisie permanente des identifiants. Ce token est, en quelque sorte, une clé numérique temporaire. La nouveauté inquiétante de la campagne en cours est que les attaquants s’emparent de ces jetons en temps réel : une fois le token en leur possession, ils peuvent accéder au compte sans avoir besoin du mot de passe ou de la validation 2FA. Autrement dit, la barrière imposée par la double authentification est contournée.

Comment fonctionne cette attaque « adversary‑in‑the‑middle »

La campagne use d’un schéma particulièrement élaboré. Les e‑mails de phishing sont soigneusement rédigés pour ressembler à des communications légitimes liées à Microsoft 365. Lorsque la victime clique sur un lien, elle est redirigée vers une page frauduleuse qui agit comme un relais entre elle et le service Microsoft authentique. Pendant que l’utilisateur s’authentifie normalement, le mécanisme intercepte le token transmis par Microsoft et le capture en temps réel. Les attaquants disposent alors d’un accès complet, comme s’ils étaient l’utilisateur légitime.

L’email initial est crédible et contextualisé.

La page malveillante relaye la connexion vers le service réel, capturant le token.

Les attaquants exploitent le token pour ouvrir une session sans jamais connaître le mot de passe.

Pourquoi cette méthode est‑elle plus dangereuse ?

Les attaques classiques de phishing tentent d’obtenir identifiants et mots de passe. La plupart des organisations se défendent aujourd’hui avec la double authentification (2FA), pensant avoir réduit considérablement le risque. Or, si le jeton d’accès est compromis, la 2FA devient insuffisante : il suffit d’utiliser le jeton pour ouvrir une session valable. C’est une remise en cause du paradigme « mot de passe + 2FA = sécurité ». De plus, les acteurs ciblent des organisations variées — finance, santé, éducation, administrations — montrant qu’aucun secteur n’est à l’abri.

Signes d’une compromission et techniques de détection

Reconnaître une session compromise n’est pas trivial, mais certains indicateurs peuvent aider :

activités de connexion depuis des IPs ou des zones géographiques inhabituelles ;

multiples réinitialisations d’accès ou créations d’applications d’authentification inconnues ;

accès à des boîtes mail ou ressources en dehors des horaires habituels des utilisateurs.

Pour contrer ce type d’attaque, il ne suffit plus de vérifier uniquement les tentatives de connexion. Il faut surveiller le comportement des sessions actives : détections d’anomalies, corrélations d’événements et alertes sur des transferts massifs de données ou changements de permissions. La mise en place d’un monitoring basé sur le comportement (UEBA) devient cruciale.

Mesures techniques à mettre en œuvre immédiatement

Les organisations doivent adopter des mesures plus résilientes pour protéger les tokens et limiter l’impact d’un vol :

implémenter des politiques de durée de vie de token courtes et forcer la rotation des sessions ;

activer le Conditional Access basé sur le risque (géolocalisation, type d’appareil, état de sécurité du device) ;

déployer des protections anti‑phishing avancées (filtrage des liens, sandboxing des URL, validation des expéditeurs) ;

renforcer la journalisation et l’analyse en temps réel des sessions Microsoft 365 (Logs, SIEM, XDR) ;

forcer l’authentification forte à niveaux multiples pour les accès sensibles (MFA adaptatif + attestations de device).

Formation et vigilance : des remparts humains indispensables

Même les protections techniques les plus avancées peuvent être contournées par des attaques bien exécutées. La sensibilisation des utilisateurs reste une composante vitale : reconnaître les e‑mails suspects, éviter de cliquer sur des liens inattendus et signaler toute demande anormale. Les exercices de phishing simulés et les procédures de réponse aux incidents doivent être régulièrement pratiqués pour améliorer la réaction des équipes sur le terrain.

Actions rapides en cas de compromission

Si une organisation détecte une compromission liée à des tokens, il convient d’agir vite :

révoquer immédiatement les sessions et tokens actifs ;

forcer la réinitialisation des sessions pour les comptes affectés ;

isoler et analyser l’infrastructure pour identifier l’étendue des accès ;

activer les procédures d’intervention (IR) et notifier les parties prenantes si des données sensibles ont été consultées.

Vers une nouvelle approche de la protection des identités

La campagne en cours souligne une réalité : l’identité numérique est désormais la cible primaire. Protéger un environnement Microsoft 365, ce n’est plus seulement gérer des mots de passe et appliquer la 2FA ; c’est orchestrer une défense en profondeur autour des sessions actives, des tokens et des usages. Les entreprises doivent investir dans des solutions de détection comportementale, durcir la gestion des tokens et élaborer des politiques d’accès dynamiques basées sur le risque.

La menace est réelle et évolutive. Adopter une posture pro‑active et multi‑couches — combinant protections techniques, gouvernance rigoureuse et formation continue — est aujourd’hui la meilleure réponse pour limiter l’impact de ces attaques sophistiquées.