CYBERHACK
Cybersécurité

Phishing OAuth : l’attaque discrète qui contourne le mot de passe

On parle souvent du phishing comme d’un piège destiné à voler un mot de passe. Mais certaines attaques modernes n’ont même plus besoin de le faire. Elles demandent simplement à l’utilisateur...

Par admin
Publié le 10/04/2026
6 min de lecture
cybersécurité PME, Microsoft 365, compte compromis, phishing OAuth
Phishing OAuth : l’attaque discrète qui contourne le mot de passe


Quand on pense à une compromission, on imagine souvent la même scène : un faux site, un mot de passe saisi au mauvais endroit, puis un compte qui tombe.

Le problème, c’est que certaines attaques modernes sont devenues plus propres que ça.

Elles ne demandent pas forcément un mot de passe.

Elles demandent quelque chose d’encore plus dangereux parce que cela paraît légitime : une autorisation.

L’utilisateur reçoit un lien, se connecte sur une vraie page Microsoft, voit une demande d’accès à une application, clique sur “accepter”… et pense souvent avoir juste validé une étape normale.

C’est précisément ce qui rend le phishing OAuth si efficace.

Pourquoi cette attaque passe aussi bien

Parce qu’elle ne ressemble pas toujours à un vol classique.

Le pirate ne vous force pas forcément à donner vos identifiants sur une page douteuse. Il peut vous faire passer par un vrai parcours d’authentification, puis glisser une application qui demande l’accès à votre messagerie, à votre profil, à vos fichiers ou à certaines actions dans Microsoft 365.

À ce moment-là, beaucoup de victimes se disent :

“Je me suis connecté sur Microsoft, donc c’est forcément bon.”

Et c’est là que l’erreur se joue.

Le danger ne se trouve plus seulement dans la page de connexion.

Il se trouve dans ce que vous autorisez ensuite.

Ce que l’attaquant cherche vraiment

Dans ce type de scénario, l’objectif n’est pas toujours de prendre le mot de passe.

L’objectif est souvent d’obtenir un jeton d’accès ou une autorisation durable via une application.

Cela peut permettre ensuite de :

  1. lire les mails ;
  2. consulter certaines données ;
  3. accéder à des fichiers ;
  4. envoyer ou manipuler des messages ;
  5. maintenir un accès même si le mot de passe change ensuite.

Et c’est justement pour cela que le problème est souvent mal compris au début.

Une entreprise change le mot de passe, pense avoir réglé l’incident… puis découvre que quelque chose continue de fonctionner côté attaquant.

À quoi ressemble un phishing OAuth dans la vraie vie

Le scénario est souvent très banal.

Un utilisateur reçoit un message qui semble venir d’un service interne, d’un outil de collaboration, d’un partage de document, d’une mise à jour de sécurité ou d’une demande liée à Microsoft 365.

Le lien mène vers une vraie interface de connexion ou vers une page qui y ressemble parfaitement. Une fois connecté, l’utilisateur voit une demande du type :

  1. accéder à votre profil ;
  2. lire votre messagerie ;
  3. maintenir l’accès aux données ;
  4. voir les fichiers auxquels vous avez accès ;
  5. envoyer des messages en votre nom.

Le texte paraît administratif.

L’interface paraît propre.

Et l’utilisateur clique.

Sur le moment, rien d’évident ne casse.

C’est ce qui rend l’attaque si confortable pour l’attaquant.

Pourquoi les PME la voient souvent trop tard

Parce qu’elle produit rarement un bruit immédiat.

Pas d’écran rouge.

Pas de poste chiffré.

Pas de message de rançon.

Parfois même pas d’alerte visible pour l’utilisateur.

Ce qui apparaît ensuite est souvent plus discret :

  1. une boîte mail qui se comporte bizarrement ;
  2. des messages qu’on ne retrouve plus ;
  3. une fraude fournisseur qui semble venir d’un échange légitime ;
  4. un accès à des documents sans explication claire ;
  5. un compte qui “a déjà été sécurisé” mais continue à présenter des symptômes.

Le phishing OAuth est dangereux justement parce qu’il s’installe dans une zone grise : pas assez visible pour créer la panique, mais suffisamment puissant pour préparer une fraude ou une fuite.

Les signes qui doivent faire lever le doute

Il y a quelques signaux qu’une PME devrait apprendre à regarder de plus près.

Une application inconnue apparaît

Un utilisateur ou un administrateur découvre une application consentie dont personne ne connaît l’origine ni l’utilité.

Des permissions paraissent trop larges

Lire des mails, accéder à des fichiers, maintenir l’accès hors ligne : ce type de demande doit toujours être regardé avec attention.

Le mot de passe a été changé, mais l’incident paraît continuer

C’est souvent l’un des indices les plus utiles. Si tout ne rentre pas dans l’ordre après réinitialisation, il faut regarder ailleurs.

Des comportements de messagerie deviennent incohérents

Règles qui changent, messages qui disparaissent, échanges inhabituels, réponses étranges envoyées à des contacts connus.

Une campagne de phishing a ciblé plusieurs utilisateurs

Quand plusieurs personnes ont reçu un même type de lien ou de demande, il faut élargir la vérification au-delà d’un seul compte.

Ce qu’il faut vérifier immédiatement

Quand un doute existe, il faut aller plus loin qu’un simple reset.

Les applications consenties

C’est la première chose à regarder.

Il faut identifier ce qui a été autorisé, quand, par qui, et avec quels droits.

Les permissions accordées

Toutes les autorisations ne se valent pas. Certaines sont anodines, d’autres ouvrent de vraies portes.

Les comptes concernés

Parfois, l’application n’a pas touché qu’un seul utilisateur. Il faut vérifier s’il existe d’autres consentements similaires.

Les journaux de connexion et d’activité

Ils aident à voir si l’autorisation a été suivie d’un comportement anormal.

Les sessions actives

Une révocation propre doit aussi inclure les sessions et les accès persistants associés.

Les erreurs les plus fréquentes

Dans ce type d’incident, les entreprises font souvent les mêmes erreurs :

  1. elles changent le mot de passe trop vite sans vérifier les applications ;
  2. elles oublient que l’accès peut survivre au reset ;
  3. elles ne regardent pas les permissions réellement accordées ;
  4. elles ne vérifient pas si le même piège a touché d’autres utilisateurs ;
  5. elles traitent le sujet comme un simple phishing classique.

Le phishing OAuth est moins spectaculaire qu’un ransomware.

Mais il peut être redoutable parce qu’il s’insère très bien dans les usages normaux.

Comment réduire le risque

Une PME peut déjà faire beaucoup avec quelques règles simples.

D’abord, limiter au maximum ce que les utilisateurs peuvent autoriser sans contrôle.

Ensuite, revoir régulièrement les applications déjà consenties.

Puis, sensibiliser les équipes à une idée très simple : se connecter à Microsoft ne veut pas dire que tout ce qui suit est légitime.

Il faut aussi intégrer ce scénario dans les vérifications de routine :

  1. revue des applications ;
  2. contrôle des permissions ;
  3. surveillance des comportements inhabituels ;
  4. procédure claire en cas de doute.

Le bon réflexe n’est pas de faire peur aux utilisateurs.

Le bon réflexe est de leur apprendre à ralentir devant une demande d’autorisation, exactement comme on leur apprend à vérifier un lien ou un IBAN.

Conclusion

Le phishing OAuth est dangereux parce qu’il joue sur la confiance dans les interfaces connues. Il ne cherche pas toujours à voler brutalement. Il cherche souvent à faire autoriser calmement un accès qui n’aurait jamais dû exister.

Et c’est pour cela qu’il mérite plus d’attention.

Une PME qui ne regarde que les mots de passe rate une partie du problème.

Aujourd’hui, la vraie question n’est plus seulement :

“Qui connaît nos identifiants ?”

La vraie question est aussi :

“Quelles applications avons-nous laissé entrer sans vraiment les regarder ?”

Articles recommandés

Partager cet article

Twitter LinkedIn Email