Les pirates exploitent les redirections d'erreur OAuth normales pour rediriger les utilisateurs depuis une URL de connexion Microsoft ou Google légitime vers des pages de phishing ou de logiciels malveillants, sans jamais réussir à se connecter ni voler de jetons à partir du flux OAuth lui-même.
Cela mérite quelques explications supplémentaires.
OAuth (Open Authorization) est un protocole ouvert standard pour l'autorisation déléguée. Il permet aux utilisateurs d'autoriser des sites Web ou des applications à accéder à leurs données sur un autre service (par exemple, Google ou Facebook) sans partager leur mot de passe.
La redirection OAuth est le processus par lequel un serveur d'autorisation renvoie le navigateur d'un utilisateur vers une application (client) avec un code d'autorisation ou un jeton après l'authentification de l'utilisateur.
Les chercheurs ont découvert que les hameçonneurs utilisent des flux d'authentification OAuth silencieux et des champs d'application intentionnellement invalides pour rediriger les victimes vers une infrastructure contrôlée par les attaquants sans voler de jetons.
Alors, à quoi ressemble cette attaque du point de vue de la cible ?
Du point de vue de l'utilisateur, la chaîne d'attaque se présente à peu près comme suit :
L'e-mail
Vous recevez un e-mail contenant une proposition commerciale plausible. Par exemple, vous recevez un e-mail concernant une tâche courante mais urgente : partage ou révision de documents, avis de sécurité sociale ou financier, rapport des ressources humaines ou d'un employé, invitation Teams ou réinitialisation de mot de passe.
Le corps de l'e-mail contient un lien tel que « Afficher le document » ou « Consulter le rapport », ou une pièce jointe au format PDF qui comprend un lien.
Le lien
Vous cliquez sur le lien après avoir constaté qu'il s'agit d'une connexion Microsoft ou Google normale. L'URL visible (ce que vous voyez lorsque vous passez la souris dessus) semble convaincante, car elle commence par un domaine de confiance tel que https://login.microsoftonline.com/ ou https://accounts.google.com/.
Il n'y a aucun signe évident indiquant que les paramètres (prompt=none, portée impaire ou vide, état encodé) sont anormaux.
OAuth silencieux
L'URL spécialement conçue tente une autorisation OAuth silencieuse (prompt=none) et utilise des paramètres qui sont garantis d'échouer (par exemple, une portée invalide ou manquante).
Le fournisseur d'identité évalue votre session et votre accès conditionnel, détermine que la demande ne peut aboutir silencieusement et renvoie une erreur OAuth, telle que interaction_required, access_denied ou consent_required.
La redirection
Conformément à sa conception, le serveur OAuth redirige alors votre navigateur, y compris les paramètres d'erreur et l'état, vers l'URI de redirection enregistré de l'application, qui dans ce cas est le domaine de l'attaquant.
Pour l'utilisateur, il s'agit simplement d'un bref affichage d'une URL Microsoft ou Google suivi d'une autre page. Il est peu probable que quelqu'un remarque les erreurs dans la chaîne de requête.
Page d'accueil
La cible est redirigée vers une page qui ressemble à un site de connexion ou à un site commercial légitime. Il peut très bien s'agir d'un clone du site d'une marque de confiance.
À partir de là, deux scénarios malveillants sont possibles :
Hameçonnage / Variante « attaquant intermédiaire » (AitM)
Une page de connexion normale ou une invite de vérification, parfois accompagnée de CAPTCHA ou d'interstitiels pour paraître plus fiable et contourner certains contrôles.
L'adresse e-mail peut déjà être renseignée, car les pirates l'ont transmise via le paramètre d'état.
Lorsque l'utilisateur saisit ses identifiants et procède à l'authentification multifactorielle (MFA), la boîte à outils d'attaque de type « man-in-the-middle » les intercepte, y compris les cookies de session, tout en les transmettant afin que l'expérience semble légitime.
Variante de diffusion de logiciels malveillants
Immédiatement (ou après une brève page intermédiaire), le navigateur accède à un chemin de téléchargement et télécharge automatiquement un fichier.
Le contexte de la page correspond à l'appât (« Télécharger le document sécurisé », « Ressources pour la réunion », etc.), ce qui rend l'ouverture du fichier plausible.
La cible peut remarquer l'ouverture initiale du fichier ou un certain ralentissement du système, mais sinon, la compromission est pratiquement invisible.
Impact potentiel
En récoltant des identifiants ou en installant une porte dérobée, le pirate dispose désormais d'un point d'ancrage sur le système. À partir de là, il peut effectuer des opérations manuelles, se déplacer latéralement, voler des données ou mettre en place un ransomware, en fonction de ses objectifs.
Les identifiants et jetons récoltés peuvent être utilisés pour accéder à la messagerie électronique, aux applications cloud ou à d'autres ressources sans avoir besoin de conserver des logiciels malveillants sur l'appareil.
Comment rester en sécurité
Étant donné que l'attaquant n'a pas besoin de votre jeton dans ce flux (seulement la redirection vers sa propre infrastructure), la requête OAuth elle-même peut sembler moins suspecte. Soyez vigilant et suivez nos conseils :
- Si vous avez l'habitude de passer votre souris sur les liens, soyez particulièrement vigilant lorsque vous voyez des URL très longues contenant « oauth2 », « authorize » et beaucoup de texte encodé, surtout si elles proviennent de l'extérieur de votre organisation.
- Même si le début de l'URL semble légitime, vérifiez auprès d'un expéditeur de confiance avant de cliquer sur le lien.
- Si vous recevez un e-mail urgent qui vous oblige immédiatement à vous connecter à un site inconnu ou à lancer un téléchargement inattendu, considérez-le comme malveillant jusqu'à preuve du contraire.
- Si vous êtes redirigé vers un site inconnu, arrêtez-vous et fermez l'onglet.
- Méfiez-vous des fichiers qui se téléchargent immédiatement après avoir cliqué sur un lien dans un e-mail, en particulier ceux provenant de
/download/chemins. - Si un site vous demande de « lancer » ou « activer » quelque chose pour afficher un document sécurisé, fermez-le et vérifiez bien sur quel site vous vous trouvez actuellement. Il se peut qu'il s'agisse d'une arnaque.
- Maintenez votre système d'exploitation, votre navigateur et vos outils de sécurité préférés à jour. Ils peuvent bloquer automatiquement de nombreux kits de phishing et téléchargements de logiciels malveillants connus.
Conseil de pro : utilisez Malwarebytes Guard pour vous aider à déterminer si l'e-mail que vous avez reçu est une arnaque ou non.
Nous ne nous contentons pas de signaler les escroqueries, nous contribuons à les détecter.
Les risques liés à la cybersécurité ne devraient jamais dépasser le stade des gros titres. Si quelque chose vous semble louche, vérifiez s'il s'agit d'une arnaque à l'aide de Malwarebytes Guard. Envoyez une capture d'écran, collez le contenu suspect ou partagez un lien, un texte ou un numéro de téléphone, et nous vous dirons s'il s'agit d'une arnaque ou d'un site légitime. Disponible avec Malwarebytes Premium pour tous vos appareils, et dans Malwarebytes pour iOS Android.
