Bugs, Actualités

Microsoft Authenticator pourrait divulguer des codes de connexion — mettez à jour votre application dès maintenant

par Pieter Arntz | 12 mars 2026
Logo Microsoft Authenticator

Une vulnérabilité dans Microsoft Authenticator pour iOS Android CVE-2026-26123) pourrait divulguer vos codes de connexion à usage unique ou vos liens d'authentification profonds à une application malveillante sur le même appareil. 

Les liens profonds sont des URI (Uniform Resource Identifiers) prédéfinis qui permettent d'accéder directement à une activité dans une application Web ou mobile lorsqu'on clique dessus. En termes simples, il s'agit de liens spécialement conçus pour ouvrir une application et effectuer des actions telles que la connexion.

Microsoft Authenticator est une application mobile qui génère des codes à usage unique basés sur le temps et gère les liens de connexion et les connexions par QR code pour les comptes Microsoft et autres. Elle est largement utilisée pour l'authentification multifactorielle (MFA) sur les téléphones personnels, y compris les appareils BYOD (Bring Your Own Device) qui protègent l'accès aux services d'entreprise et de production.

Cette vulnérabilité affecte les utilisateurs qui ont installé Microsoft Authenticator sur un Android iOS Android . Pour que la vulnérabilité soit exploitée, l'utilisateur doit d'abord installer une application malveillante sur son appareil, puis choisir accidentellement cette application pour gérer un lien profond de connexion.

Si cela se produit, l'application malveillante reçoit le code à usage unique ou les informations de connexion et peut potentiellement les utiliser pour s'authentifier en tant que victime.

En cas de réussite, un pirate pourrait :

  • Effectuez des connexions complètes aux services qui font confiance à vos codes Microsoft Authenticator.
  • Accédez aux informations et aux services disponibles sur le compte compromis (e-mails, fichiers, applications cloud ou systèmes de production dans un contexte BYOD).
  • Passer éventuellement à d'autres comptes si ceux-ci sont également protégés par des codes fournis via Authenticator sur le même appareil.

Comment rester en sécurité

Le correctif pour CVE-2026-26123 est déjà inclus dans les versions actuelles. L'installation des mises à jour constitue donc la mesure d'atténuation la plus efficace.

  • Sur iOS: ouvrez l'App Store. Appuyez sur le bouton Mon compte ou sur votre photo en haut de l'écran. Faites défiler vers le bas pour voir les mises à jour en attente et les notes de mise à jour. Appuyez sur Mettre à jour à côté d'une application pour mettre à jour uniquement cette application, ou appuyez sur Tout mettre à jour.
  • Sur Android: ouvrez l'application Google Play Store. En haut à droite, appuyez sur l'icône de profil. Appuyez surGérer les applications et l'appareil. Sous « Mises à jour disponibles », appuyez surVoir les détails. À côté de l'application que vous souhaitez mettre à jour, appuyez surMettre à jour. Pour mettre à jour toutes vos applications en même temps, appuyez surTout mettre à jour.

Remarque : si le fabricant de votre appareil a mis en place une méthode différente pour appliquer les mises à jour des applications, les étapes peuvent varier légèrement.

Si vous ne pouvez temporairement pas mettre à jour l'application, évitez d'installer de nouvelles applications qui demandent à gérer des liens d'authentification, des connexions basées sur des codes QR ou des flux de connexion web-à-application.

Lorsque vous scannez des codes QR ou que vous appuyez sur des liens de connexion, vérifiez que le gestionnaire est Microsoft Authenticator ou une autre application de confiance, et non une application inconnue, récemment installée ou suspecte.

Dans la mesure du possible, utilisez d'autres options d'authentification multifactorielle auxquelles vous faites déjà confiance (telles que l'authentification intégrée à votre gestionnaire de mots de passe ou des solutions spécifiques à certaines plateformes, comme les fonctionnalités de mot de passe d'Apple) jusqu'à ce que vous puissiez appliquer la mise à jour.

Utilisez une protection anti-malware pour vos appareils mobiles afin de détecter les applications malveillantes.

Nous ne nous contentons pas d'informer sur la sécurité des téléphones, nous la fournissons.

Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éloignez les menaces de vos appareils mobiles en téléchargeant dès aujourd'hui Malwarebytes pour iOS et Malwarebytes pour Android.

À propos de l'auteur

Pieter Arntz

Pieter Arntz

Chercheur en intelligence malveillante

A été un Microsoft MVP dans le domaine de la sécurité des consommateurs pendant 12 années consécutives. Parle quatre langues. Sente l'acajou et les livres reliés en cuir.

DERNIERS ARTICLES

Actualités
Logo Meta sur un immeuble de bureaux

Meta déploie des outils anti-arnaque sur WhatsApp, Facebook et Messenger

Mars 12, 2026

De nouvelles protections basées sur l'IA visent à détecter les tentatives d'usurpation d'identité, les demandes d'ajout à la liste d'amis suspectes et les messages frauduleux.

Actualités
Un jeune homme s'est assis, la tête dans une main et tenant un téléphone dans l'autre.

Les e-mails de sextorsion « Je t'ai filmé » réutilisent les mots de passe trouvés dans les boîtes de réception jetables.

Mars 11, 2026

« Espèce de pervers, je t'ai filmé ! » Les e-mails de sextorsion contiennent de vrais mots de passe récupérés dans des boîtes mail temporaires publiques.

Escroqueries
Appels automatisés pendant la période des impôts

Méfiez-vous des appels automatisés pendant la période des impôts qui vantent de faux « programmes d'aide ».

Mars 11, 2026

Les escrocs ciblent les Américains avec des appels automatisés pendant la période des impôts. Voici comment repérer l'arnaque.

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries