OAuth

🔍 Contexte Publié le 23 avril 2026 par Push Security, cet article analyse ConsentFix v3, un nouveau toolkit criminel diffusé sur le forum XSS (suspecté d’avoir des liens avec des acteurs étatiques russes). Il s’appuie sur une technique initialement attribuée à APT29 en décembre 2025, puis améliorée par le chercheur John Hammond (v2), et désormais reprise par des cybercriminels. ⚙️ Technique ConsentFix ConsentFix fusionne l’ingénierie sociale de type ClickFix avec le phishing de consentement OAuth. La victime est manipulée pour copier-coller (ou glisser-déposer) une URL Microsoft légitime contenant un code d’autorisation OAuth dans une page de phishing. Ce code est ensuite utilisé par l’attaquant pour s’authentifier sur une application Microsoft first-party (ex: Azure CLI) ciblant des apps avec des exclusions de Conditional Access connues. ...

🔍 Contexte Le 19 avril 2026, Vercel a publié un bulletin de sécurité officiel sur son site (vercel.com/kb/bulletin) signalant un incident de sécurité actif impliquant un accès non autorisé à certains systèmes internes. L’enquête est en cours avec l’appui d’experts en réponse à incident, et les autorités ont été notifiées. 🎯 Vecteur d’attaque identifié L’investigation a révélé que l’incident trouve son origine dans la compromission d’une application OAuth Google Workspace appartenant à un outil IA tiers comptant des centaines d’utilisateurs. Ce vecteur a permis un accès non autorisé aux systèmes internes de Vercel. ...

🗓️ Contexte Article publié le 4 avril 2026 par Luke Jennings sur le blog de Push Security. Il s’agit d’une analyse technique approfondie de la montée en puissance du device code phishing en 2026, technique exploitant le flux OAuth 2.0 Device Authorization Grant. 📈 Tendance observée Push Security a observé une augmentation de 37,5x des pages de device code phishing détectées en 2026 par rapport à l’année précédente. Dix kits distincts ont été identifiés en circulation, dont le plus prominent est EvilTokens, premier kit PhaaS (Phishing-as-a-Service) criminel dédié au device code phishing, lancé en février 2026. ...

Source et contexte: Microsoft Security Blog (Microsoft Defender Security Research) décrit des campagnes de phishing exploitant le mécanisme standard de redirection d’OAuth afin de contourner les défenses et livrer des malwares, avec des cibles incluant des organisations gouvernementales et du secteur public. Résumé de la technique: Des applications OAuth malveillantes, créées dans des tenants contrôlés par l’attaquant, déclarent des URI de redirection pointant vers des domaines malveillants. Des emails de phishing intègrent des URLs OAuth (Microsoft Entra ID/Google) manipulant notamment prompt=none et des scopes invalides pour provoquer un échec d’autorisation et une redirection d’erreur vers l’infrastructure de l’attaquant, sans vol de jetons. Le paramètre state est détourné pour transporter l’email de la victime (en clair, hex, Base64, schémas custom), et des cadres de phishing tels qu’EvilProxy sont utilisés après redirection. Les leurres incluent e-signatures, sécurité sociale, finances, politique, ainsi que PDF ou faux .ics de calendrier. ...

Selon la publication du 31/12/2025, une attaque baptisée “ConsentFix” (aussi appelée “AuthCodeFix”) exploite le flux OAuth 2.0 par code d’autorisation pour voler le code de redirection et obtenir des tokens sur Microsoft Entra. Découverte dans la nature par PushSecurity (évolution de ClickFix), une variante démontrée par John Hammond supprime même l’étape de copier-coller au profit d’un glisser‑déposer de l’URL contenant le code. Pourquoi cela fonctionne 🧩 L’attaquant construit une URI de connexion Entra visant le client “Microsoft Azure CLI” et la ressource “Azure Resource Manager”. L’utilisateur s’authentifie puis est redirigé vers un URI de réponse local (ex. http://localhost:3001) qui contient le paramètre sensible “code” (valide environ 10 minutes) et éventuellement “state”. En l’absence d’application écoutant sur localhost, le navigateur affiche une erreur, mais l’URL contient toujours le code que l’attaquant récupère. Il l’échange ensuite pour des tokens (access/ID/refresh) et accède à la ressource. Ce mécanisme explique pourquoi l’attaque semble contourner les exigences de conformité d’appareil et certaines politiques d’Accès conditionnel, car elle abuse d’un flux OAuth légitime. Détection et signaux 🔎 ...

Source : Push Security. Dans cette analyse, l’éditeur décrit « ConsentFix », une nouvelle campagne de phishing qui combine un leurre ClickFix dans le navigateur et l’abus du flux d’autorisation OAuth 2.0 via l’app première partie Microsoft Azure CLI pour détourner des consentements et obtenir des jetons d’accès. L’attaque est entièrement « browser-native » : la victime visite un site compromis trouvé via Google Search, passe un faux challenge Cloudflare Turnstile, puis suit des instructions qui ouvrent une authentification Microsoft légitime. Après sélection/connexion, le navigateur est redirigé vers localhost avec une URL contenant un code d’autorisation OAuth. La victime copie/colle cette URL dans la page malveillante, ce qui permet à l’attaquant d’échanger le code et de lier l’Azure CLI de l’attaquant au compte Microsoft de la victime. Résultat : prise de contrôle efficace du compte sans hameçonnage d’identifiants ni passage de MFA, et contournement des méthodes résistantes au phishing (ex. passkeys) lorsque la session est déjà ouverte. ...

Selon Volexity (blog Threat Intelligence, 4 décembre 2025), le groupe russe UTA0355 mène de nouvelles campagnes ciblées abusant des flux d’authentification OAuth et Device Code pour phisher des utilisateurs et accéder à leurs comptes, en usurpant des événements de sécurité internationaux en Europe. — Campagne « Belgrade Security Conference » (BSC) 🎣 Utilisation de courriels dans un fil légitime et de conversations WhatsApp avec construction de confiance, puis envoi d’un lien menant à un flux OAuth Microsoft. L’utilisateur était incité à transmettre l’URL contenant le code/token pour « finaliser l’inscription ». Après compromission, accès étendu aux fichiers Microsoft 365; persistance via enregistrement d’un nouvel appareil dans Microsoft Entra ID avec le même nom qu’un appareil existant; user-agent Android « Dalvik/2.1.0…; Xiaomi » alors que l’accès prétendait venir d’un iPhone. — Extension des opérations (site bsc2025[.]org) 🌐 ...

Selon The Register, Salesforce a signalé une nouvelle compromission impliquant des applications publiées par Gainsight et connectées à des instances clients Salesforce, avec une attribution probable au groupe ShinyHunters (UNC6240) évoquée par Google Threat Intelligence Group. Salesforce indique que l’activité suspecte « a pu permettre un accès non autorisé » à certaines données clients via la connexion des applications Gainsight. En réponse, l’éditeur a révoqué tous les tokens d’accès et de rafraîchissement associés à ces applications et les a temporairement retirées de l’AppExchange pendant l’enquête. Salesforce précise ne voir « aucune indication » d’une vulnérabilité de sa plateforme, l’activité étant liée à la connexion externe de l’app. ...

Selon BleepingComputer, une nouvelle technique de phishing baptisée « CoPhish » exploite des agents Microsoft Copilot Studio pour délivrer des demandes de consentement OAuth frauduleuses en s’appuyant sur des domaines Microsoft légitimes et de confiance. Cette approche arme des agents Copilot Studio comme canal de diffusion, donnant à la demande d’autorisation une apparence officielle. L’attaque cible spécifiquement le flux de consentement OAuth, où l’utilisateur est incité à valider une autorisation trompeuse. ...

Selon BleepingComputer, une nouvelle technique de phishing baptisée « CoPhish » a été observée. Cette méthode arme des agents Microsoft Copilot Studio pour envoyer des demandes de consentement OAuth frauduleuses, en passant par des domaines Microsoft légitimes et de confiance. 🎯 L’objectif est de faire parvenir des requêtes d’autorisation OAuth qui paraissent légitimes, car servies depuis des domaines Microsoft reconnus. TTPs observés: Phishing Abus d’agents Microsoft Copilot Studio Fraude au consentement OAuth (OAuth consent phishing) Utilisation de domaines Microsoft légitimes pour la livraison Il s’agit d’un article de presse spécialisé visant à informer sur l’émergence de cette nouvelle technique de phishing. ...