Les attaques de phishing ont muté. Désormais, elles n'ont plus besoin de voler votre mot de passe ni de contourner le MFA. Les cybercriminels exploitent le protocole OAuth pour vous tromper et vous faire autoriser une application malveillante. Ce faisant, vous cédez l'accès à vos données sans le savoir, et le MFA ne s'active pas car le processus de consentement se situe en dehors de l'authentification traditionnelle. Sur foro3d.com, nous vous expliquons comment fonctionne cette menace silencieuse.
Le mécanisme technique derrière l'attaque OAuth 🛡️
L'attaque commence par un lien qui simule un service légitime, comme Google ou Microsoft. En cliquant, la victime est redirigée vers l'écran de consentement OAuth, où l'on demande l'autorisation d'accéder aux e-mails, contacts ou fichiers. L'utilisateur, confiant, accepte. L'attaquant reçoit un jeton d'accès qui lui permet d'interagir avec l'API du service sans avoir besoin d'identifiants. Le MFA, conçu pour protéger la connexion, n'intervient pas ici car le jeton a déjà été accordé. La défense dépend de l'examen de chaque autorisation demandée.
Le consentement : la nouvelle porte tournante de la sécurité 🚪
Il s'avère qu'après des années à configurer le MFA et à utiliser des mots de passe complexes, le maillon faible reste notre enthousiasme à cliquer sur tout ce qui brille. Maintenant, au lieu de vous voler la clé, on vous demande la permission avec un joli formulaire et vous, tel un hôte généreux, leur ouvrez la porte en grand. Bref, pourquoi voler quand on peut demander les clés poliment. L'ironie, c'est que le MFA reste bien tranquille, comme un portier à qui l'on a dit qu'il ne travaillait pas aujourd'hui.