On entre dans une nouvelle ère où changer son mot de passe ou activer la double authentification ne suffit plus à garantir la sécurité de vos données. Des chercheurs en cybersécurité de Proofpoint ont découvert une nouvelle technique d’attaque redoutablement efficace. Elle permet aux pirates de s’infiltrer dans vos comptes cloud (Google, Microsoft, ou autre.) et d’y rester même après un changement de mot de passe. Autrement dit, vos défenses les plus fiables viennent de perdre leur efficacité.
Quand la connexion avec Google devient un piège
Le talon d’Achille de cette technique s’appelle OAuth. Il s’agit d’un système de connexion simplifié qu’on utilise quotidiennement sans y penser. Cliquer sur “Connexion avec Google”, autoriser une application à accéder à votre agenda, lier votre compte Microsoft à un autre service, et bien d’autres petites actions similaires reposent sur le service OAuth. Son rôle est de déléguer la connexion à un tiers de confiance, mais c’est justement ce que les pirates exploitent.
Une fois qu’ils ont récupéré vos identifiants par phishing, ils créent une fausse application OAuth liée à votre compte ou à celui de votre entreprise. Cette application paraît totalement légitime et dispose de ses propres clés d’accès indépendantes. Ainsi, même si vous changez votre mot de passe et activez la double authentification, elle continue d’accéder à vos e-mails, fichiers ou calendriers comme si de rien n’était.
Une menace invisible mais bien réelle
Proofpoint a démontré la simplicité de cette attaque avec un outil de recherche baptisé Fassa, capable de reproduire le scénario d’une véritable intrusion. En quelques clics, il crée une application aux airs officiels, lui attribue un “client secret” (avec un mot de passe dédié) et récupère les jetons d’accès qui permettent de se connecter sans passer par le mot de passe de l’utilisateur.
Dans leur test, ces jetons restaient valides pendant deux ans. Deux années pendant lesquelles un pirate peut tranquillement espionner les boîtes mail et les documents internes d’une entreprise sans éveiller le moindre soupçon.
Et cette faille n’est pas théorique. La société a confirmé avoir observé une attaque réelle utilisant cette méthode. Le pirate avait simplement nommé son application “test”, l’avait reliée à un compte compromis et obtenu un accès complet aux e-mails de la victime. Même après un changement de mot de passe, cette entourloupe fonctionnait toujours.
Ce que vous pouvez faire dès maintenant
Les experts recommandent aux entreprises d’auditer régulièrement leurs applications OAuth, internes comme externes, et de supprimer toute autorisation suspecte. Les employés doivent aussi se méfier des demandes de connexion inhabituelles ou des autorisations d’accès inattendues. Un simple clic suffit à ouvrir une porte permanente vers vos données.
Cette découverte le confirme, à l’ère du cloud, la sécurité ne repose plus seulement sur les mots de passe ou la double authentification, et c’est là que le scénario devient catastrophe.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
