Alerte Cybersécurité ! Des Espions Russes Utilisent une Technique de Phishing Insidieuse : Le "Device Code Phishing"

Avez-vous déjà reçu une invitation à une réunion Microsoft Teams qui vous semblait suspecte ? Imaginez que cette invitation cache un piège élaboré, orchestré par des acteurs malveillants liés à la Russie. Préparez-vous, car nous allons plonger au cœur d'une campagne de phishing particulièrement sophistiquée, baptisée Storm-2372, qui exploite une faille insoupçonnée de nos outils numériques.

Storm-2372 : Une Campagne de Phishing Masquée en Invitation à une Réunion

Depuis août 2024, un groupe de pirates informatiques, identifié par Microsoft comme Storm-2372, mène une campagne de phishing d'une ampleur considérable. L'objectif ? Compter les comptes Microsoft 365 et voler des données sensibles.

Ce qui rend cette opération unique, c’est sa subtilité. Au lieu de liens malveillants classiques, Storm-2372 utilise une technique appelée "device code phishing".

Le "Device Code Phishing" : Une Faille Insidieuse

Le "device code phishing" exploite la fonctionnalité d'authentification par code d'appareil. Cette fonctionnalité est conçue pour permettre la connexion à des applications sur des appareils sans clavier ou écran complet, comme une imprimante connectée ou une télévision intelligente.

L'attaque se déroule en plusieurs étapes :

• Le pirate envoie une invitation (par email ou via des applications de messagerie comme WhatsApp ou Signal) qui semble légitime (réunion Teams, invitation à un événement).
• Cette invitation contient un code à saisir sur une page de connexion Microsoft. La page en elle-même est authentique, ce qui rend le piège très difficile à repérer.

• En saisissant le code, l'utilisateur autorise inconsciemment l'accès à son compte au pirate. Le pirate récupère les jetons d'authentification, lui permettant un accès complet aux données de l'utilisateur.

  « Le pirate informatique génère une requête de code d’appareil légitime et incite la cible à le saisir sur une page de connexion légitime. Cela donne à l’acteur un accès et lui permet de capturer les jetons d’authentification — d’accès et d’actualisation — qui sont générés, puis d’utiliser ces jetons pour accéder aux comptes et aux données de la cible », explique le rapport de Microsoft Threat Intelligence.

Au-delà du Phishing : L'Évolution Tactique de Storm-2372

Ce qui rend Storm-2372 encore plus dangereux, c'est son adaptation constante. En février 2025, Microsoft a observé une évolution notable dans les tactiques de Storm-2372.

Les pirates ont commencé à utiliser l'identifiant client spécifique du Microsoft Authentication Broker. Ceci permet d'obtenir un jeton d'actualisation, donnant un accès persistant et prolongé aux comptes compromis. Ils peuvent ainsi collecter des emails et des informations sensibles sur une période beaucoup plus longue.

De plus, les pirates utilisent des serveurs proxy situés dans la région de la victime pour masquer leurs activités.

« Ils ont réussi ces attaques, bien que Microsoft lui-même ne soit pas affecté », déclare Sherrod DeGrippo, directeur de la stratégie d'intelligence des menaces chez Microsoft.

Comment se Protéger Contre le "Device Code Phishing" ?

La bonne nouvelle ? Il existe des moyens de se protéger contre ce type d'attaque. Voici quelques conseils clés :

• Sensibilisez vos employés: Formez vos collaborateurs aux techniques de phishing, en insistant sur les détails qui peuvent trahir une tentative malveillante.
• Bloquez le flux de code d'appareil: Dans la mesure du possible, désactivez cette fonctionnalité dans vos paramètres Microsoft Entra ID. Elle n’est pas indispensable pour la plupart des utilisateurs.
• Activez l'authentification multifacteur (MFA): Même si le "device code phishing" tente de contourner la MFA, cette mesure reste un rempart essentiel contre de nombreuses autres attaques.
• Surveillez l'activité suspecte: Utilisez des outils de surveillance pour détecter toute activité anormale sur vos comptes Microsoft 365.

L'attaque Storm-2372 démontre l'importance d'une vigilance constante et d'une adaptation permanente aux nouvelles techniques de cybercriminalité. La sécurité numérique est un processus continu, et la connaissance des dernières menaces est une arme essentielle pour se protéger.