Grégoire Clermont
Grégoire Clermont est ingénieur en sécurité chez Sekoia.io. Au cours des deux dernières années, il a mené des recherches sur les attaques ciblant les mécanismes d'authentification de Microsoft Entra ID, avec un focus sur la détection et le durcissement des configurations. Il a contribué à plusieurs publications de Sekoia sur les kits de phishing Adversary-in-the-Middle et l'analyse de logs Microsoft 365.
Intervention
Alors que les systèmes d’information basculent dans le cloud, SSO et OAuth révèlent leurs faiblesses : la compromission d’un compte cloud donne accès non seulement aux données hébergées, mais aussi aux services et applications associés. En 2025, les attaques s’appuyant sur les flux d’autorisation OAuth et de Device Code d'Entra ID se sont multipliées, exploitant la légitimité des URLs pour tromper les utilisateurs et obtenir un accès au compte de la victime via ses jetons d’accès. Ces méthodes permettent à un attaquant d’accéder aux ressources de la victime (emails, fichiers OneDrive et Sharepoint, messages Teams, applications métier…) sans jamais avoir besoin du mot de passe de la victime. Plusieurs groupes étatiques liés à la Russie ont récemment fait appel à cette technique et les groupes de cybercriminels commencent à l’utiliser également dans leur kits de phishing.