CoRIIN2026

Alors que les systèmes d’information basculent dans le cloud, SSO et OAuth révèlent leurs faiblesses : la compromission d’un compte cloud donne accès non seulement aux données hébergées, mais aussi aux services et applications associés. En 2025, les attaques s’appuyant sur les flux d’autorisation OAuth et de Device Code d'Entra ID se sont multipliées, exploitant la légitimité des URLs pour tromper les utilisateurs et obtenir un accès au compte de la victime via ses jetons d’accès. Ces méthodes permettent à un attaquant d’accéder aux ressources de la victime (emails, fichiers OneDrive et Sharepoint, messages Teams, applications métier…) sans jamais avoir besoin du mot de passe de la victime. Plusieurs groupes étatiques liés à la Russie ont récemment fait appel à cette technique et les groupes de cybercriminels commencent à l’utiliser également dans leur kits de phishing.