Microsoft pousse les passkeys, les pirates ont trouvé la faille : le téléphone

Microsoft face à une campagne de vishing ciblant les passkeys Entra

Depuis avril 2026, un groupe cybercriminel utilise le vishing pour persuader les utilisateurs d’enregistrer une nouvelle passkey Entra. Microsoft encourage effectivement les entreprises à migrer vers ce mode d’authentification, mais au bout du fil, la passkey réellement enregistrée est celle de l’attaquant.

Un kit de phishing piloté à la main, en temps réel

Cette activité malveillante, suivie par Okta sous le nom O-UNC-066, est également identifiée par Palo Alto Networks Unit 42 comme appartenant à un cluster nommé Pink. La campagne cible des entreprises dans divers secteurs, notamment l’agroalimentaire, la technologie, la santé, l’automobile, la construction et l’aéronautique, avec pour motivation principale l’extorsion de données.

L’attaque débute par un appel téléphonique où l’attaquant se fait passer pour un membre du support informatique, demandant à la cible d’enregistrer une nouvelle passkey « pour des raisons de sécurité ». L’utilisateur est dirigé vers un sous-domaine créé spécifiquement pour son organisation, sur des noms de domaine contenant le mot « passkey ». Parmi ceux-ci figurent assignpasskey.com, deploypasskey.com, et d’autres, hébergés en Russie et aux États-Unis.

La page imite le portail de connexion Entra ID, et les éléments du style Microsoft sont chargés depuis le CDN de Microsoft. Pour renforcer le réalisme, le logo et l’arrière-plan de l’entreprise ciblée sont intégrés, mais sont manipulés par l’attaquant côté serveur.

Inscription de la passkey par le pirate

Une fois l’accès obtenu, l’attaquant enregistre sa propre clé d’accès. Pour garder la victime en ligne, celle-ci est redirigée vers une page aux couleurs de Microsoft, l’invitant à « sauvegarder sa clé de récupération ». Ce processus fictif permet à l’attaquant de finaliser l’enregistrement de sa passkey, tout en s’assurant que l’utilisateur croit avoir effectué une action légitime.

Quand une bonne pratique devient un prétexte

Le choix de la passkey n’est pas anodin. À partir de mai 2026, les administrateurs Microsoft peuvent créer des campagnes d’inscription incitant les utilisateurs à s’enrôler lors de la connexion. Ainsi, un salarié ne trouve aucune raison de s’étonner lorsqu’on lui demande d’enregistrer une passkey, renforçant ainsi l’efficacité de l’escroquerie.

Les passkeys, conçues pour résister au phishing, sont attaquées non pas directement, mais via le processus d’enrôlement, exploitant le combo mot de passe et MFA. Les recommandations d’Okta incluent l’utilisation de méthodes d’authentification résistantes au phishing et la mise en place de procédures pour vérifier l’identité des interlocuteurs du support.

Le vishing représente une menace croissante pour les entreprises, comme l’illustrent divers cas récents d’escroqueries par téléphone.

Source : Okta

Source
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *