Le groupe O-UNC-066 (alias « Pink ») mène depuis avril 2026 une campagne de vishing ciblant l'enrôlement de passkeys Microsoft Entra pour s'emparer durablement de comptes Microsoft 365 dans six secteurs d'activité.
En bref
- Le groupe O-UNC-066 (alias « Pink » selon Palo Alto Networks Unit 42) mène depuis avril 2026 une campagne de vishing visant à inscrire de fausses passkeys FIDO2 dans des comptes Microsoft 365, offrant aux attaquants un accès persistant résistant aux changements de mot de passe.
- Six secteurs sont ciblés : agroalimentaire, technologie, santé, automobile, construction et aviation, avec un site de fuite de données opérationnel depuis le 31 mai 2026.
- Les administrateurs M365 doivent restreindre l'enrôlement de passkeys aux appareils gérés et former leurs collaborateurs à ne jamais enrôler une clé d'authentification sur simple injonction téléphonique.
Un appel téléphonique suffit pour installer une porte dérobée dans un compte Microsoft 365
Depuis avril 2026, un groupe de cybercriminels suivi par les équipes de renseignement sur les menaces d'Okta sous l'identifiant O-UNC-066 — et baptisé « Pink » par les analystes de Palo Alto Networks Unit 42 — orchestre une campagne de vishing (phishing vocal) d'une sophistication inhabituelle contre des organisations utilisant Microsoft 365. L'originalité de cette opération réside dans son vecteur d'attaque : elle ne cherche pas à casser les mécanismes d'authentification forte, mais à les détourner en convainquant les victimes d'enregistrer elles-mêmes les credentials des attaquants dans leurs propres comptes.
Le scénario se déroule selon un script rodé. Un employé reçoit un appel téléphonique d'un interlocuteur se présentant comme un membre du service IT ou de l'équipe de sécurité de son entreprise. Le prétexte est invariable : pour des raisons de conformité ou de sécurité urgentes, l'employé doit immédiatement enregistrer une nouvelle passkey Microsoft Entra sur son compte. L'urgence simulée, la connaissance préalable de certains éléments de contexte interne et la maîtrise des codes professionnels créent une pression psychologique suffisante pour convaincre de nombreux salariés d'obtempérer sans vérifier.
L'opérateur dirige ensuite la victime vers une URL de phishing contenant délibérément le terme « passkey » dans le nom de domaine — un détail rassurant pour un utilisateur peu averti. La page reproduit fidèlement l'interface Microsoft Entra, avec le logo de l'organisation cible et les mêmes flux d'enrôlement que le portail légitime. La victime saisit ses identifiants Microsoft 365 et son code d'authentification multifacteur (MFA) en croyant accéder à son espace sécurisé. Ces éléments sont immédiatement transmis à l'infrastructure des attaquants, qui les utilisent en temps réel pour s'authentifier sur le vrai compte Microsoft 365 de la victime.
L'étape suivante est l'inscription d'une passkey FIDO2 dans le portail Microsoft Security info du compte compromis. Cette clé est indiscernable d'une passkey légitime enrôlée par l'utilisateur lui-même. Elle offre à l'attaquant un accès persistant et résistant : même si la victime change ultérieurement son mot de passe ou révoque ses autres facteurs d'authentification, la passkey frauduleuse reste valide jusqu'à ce qu'un administrateur l'identifie et la supprime manuellement. Les équipes de sécurité qui ne procèdent pas à un audit explicite des passkeys enregistrées peuvent ainsi laisser la compromission active pendant des semaines.
Une subtilité technique mérite l'attention : la fausse page de phishing demande aux victimes de sauvegarder une « phrase de récupération BIP-39 » — le type de suite mnémotechnique utilisée pour les portefeuilles de cryptomonnaie. Les analystes d'Okta soulignent que les phrases BIP-39 n'ont aucun rôle dans le processus d'enrôlement Entra passkey légitime de Microsoft. Cette étape semble servir à la fois de distracteur pour les utilisateurs familiers des crypto-actifs et potentiellement à collecter des phrases de récupération pour un usage ultérieur sur d'éventuels portefeuilles numériques des victimes.
Une fois la passkey de l'attaquant inscrite dans le compte, la phase d'exfiltration commence. Le groupe accède aux messageries, aux fichiers SharePoint, aux espaces Teams et aux applications connectées via le compte compromis. Le 31 mai 2026, O-UNC-066 a mis en ligne un site de publication de données volées, adoptant le modèle de la double extorsion désormais standard dans les opérations cybercriminelles professionnelles. Les délais de paiement sont fixés à 72 heures, et les demandes de rançon sont notifiées directement depuis les comptes Microsoft 365 compromis — une méthode qui renforce la crédibilité de la menace et complique simultanément la gestion de crise pour les équipes IT, qui doivent gérer en parallèle la compromission active et des communications frauduleuses sortant de leur propre infrastructure.
Les secteurs ciblés — agroalimentaire, technologies, santé, automobile, construction et aviation — partagent plusieurs caractéristiques communes. Ils ont massivement adopté Microsoft 365 ces dernières années, parfois dans des contextes où la sensibilisation des équipes aux nouvelles menaces n'a pas suivi le rythme de la transformation numérique. Leurs données représentent par ailleurs une valeur marchande élevée : données de patients dans la santé, propriété intellectuelle dans l'automobile et les technologies, données de marchés dans la construction. Selon SecurityWeek, qui a relayé l'alerte d'Okta, la campagne présente une portée internationale confirmée avec des victimes dans plusieurs pays.
Okta, qui a documenté la campagne dans un rapport de renseignement publié début juillet 2026, et BleepingComputer, qui a relayé l'alerte le 11 juillet, recommandent aux administrateurs Microsoft 365 de prendre des mesures immédiates. The Hacker News a également couvert la menace sous le titre « Hackers Use Fake Microsoft Entra Passkey Enrollment to Gain Microsoft 365 Access », confirmant l'attention que l'incident suscite dans la communauté de la sécurité. Le groupe O-UNC-066 est distinct des groupes APT étatiques connus, mais son niveau d'organisation — kit de phishing à panneau de contrôle, ciblage multi-sectoriel, infrastructure de site de fuite — le classe parmi les acteurs cybercriminels les plus sophistiqués actuellement actifs contre les entreprises européennes et nord-américaines.
La passkey, nouveau terrain d'ingénierie sociale dans un écosystème Zero Trust
La campagne O-UNC-066 illustre une évolution majeure du paysage des menaces : les cybercriminels ne cherchent plus prioritairement à casser les mécanismes d'authentification forte, mais à les instrumentaliser. L'adoption massive du MFA ces cinq dernières années a rendu le vol de mot de passe seul insuffisant pour compromettre un compte protégé. La réponse cybercriminelle a été d'affiner l'ingénierie sociale pour contourner le MFA en temps réel — via des proxys de phishing adversary-in-the-middle — ou, comme le fait O-UNC-066, pour pousser directement la victime à inscrire les credentials de l'attaquant dans son propre compte.
Les passkeys FIDO2 sont, par conception, résistantes au phishing classique : elles sont liées cryptographiquement à un domaine précis et ne peuvent être transmises à un site frauduleux. Mais cette robustesse technique n'adresse pas la vulnérabilité du processus d'enrôlement lui-même. O-UNC-066 exploite précisément la fenêtre de fragilité existant avant qu'une passkey légitime soit enregistrée — période durant laquelle un utilisateur peut être conduit à enregistrer n'importe quelle clé sur instruction d'un interlocuteur qu'il croit légitime.
Ce mode opératoire n'est pas sans précédent. Des groupes comme Scattered Spider ont utilisé des techniques de vishing similaires entre 2022 et 2024 pour réinitialiser les facteurs MFA d'employés de grandes entreprises technologiques américaines, causant des brèches retentissantes dans des organisations comme MGM Resorts et Caesars Entertainment. O-UNC-066 fait évoluer cette méthode en ciblant spécifiquement les passkeys — la technologie que l'industrie présente comme l'avenir de la sécurité des comptes. Cela soulève une question fondamentale : toute procédure technique peut être contournée si le facteur humain qui l'entoure n'est pas solidement encadré.
Pour les entreprises françaises, l'enjeu est concret. Microsoft 365 équipe aujourd'hui la grande majorité des PME, ETI et grandes entreprises, et les campagnes de déploiement de passkeys Entra s'intensifient dans le cadre des programmes Zero Trust pilotés par les RSSI. Sans procédures vérifiables distinguant une demande d'enrôlement légitime d'une tentative d'ingénierie sociale, la robustesse technologique des passkeys FIDO2 reste sans effet. La recommandation de l'ANSSI de systématiser la vérification hors-bande des demandes IT sensibles prend ici tout son sens opérationnel.
Ce qu'il faut retenir
- O-UNC-066 inscrit ses propres passkeys FIDO2 dans des comptes M365 légitimes via vishing, obtenant un accès persistant résistant aux changements de mot de passe et aux révocations MFA classiques.
- Six secteurs sont ciblés depuis avril 2026 avec un modèle de double extorsion opérationnel — les demandes de rançon sont envoyées depuis les comptes compromis eux-mêmes.
- Contre-mesures prioritaires : restreindre l'enrôlement de passkeys aux appareils managés via des politiques d'accès conditionnel, auditer régulièrement les méthodes d'authentification enregistrées, et former les équipes à refuser tout enrôlement de clé demandé par téléphone sans ticket IT officiel préalable.
Comment détecter si une passkey frauduleuse a été enrôlée sur un compte Microsoft 365 ?
Dans le portail Microsoft Security info, accessible depuis les paramètres de compte de tout utilisateur M365, la section « Méthodes de connexion » liste toutes les passkeys enregistrées avec leur date d'enrôlement et le dispositif associé. Toute passkey dont la date ou l'appareil est inconnu doit être supprimée immédiatement et l'incident signalé à l'équipe sécurité. Les administrateurs peuvent également auditer les enrôlements via les journaux Azure AD, dans la section « Authentication methods activity », en filtrant sur les événements d'enregistrement FIDO2 — notamment ceux réalisés hors des heures de travail habituelles ou depuis des géolocalisations inattendues.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Meta Muse Spark 1.1 : le modèle IA agentique low-cost qui défie OpenAI et Anthropic
Meta a lancé Muse Spark 1.1 le 9 juillet 2026, un modèle IA multimodal conçu pour les agents autonomes et le coding, avec une fenêtre contextuelle d'un million de tokens et une tarification agressive.
OpenAI lance GPT-Live : la voix IA full-duplex qui écoute et parle simultanément
OpenAI a dévoilé le 8 juillet 2026 GPT-Live, un modèle vocal full-duplex capable d'écouter et de parler en même temps, propulsant ChatGPT Voice dans une nouvelle ère conversationnelle.
Injective Labs : 18 packages npm backdoorés pour voler des clés crypto
Des attaquants ont compromis le dépôt GitHub d'Injective Labs le 8 juillet 2026 pour empoisonner 18 packages npm et dérober des clés privées de wallets crypto.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire