Microsoft : 35 000 utilisateurs piégés par AiTM Code of Conduct

17 mai 2026

•

Mis à jour le 17 mai 2026

•

6 min de lecture

•

985 mots

•

11 vues

•

Microsoft Threat Intelligence détaille une campagne AiTM ayant ciblé 35 000 utilisateurs dans 13 000 organisations sur 26 pays via des leurres RH disciplinaires détournant les cookies de session Microsoft 365.

En bref

Microsoft Threat Intelligence dévoile une campagne AiTM massive « code of conduct » : 35 000 utilisateurs ciblés dans 13 000 organisations sur 26 pays.
Mode opératoire : pièces jointes PDF imitant des notifications RH disciplinaires, redirection vers un proxy AiTM volant cookies de session Microsoft 365.
Secteurs prioritaires : santé (19 %), finance (18 %), services pro (11 %), tech (11 %). 92 % des cibles aux États-Unis, le reste en Europe et Asie.

Les faits

Microsoft Threat Intelligence a publié le 4 mai 2026 une analyse détaillée d'une campagne de phishing AiTM (adversary-in-the-middle) particulièrement sophistiquée, observée entre les 14 et 16 avril 2026. La campagne a touché plus de 35 000 utilisateurs répartis dans plus de 13 000 organisations sur 26 pays. Avec 92 % des cibles localisées aux États-Unis, la campagne déborde tout de même significativement sur l'Europe et l'Asie. Aucun pays n'est explicitement épargné selon le rapport.

L'angle d'attaque repose sur un leurre RH d'une qualité inhabituelle. Les emails se présentent comme des notifications de conformité interne avec des intitulés du type « Awareness Case Log File – Tuesday 14th, April 2026.pdf » ou « Disciplinary Action – Employee Device Handling Case.pdf ». Les pièces jointes PDF, signées et formatées comme des documents corporate, incluent un bouton « Review Case Materials » qui redirige la victime vers un domaine attaquant contrôlé.

La sophistication réside dans la chaîne d'infrastructure utilisée. Plutôt que des domaines jetables typés phishing, les attaquants exploitent des services de mailing légitimes pour leur envoi initial, ce qui leur permet de passer les filtres anti-spam reposant sur la réputation SPF/DKIM/DMARC. La phase intermédiaire utilise des sous-domaines hébergés sur des fournisseurs cloud mainstream, et la page finale de capture s'appuie sur le framework Tycoon 2FA, popularisé en 2025 et désormais standard du marché du phishing-as-a-service.

Le mécanisme AiTM permet de contourner l'authentification multifacteur. Lorsque la victime saisit ses identifiants Microsoft 365, le proxy attaquant transmet la requête au véritable portail Microsoft, récupère le défi MFA, le présente à la victime, capte le code, et reçoit en retour le cookie de session signé par Entra ID. Ce cookie permet ensuite à l'attaquant de se connecter sans MFA tant que la session reste valide, typiquement 24 à 72 heures selon les politiques conditionnelles.

Le ciblage sectoriel est révélateur. Santé et sciences de la vie représentent 19 % des destinataires, services financiers 18 %, services professionnels 11 %, technologie et logiciels 11 %. Ce mix correspond précisément aux secteurs où les données clients ont une valeur revente forte sur les marchés cybercriminels et où la conformité MFA est généralement déjà bien déployée — ce qui rend le contournement AiTM particulièrement intéressant pour les attaquants.

Microsoft attribue la campagne à un cluster opportuniste à motivation financière, sans rattacher l'opération à un acteur étatique. L'usage de templates HTML enterprise-style et de déclarations préemptives d'authenticité (« This is an official internal communication ») suggère un soin éditorial inhabituel pour ce type de campagne et plaide pour un acteur expérimenté disposant probablement de testeurs internes pour optimiser les taux de clic.

Le suivi post-compromission documenté révèle l'accès aux boîtes mail compromises, la mise en place de règles de transfert vers des adresses externes, l'exfiltration de pièces jointes financières et juridiques, et la tentative de Business Email Compromise (BEC) sur les contacts internes. Plusieurs incidents documentés ont abouti à des virements bancaires frauduleux de plus de 200 000 dollars chacun.

Du point de vue défensif, Microsoft recommande l'activation des stratégies d'accès conditionnel avec exigence de Token Protection (preview), la révocation systématique des sessions actives après détection d'une connexion suspecte, et l'investigation des règles de boîte mail créées dans les 30 derniers jours. Le déploiement de FIDO2 ou de passkeys en remplacement du MFA SMS/TOTP reste la mitigation la plus efficace contre AiTM, mais demeure peu déployé en entreprise au-delà des effectifs IT et administrateurs.

Impact et exposition

Toute organisation utilisant Microsoft 365 avec MFA mais sans Token Protection ni FIDO2 reste exposée à ce type d'attaque. Le rayon d'impact dépasse la compromission individuelle : un compte AiTM permet la latéralisation vers SharePoint, OneDrive, Teams, et l'usurpation pour BEC vers les partenaires externes.

Recommandations

Activer Token Protection (Sign-in token protection) dans les politiques d'accès conditionnel Entra ID.
Déployer FIDO2 ou les passkeys pour les profils à fort privilège : DSI, RSSI, direction financière, juridique.
Réduire la durée de vie des sessions Entra ID à 4 heures pour les rôles sensibles.
Mettre en place une détection des règles de boîte mail créant des transferts externes, via Defender for Office 365 ou un SIEM Sentinel/Splunk.
Sensibiliser les équipes RH et compliance aux leurres disciplinary et code of conduct, typologie en forte hausse en 2026.
Auditer rétroactivement les logs Sign-in Entra ID des 60 derniers jours à la recherche d'IP géolocalisées hors zones habituelles avec succès MFA.

Alerte critique

Le MFA classique (SMS, TOTP, push notification) n'est plus une protection suffisante contre l'AiTM industrialisé. Toute organisation reposant uniquement sur ce niveau de défense doit considérer son périmètre identitaire comme à risque imminent.

Comment détecter une compromission AiTM passée ?

Examiner les logs Entra ID Sign-in pour les connexions réussies avec MFA depuis des IP inhabituelles (changements brutaux de géolocalisation, fournisseur VPS au lieu d'ISP grand public). Auditer les règles Inbox Rules créées récemment, en particulier celles incluant des mots-clés financiers comme invoice, wire, payment. Vérifier les sessions actives via Microsoft Graph et révoquer celles non identifiées.

FIDO2 et passkeys protègent-ils réellement de l'AiTM ?

Oui. FIDO2/WebAuthn lie cryptographiquement l'authentification à l'origine du domaine légitime via le navigateur. Un proxy AiTM est incapable de relayer cette signature : la clé privée du token ne signe que des requêtes adressées au vrai domaine login.microsoftonline.com. C'est aujourd'hui la seule protection robuste contre cette classe d'attaque.

Audit Microsoft 365 anti-AiTM

Ayi NEDJIMI réalise des audits de configuration Entra ID et Defender pour identifier les faiblesses face aux campagnes AiTM industrialisées.

Demander un audit

Partager cet article

Twitter LinkedIn

À propos de l'auteur

Ayi NEDJIMI

Auditeur Senior Cybersécurité & Consultant IA

Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense

ayi@ayinedjimi-consultants.fr

25+

ans d'expérience

700+

articles publiés

100+

missions réalisées

Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.

À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.

Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.

Domaines d'expertise

ISO 42001 Lead Auditor ISO 27001 · NIS2 Pentest & Forensics IA / LLM / RAG Cloud & Active Directory

Voir le profil complet Demander un devis

Ressources & Outils de l'auteur

GitHub

Code & projets open source

Hugging Face

Modèles IA & datasets

CertifExpress

Préparez vos certifications IT

WindowsBooster

Optimisation Windows 11

Articles connexes

WordPress CVE-2026-4882 : RCE sans auth via plugin User Registration

CVE-2026-4882 (CVSS 9.8) permet l'upload de webshell PHP sans authentification sur les sites WordPress utilisant User Registration Advanced Fields. Plus de 60 000 sites concernés, exploitation automatisée depuis le 6 mai 2026.

17/05/2026

SAP Commerce Cloud CVE-2026-34263 : RCE sans auth (CVSS 9.6)

SAP a publié le 13 mai 2026 un correctif pour CVE-2026-34263, une faille critique de configuration Spring Security dans Commerce Cloud permettant l'upload non authentifié de fichiers ImpEx et la RCE complète.

17/05/2026

Claw Chain : 4 CVE chaînées exposent 245 000 agents IA OpenClaw

Cyera Research dévoile Claw Chain : quatre vulnérabilités chaînables (CVE-2026-44112, 44113, 44115, 44118) dans la plateforme open-source d'agents IA OpenClaw. 245 000 serveurs exposés, correctif dans la version 2026.4.22.

16/05/2026

Article précédent

WordPress CVE-2026-4882 : RCE sans auth via plugin User Registration

Article suivant

Management planes : le nouveau périmètre que personne n'audite

Commentaires (2)

Sophie Quesnel 01/01/0001 à 00:00

Question concrète sur Token Protection : ça reste en preview chez Microsoft depuis longtemps, des retours sur la stabilité en prod pour 500-1000 utilisateurs ? On hésite à le pousser à toute l'entreprise vs limiter aux comptes admin.

Grégoire Lannelongue 01/01/0001 à 00:00

Nuance sur la recommandation FIDO2 pour tous les profils sensibles : très bien en théorie, en pratique le déploiement bute sur les utilisateurs nomades sans poste fixe et sur les comptes de service. On finit souvent en MFA hybride avec FIDO2 sur les admins et TOTP renforcé ailleurs.

Laisser un commentaire