En bref

  • Le groupe O-UNC-066 (alias « Pink » selon Palo Alto Networks Unit 42) mène depuis avril 2026 une campagne de vishing visant à inscrire de fausses passkeys FIDO2 dans des comptes Microsoft 365, offrant aux attaquants un accès persistant résistant aux changements de mot de passe.
  • Six secteurs sont ciblés : agroalimentaire, technologie, santé, automobile, construction et aviation, avec un site de fuite de données opérationnel depuis le 31 mai 2026.
  • Les administrateurs M365 doivent restreindre l'enrôlement de passkeys aux appareils gérés et former leurs collaborateurs à ne jamais enrôler une clé d'authentification sur simple injonction téléphonique.

Un appel téléphonique suffit pour installer une porte dérobée dans un compte Microsoft 365

Depuis avril 2026, un groupe de cybercriminels suivi par les équipes de renseignement sur les menaces d'Okta sous l'identifiant O-UNC-066 — et baptisé « Pink » par les analystes de Palo Alto Networks Unit 42 — orchestre une campagne de vishing (phishing vocal) d'une sophistication inhabituelle contre des organisations utilisant Microsoft 365. L'originalité de cette opération réside dans son vecteur d'attaque : elle ne cherche pas à casser les mécanismes d'authentification forte, mais à les détourner en convainquant les victimes d'enregistrer elles-mêmes les credentials des attaquants dans leurs propres comptes.

Le scénario se déroule selon un script rodé. Un employé reçoit un appel téléphonique d'un interlocuteur se présentant comme un membre du service IT ou de l'équipe de sécurité de son entreprise. Le prétexte est invariable : pour des raisons de conformité ou de sécurité urgentes, l'employé doit immédiatement enregistrer une nouvelle passkey Microsoft Entra sur son compte. L'urgence simulée, la connaissance préalable de certains éléments de contexte interne et la maîtrise des codes professionnels créent une pression psychologique suffisante pour convaincre de nombreux salariés d'obtempérer sans vérifier.

L'opérateur dirige ensuite la victime vers une URL de phishing contenant délibérément le terme « passkey » dans le nom de domaine — un détail rassurant pour un utilisateur peu averti. La page reproduit fidèlement l'interface Microsoft Entra, avec le logo de l'organisation cible et les mêmes flux d'enrôlement que le portail légitime. La victime saisit ses identifiants Microsoft 365 et son code d'authentification multifacteur (MFA) en croyant accéder à son espace sécurisé. Ces éléments sont immédiatement transmis à l'infrastructure des attaquants, qui les utilisent en temps réel pour s'authentifier sur le vrai compte Microsoft 365 de la victime.

L'étape suivante est l'inscription d'une passkey FIDO2 dans le portail Microsoft Security info du compte compromis. Cette clé est indiscernable d'une passkey légitime enrôlée par l'utilisateur lui-même. Elle offre à l'attaquant un accès persistant et résistant : même si la victime change ultérieurement son mot de passe ou révoque ses autres facteurs d'authentification, la passkey frauduleuse reste valide jusqu'à ce qu'un administrateur l'identifie et la supprime manuellement. Les équipes de sécurité qui ne procèdent pas à un audit explicite des passkeys enregistrées peuvent ainsi laisser la compromission active pendant des semaines.

Une subtilité technique mérite l'attention : la fausse page de phishing demande aux victimes de sauvegarder une « phrase de récupération BIP-39 » — le type de suite mnémotechnique utilisée pour les portefeuilles de cryptomonnaie. Les analystes d'Okta soulignent que les phrases BIP-39 n'ont aucun rôle dans le processus d'enrôlement Entra passkey légitime de Microsoft. Cette étape semble servir à la fois de distracteur pour les utilisateurs familiers des crypto-actifs et potentiellement à collecter des phrases de récupération pour un usage ultérieur sur d'éventuels portefeuilles numériques des victimes.

Une fois la passkey de l'attaquant inscrite dans le compte, la phase d'exfiltration commence. Le groupe accède aux messageries, aux fichiers SharePoint, aux espaces Teams et aux applications connectées via le compte compromis. Le 31 mai 2026, O-UNC-066 a mis en ligne un site de publication de données volées, adoptant le modèle de la double extorsion désormais standard dans les opérations cybercriminelles professionnelles. Les délais de paiement sont fixés à 72 heures, et les demandes de rançon sont notifiées directement depuis les comptes Microsoft 365 compromis — une méthode qui renforce la crédibilité de la menace et complique simultanément la gestion de crise pour les équipes IT, qui doivent gérer en parallèle la compromission active et des communications frauduleuses sortant de leur propre infrastructure.

Les secteurs ciblés — agroalimentaire, technologies, santé, automobile, construction et aviation — partagent plusieurs caractéristiques communes. Ils ont massivement adopté Microsoft 365 ces dernières années, parfois dans des contextes où la sensibilisation des équipes aux nouvelles menaces n'a pas suivi le rythme de la transformation numérique. Leurs données représentent par ailleurs une valeur marchande élevée : données de patients dans la santé, propriété intellectuelle dans l'automobile et les technologies, données de marchés dans la construction. Selon SecurityWeek, qui a relayé l'alerte d'Okta, la campagne présente une portée internationale confirmée avec des victimes dans plusieurs pays.

Okta, qui a documenté la campagne dans un rapport de renseignement publié début juillet 2026, et BleepingComputer, qui a relayé l'alerte le 11 juillet, recommandent aux administrateurs Microsoft 365 de prendre des mesures immédiates. The Hacker News a également couvert la menace sous le titre « Hackers Use Fake Microsoft Entra Passkey Enrollment to Gain Microsoft 365 Access », confirmant l'attention que l'incident suscite dans la communauté de la sécurité. Le groupe O-UNC-066 est distinct des groupes APT étatiques connus, mais son niveau d'organisation — kit de phishing à panneau de contrôle, ciblage multi-sectoriel, infrastructure de site de fuite — le classe parmi les acteurs cybercriminels les plus sophistiqués actuellement actifs contre les entreprises européennes et nord-américaines.

La passkey, nouveau terrain d'ingénierie sociale dans un écosystème Zero Trust

La campagne O-UNC-066 illustre une évolution majeure du paysage des menaces : les cybercriminels ne cherchent plus prioritairement à casser les mécanismes d'authentification forte, mais à les instrumentaliser. L'adoption massive du MFA ces cinq dernières années a rendu le vol de mot de passe seul insuffisant pour compromettre un compte protégé. La réponse cybercriminelle a été d'affiner l'ingénierie sociale pour contourner le MFA en temps réel — via des proxys de phishing adversary-in-the-middle — ou, comme le fait O-UNC-066, pour pousser directement la victime à inscrire les credentials de l'attaquant dans son propre compte.

Les passkeys FIDO2 sont, par conception, résistantes au phishing classique : elles sont liées cryptographiquement à un domaine précis et ne peuvent être transmises à un site frauduleux. Mais cette robustesse technique n'adresse pas la vulnérabilité du processus d'enrôlement lui-même. O-UNC-066 exploite précisément la fenêtre de fragilité existant avant qu'une passkey légitime soit enregistrée — période durant laquelle un utilisateur peut être conduit à enregistrer n'importe quelle clé sur instruction d'un interlocuteur qu'il croit légitime.

Ce mode opératoire n'est pas sans précédent. Des groupes comme Scattered Spider ont utilisé des techniques de vishing similaires entre 2022 et 2024 pour réinitialiser les facteurs MFA d'employés de grandes entreprises technologiques américaines, causant des brèches retentissantes dans des organisations comme MGM Resorts et Caesars Entertainment. O-UNC-066 fait évoluer cette méthode en ciblant spécifiquement les passkeys — la technologie que l'industrie présente comme l'avenir de la sécurité des comptes. Cela soulève une question fondamentale : toute procédure technique peut être contournée si le facteur humain qui l'entoure n'est pas solidement encadré.

Pour les entreprises françaises, l'enjeu est concret. Microsoft 365 équipe aujourd'hui la grande majorité des PME, ETI et grandes entreprises, et les campagnes de déploiement de passkeys Entra s'intensifient dans le cadre des programmes Zero Trust pilotés par les RSSI. Sans procédures vérifiables distinguant une demande d'enrôlement légitime d'une tentative d'ingénierie sociale, la robustesse technologique des passkeys FIDO2 reste sans effet. La recommandation de l'ANSSI de systématiser la vérification hors-bande des demandes IT sensibles prend ici tout son sens opérationnel.

Ce qu'il faut retenir

  • O-UNC-066 inscrit ses propres passkeys FIDO2 dans des comptes M365 légitimes via vishing, obtenant un accès persistant résistant aux changements de mot de passe et aux révocations MFA classiques.
  • Six secteurs sont ciblés depuis avril 2026 avec un modèle de double extorsion opérationnel — les demandes de rançon sont envoyées depuis les comptes compromis eux-mêmes.
  • Contre-mesures prioritaires : restreindre l'enrôlement de passkeys aux appareils managés via des politiques d'accès conditionnel, auditer régulièrement les méthodes d'authentification enregistrées, et former les équipes à refuser tout enrôlement de clé demandé par téléphone sans ticket IT officiel préalable.

Comment détecter si une passkey frauduleuse a été enrôlée sur un compte Microsoft 365 ?

Dans le portail Microsoft Security info, accessible depuis les paramètres de compte de tout utilisateur M365, la section « Méthodes de connexion » liste toutes les passkeys enregistrées avec leur date d'enrôlement et le dispositif associé. Toute passkey dont la date ou l'appareil est inconnu doit être supprimée immédiatement et l'incident signalé à l'équipe sécurité. Les administrateurs peuvent également auditer les enrôlements via les journaux Azure AD, dans la section « Authentication methods activity », en filtrant sur les événements d'enregistrement FIDO2 — notamment ceux réalisés hors des heures de travail habituelles ou depuis des géolocalisations inattendues.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact