Une nouvelle technique de piratage baptisée ConsentFix inquiète les spécialistes de la cybersécurité : elle représente une évolution significative de la méthode ClickFix, déjà connue pour ses attaques d’ingénierie sociale. Cette variante est particulièrement pernicieuse car elle permet à des pirates de prendre le contrôle de comptes Microsoft sans voler de mot de passe ni contourner manuellement une authentification multifacteur.
Complices malgré eux
ClickFix était à l’origine une méthode qui consistait à tromper les utilisateurs pour qu’ils exécutent eux-mêmes des commandes malveillantes sur leurs appareils, souvent par copier-coller, en exploitant des sites ou des messages frauduleux. Cette approche a été observée depuis 2024 par des équipes spécialisées dans la sécurité comme Proofpoint ou Microsoft Threat Intelligence.
ConsentFix va plus loin puisqu’il combine une forme de phishing OAuth avec les techniques de ClickFix, mais cette fois entièrement dans le navigateur. L’attaquant amène la victime à générer et à copier une URL qui contient un jeton d’autorisation OAuth pour une application cible, comme Azure CLI de Microsoft. En collant cette URL sur une page contrôlée par l’agresseur, l’utilisateur lui accorde involontairement l’accès à son compte.
Des attaques difficile à détecter
Ce qui rend ConsentFix particulièrement troublant, c’est qu’il contourne plusieurs protections modernes. Aucun mot de passe n’est volé, et la connexion peut se faire sans déclencher de vérification multifacteur si l’utilisateur est déjà connecté à son compte dans le navigateur. Cela signifie que des mécanismes comme les passkeys ou certains filtres anti-phishing traditionnels sont inefficaces face à ce type d’attaque.
Les sites compromis bien référencés sur des moteurs de recherche, rendent l’attaque plus difficile à détecter pour les outils automatisés. Certains faux formulaires ou contrôles ressemblant à des vérifications anti-robots (par exemple des imitations de Cloudflare Turnstile) étaient utilisés pour filtrer les visiteurs valides et éviter l’analyse par des systèmes de sécurité.
Les experts soulignent que ConsentFix exploitent aussi bien des failles techniques que des réflexes humains, notamment la tendance à suivre des instructions qui semblent légitimes dans un contexte connu (ici Microsoft). Ils recommandent aux entreprises de renforcer la formation à la cybersécurité, de limiter les autorisations OAuth globales et de surveiller activement les intégrations d’applications via des audits réguliers.
