Accueil Applications Microsoft Entra ID : des millions de comptes testés grâce à de...

Microsoft Entra ID : des millions de comptes testés grâce à de faux identifiants OAuth

Des attaquants utilisent des identifiants d’applications OAuth falsifiés pour repérer des comptes Microsoft Entra ID valides et vérifier des mots de passe volés. Plusieurs campagnes ont déjà ciblé des millions d’utilisateurs tout en échappant à certaines détections fondées sur les journaux de connexion.

Une application fictive pour interroger Entra ID

La technique documentée par Proofpoint repose sur le client ID, l’identifiant unique normalement associé à une application utilisant OAuth. Les attaquants envoient des requêtes d’authentification à Microsoft Entra ID en indiquant des identifiants d’applications inventés ou modifiés.

Ils n’ont besoin ni d’enregistrer une véritable application OAuth ni d’exploiter une vulnérabilité. Les différents codes d’erreur renvoyés par Entra ID permettent de déterminer si un nom d’utilisateur existe, si un mot de passe est correct ou si le compte est soumis à l’authentification multifacteur et à des règles d’accès conditionnel. Aucun accès réussi n’est nécessaire pour obtenir ces informations.

Plus de deux millions d’utilisateurs visés

Proofpoint a identifié au moins deux campagnes distinctes, ce qui suggère que la méthode circule déjà parmi plusieurs groupes. Entre janvier et mars 2026, une première opération a utilisé plus de 700 000 faux identifiants d’applications pour tester plus d’un million de comptes répartis dans près de 4 000 environnements Microsoft Entra. La multiplication des tentatives a provoqué le verrouillage d’environ 28 % des comptes ciblés.

Une seconde campagne, observée à partir de décembre 2025, a visé plus de deux millions d’utilisateurs avec 3,7 millions d’identifiants OAuth générés aléatoirement. Les requêtes provenaient notamment d’infrastructures AWS et Cloudflare et utilisaient des méthodes différentes, signe probable d’opérateurs indépendants.

Un angle mort dans les journaux de connexion

Lorsqu’un faux client ID est utilisé, Microsoft Entra ID enregistre l’identifiant fourni, mais aucun nom d’application ne lui est associé. Les systèmes de détection recherchant une hausse des échecs de connexion sur une application précise risquent donc de ne rien voir.

Proofpoint recommande de surveiller les événements de connexion dont le champ correspondant au nom de l’application reste vide, ainsi que les volumes anormaux d’identifiants inconnus. Ces requêtes peuvent servir à valider des listes d’identifiants volés avant une tentative d’intrusion plus ciblée.