Des chercheurs de Cisco Talos ont dévoilé une menace qui change la donne pour les équipes techniques. Son nom est ARToken. De plus, cette plateforme agit comme un service de phishing prêt à l’emploi. Autrement dit, n’importe quel groupe criminel peut louer le kit et s’en prendre à Microsoft 365. Par conséquent, l’attaque n’est plus artisanale et prend une ampleur industrielle. Et la cible privilégiée est généralement le secteur financier des entreprises.
Phishing en tant que Service: le modèle qui a transformé le crime en abonnement
ARToken suit le modèle du Phishing as a Service. En d’autres termes, les développeurs créent l’infrastructure et louent l’accès. Ainsi, des criminels peu expérimentés reçoivent un arsenal complet. Cette logique rappelle n’importe quel produit SaaS que vous avez déjà souscrit. Toutefois, ici le service permet une intrusion dans les comptes d’entreprise. Ainsi, la barrière technique pour mener une attaque s’est effondrée.
Pourquoi le jeton volé vaut plus que votre mot de passe
Le danger majeur d’ARToken dépasse le simple mot de passe. En réalité, le malware vise les jetons d’authentification de la victime. Ces jetons sont les clés qui maintiennent la session active. Donc, celui qui contrôle le jeton accède au compte sans rien taper. De plus, l’intrus ignore complètement l’étape de saisie du mot de passe. En conséquence, changer le mot de passe ne résout qu’une partie de l’incident.
Phishing qui franchit le MFA en utilisant le login réel de Microsoft
Voici la partie qui fait peur aux équipes de sécurité. La victime reçoit un courriel frauduleux contenant une prétendue facture sur SharePoint. Ensuite, le lien renvoie à la page de connexion réelle de Microsoft. Puis la personne saisit un code généré par le criminel. Comme la connexion se fait sur le site officiel, la victime elle-même autorise l’accès. Ainsi, le double facteur passe sans que rien ne choque. Toutefois, Microsoft envoie le jeton directement au serveur de l’attaquant. Autrement dit, le MFA reste actif, mais perd son efficacité à ce moment précis.
L’IA au service du crime : le malware qui lit et rédige vos e-mails
L’intelligence artificielle est le facteur perturbateur le plus marquant d’ARToken. Le logiciel malveillant lit automatiquement la boîte de réception de la victime. De plus, il repère les messages qui traitent de transactions financières. Ensuite, l’IA rédige de nouveaux e-mails pour tromper d’autres personnes. Ainsi, l’arnaque se propage à partir de l’intérieur même de l’entreprise. Les criminels effacent aussi des alertes de sécurité en cours de route. Et ils téléchargent aussi des données sensibles depuis OneDrive et SharePoint.
Un panneau à 80 ports : l’échelle que maîtrisent les attaquants
Sur le plan technique, ARToken dispose d’un panneau de contrôle avancé. Ce panneau gère plus de 80 canaux de communication. Par conséquent, les criminels pilotent plusieurs campagnes simultanément. Ainsi, une seule opération vise des dizaines d’entreprises en parallèle. À noter un détail qui trompe beaucoup de monde. L’attaque s’appuie sur l’infrastructure officielle de Microsoft. C’est pourquoi les antivirus traditionnels déclenchent rarement des alertes.
Comment sécuriser Microsoft 365 avant que le jeton ne fuite
Voici la partie qui intéresse votre équipe. Tout d’abord, désactivez le flux d’authentification par code appareil dans le tableau de bord Azure. Cette recommandation émane directement de Cisco. Ensuite, appliquez des politiques d’accès conditionnel dans Entra ID. Ainsi, vous limitez les connexions provenant de lieux suspects. Il est utile d’activer aussi la protection du jeton contre le vol de session. Puis, formez les équipes financières avec une vigilance accrue. Après tout, Microsoft n’a pas besoin de codes pour autoriser des factures ou ouvrir des documents. Par conséquent, toute demande de ce format mérite une méfiance immédiate.
Le phishing a évolué et la défense de votre équipe doit suivre
ARToken démontre que le phishing a véritablement mûri. La menace associe désormais IA, automatisation et l’infrastructure légitime de Microsoft. Cependant, la défense reste à votre portée. Ajustez les paramètres d’Entra ID dès aujourd’hui. Renforcez la formation des équipes avec des exemples concrets. De cette manière, votre environnement devient nettement plus difficile à pénétrer. Après tout, chaque couche supplémentaire de protection fait la différence dans le paysage actuel.
Suivez notre profil sur Instagram !




