How is OAuth consent phishing different from regular phishing attacks?

Unlike traditional phishing that steals passwords, OAuth consent phishing tricks you into granting legitimate access permissions to malicious applications. This means attackers bypass multi-factor authentication, and changing your password won't revoke their access. The attack exploits the trusted OAuth framework itself, making it harder to detect since the access appears authorized through normal authentication channels.

Can attackers still access my account if I change my password after granting OAuth permissions?

Yes, changing your password does not revoke OAuth application permissions. Once you grant an application access through OAuth consent, it receives access tokens that work independently of your password. You must explicitly revoke the application's permissions through your account settings (like Google's 'Apps with account access' or Microsoft's 'My Apps') to remove the attacker's access completely.

How can I tell if an OAuth consent screen is legitimate or malicious?

Legitimate OAuth screens display verified publisher badges, official company domains, and request only permissions necessary for the app's function. Red flags include unverified publishers, generic app names, excessive permission requests (like email access for a calendar app), arrival via unexpected emails, and pressure to approve quickly. Always navigate directly to a service's official website rather than following emailed links when granting permissions.

What should I do if I accidentally granted permissions to a suspicious OAuth app?

Immediately revoke the application's access through your account security settings, then change your password as a precaution. Review recent account activity for unauthorized access, enable alerts for suspicious logins, and notify your IT department if using a work account. Check for any created inbox rules, forwarding settings, or authorized delegates that the attacker may have configured while they had access.

Why don't anti-virus programs or email filters catch OAuth consent phishing?

OAuth consent phishing uses legitimate authentication infrastructure and doesn't contain traditional malware or obviously malicious links. The OAuth consent screens are hosted on official Microsoft or Google domains, making them appear trustworthy to security filters. Email security tools focus on detecting credential harvesting sites or malware, but OAuth attacks abuse legitimate functionality, requiring specialized cloud security monitoring and user awareness to prevent.

High Risk Average Loss: $3,000 Typical Duration: 1-7 days

Hameçonnage par consentement OAuth : Vol d'identité via les permissions d'application

L'hameçonnage par consentement OAuth exploite le cadre d'authentification OAuth de confiance utilisé par Microsoft 365, Google Workspace et d'autres plateformes cloud. Au lieu de voler directement les mots de passe, les attaquants créent des applications tierces malveillantes qui demandent des permissions étendues pour accéder aux e-mails, fichiers, contacts et ressources cloud. Lorsque les victimes cliquent sur « Autoriser » ou « Accepter » sur ce qui semble être un écran de connexion légitime, elles accordent involontairement à l'application de l'attaquant un accès persistant à leurs comptes—un accès qui contourne l'authentification multifacteur et reste actif même après les changements de mot de passe. Ce vecteur d'attaque a augmenté de 300 % depuis 2021 selon le rapport Digital Defense Report de Microsoft, le centre de plainte des crimes Internet du FBI reliant plus de 43 millions de dollars de pertes liées aux compromissions de messagerie professionnelle à des attaques basées sur OAuth en 2023. La technique est particulièrement dangereuse car elle exploite l'infrastructure d'authentification légitime, ce qui rend la détection difficile pour les utilisateurs et les outils de sécurité traditionnels. Contrairement au vol d'identifiants, l'hameçonnage par consentement OAuth ne déclenche pas d'alertes de fuite de mot de passe ou d'avertissements de connexion suspecte. Les attaquants diffusent généralement ces demandes OAuth malveillantes par le biais de campagnes de courrier électronique sophistiquées, de fausses invitations de collaboration ou de sites web compromis. La FTC rapporte que 68 % des victimes sont des employés de petites et moyennes entreprises qui reçoivent de fausses notifications SharePoint ou des invitations de réunion Teams. Les pertes financières moyennes atteignent 3 000 euros pour les particuliers, mais les organisations font face à des coûts considérablement plus élevés, en moyenne 47 000 euros par incident, incluant l'exfiltration de données, la perturbation commerciale et les frais de remédiation.

Common Tactics How to Identify How to Protect Yourself Real-World Examples Frequently Asked Questions

Common Tactics

• Les attaquants enregistrent des applications malveillantes auprès des fournisseurs OAuth en utilisant des noms qui imitent les services légitimes comme « Office365 Security Update » ou « Google Drive Scanner » pour paraître dignes de confiance lors de l'écran de consentement.
• Les arnaqueurs envoient des courriers électroniques d'hameçonnage contenant des liens vers des pages de consentement OAuth, souvent déguisés en notifications de partage de documents, invitations de réunion ou alertes de sécurité urgentes nécessitant une action immédiate.
• Les criminels formulent des demandes de permissions qui semblent minimales mais accordent en réalité un accès considérable—en demandant des permissions « Lire votre e-mail » qui incluent l'accès complet à la boîte aux lettres et les capacités de redirection de messages.
• Les attaquants utilisent des tactiques de pression temporelle dans leurs leurres, affirmant que les comptes seront verrouillés, les fichiers seront supprimés ou que les documents urgents nécessitent un examen immédiat dans les heures pour contourner l'examen attentif des victimes.
• Les opérations sophistiquées compromettent d'abord les comptes d'employés légitimes, puis envoient des liens d'hameçonnage OAuth à partir d'adresses e-mail internes de confiance pour augmenter les taux de réussite au sein des organisations.
• Les arnaqueurs maintiennent un accès persistant en demandant des permissions offline_access, permettant à leurs applications malveillantes de conserver l'accès au compte indéfiniment sans exiger que la victime se réauthentifie.

How to Identify

L'écran de consentement OAuth apparaît après avoir cliqué sur un lien dans un e-mail inattendu, en particulier des messages urgents concernant des documents partagés, des mises à jour de sécurité ou une vérification de compte que vous n'aviez pas demandée.
Le nom de l'application sur l'écran de consentement contient des termes génériques, des fautes d'orthographe ou des noms suspects comme « Secure Email Reader » ou « Document Viewer Pro » plutôt que des marques reconnaissables.
Les demandes de permissions incluent un accès large comme « Accès en lecture et écriture à tous vos fichiers », « Envoyer des e-mails en votre nom » ou « Accès à tous vos contacts » alors que la fonction prétendument nécessaire ne nécessite pas de telles permissions étendues.
Les informations sur l'éditeur affichent « Non vérifié » ou affichent un nom de domaine suspect plutôt qu'un domaine officiel de la société (microsoft.com, google.com) ou un badge d'éditeur vérifié.
La demande de consentement OAuth arrive via une URL raccourcie (bit.ly, tinyurl) ou une chaîne de redirection inconnue plutôt que de provenir directement du domaine officiel d'un service connu.
Le timing est suspect—les demandes de consentement apparaissant immédiatement après la réception d'e-mails non sollicités concernant des partages de documents, des invitations de calendrier ou des alertes de sécurité qui créent une urgence artificielle.

How to Protect Yourself

Avant de cliquer sur « Accepter » sur un écran de consentement OAuth, vérifiez que l'éditeur de l'application est vérifié et que le domaine correspond au site Web officiel de l'entreprise—survolez les liens et vérifiez la destination réelle de l'URL.
Examinez attentivement les permissions demandées et rejetez toute application demandant un accès au-delà de ce qui est nécessaire pour son objectif déclaré ; une visionneuse de documents ne devrait pas nécessiter de permissions d'envoi d'e-mails.
Configurez les politiques organisationnelles dans les consoles d'administration Microsoft 365 ou Google Workspace pour restreindre les installations d'applications OAuth aux applications pré-approuvées ou exiger le consentement de l'administrateur pour les applications demandant des permissions sensibles.
Auditez régulièrement les applications connectées dans les paramètres de votre compte (Google : myaccount.google.com/permissions, Microsoft : account.microsoft.com/privacy) et révoquez immédiatement l'accès aux applications inconnues ou inutilisées.
Activez la journalisation et le suivi améliorés pour les accords de consentement OAuth dans les environnements d'entreprise en utilisant des courtiers de sécurité d'accès cloud (CASB) ou des outils de sécurité intégrés pour détecter les permissions d'application suspectes.
Mettez en œuvre une formation de sensibilisation des utilisateurs spécifiquement sur l'hameçonnage par consentement OAuth, enseignant aux employés à reconnaître les demandes OAuth légitimes par rapport aux demandes malveillantes et établir des protocoles clairs pour vérifier l'authenticité de l'application avant d'accorder l'accès.

Real-World Examples

Un responsable marketing dans un cabinet de conseil de taille moyenne a reçu un e-mail apparemment d'un compte Microsoft 365 d'un collègue avec le sujet « Budget Q4 - Nécessite votre avis ASAP ». En cliquant sur le lien SharePoint, il a accédé à un écran de consentement OAuth pour une application appelée « Office Document Viewer ». Dans les heures suivant l'octroi d'accès, l'application de l'attaquant a transféré 2 847 e-mails vers un compte externe, y compris des contrats client contenant des détails bancaires qui ont été utilisés pour rediriger un virement de 28 000 euros.

Une directrice des ressources humaines a reçu ce qui semblait être une invitation Google Calendar pour une réunion exécutive urgente. L'acceptation de l'invitation a déclenché une demande OAuth pour une application de calendrier demandant « un accès de base au calendrier ». La victime l'a approuvée sans remarquer les permissions supplémentaires pour l'accès à Gmail et Drive. Au cours des trois jours suivants, l'attaquant a exfiltré les informations personnelles des employés, y compris les numéros de sécurité sociale de 340 employés, avant que la violation ne soit découverte lors d'un audit de sécurité de routine.

Un propriétaire de petite entreprise a cliqué sur un lien dans un e-mail affirmant que son compte Dropbox avait une activité suspecte et nécessitait une vérification. L'écran de consentement OAuth semblait légitime, avec les couleurs de Dropbox et demandant des « permissions de vérification de compte ». Après approbation, l'application malveillante a accédé au stockage cloud de l'entreprise, a chiffré les fichiers d'affaires critiques et a exigé une rançon de 4 500 euros. Parce que l'accès a été accordé via OAuth légitime, l'activité de chiffrement n'a pas déclenché d'alertes de sécurité jusqu'à ce que des dommages importants se produisent.

Frequently Asked Questions

En quoi l'hameçonnage par consentement OAuth est-il différent des attaques d'hameçonnage ordinaires ?

Contrairement à l'hameçonnage traditionnel qui vole les mots de passe, l'hameçonnage par consentement OAuth vous trompe pour que vous accordiez des permissions d'accès légitime à des applications malveillantes. Cela signifie que les attaquants contournent l'authentification multifacteur, et changer votre mot de passe ne révoquera pas leur accès. L'attaque exploite le cadre OAuth lui-même, ce qui rend la détection plus difficile puisque l'accès apparaît autorisé par les canaux d'authentification normaux.

Les attaquants peuvent-ils toujours accéder à mon compte si je change mon mot de passe après avoir accordé des permissions OAuth ?

Oui, changer votre mot de passe ne révoque pas les permissions d'application OAuth. Une fois que vous accordez l'accès à une application via le consentement OAuth, elle reçoit des jetons d'accès qui fonctionnent indépendamment de votre mot de passe. Vous devez explicitement révoquer les permissions de l'application via les paramètres de votre compte (comme « Applications ayant accès à votre compte » de Google ou « Mes applications » de Microsoft) pour supprimer complètement l'accès de l'attaquant.

Comment puis-je savoir si un écran de consentement OAuth est légitime ou malveillant ?

Les écrans OAuth légitimes affichent des badges d'éditeur vérifié, des domaines officiels de l'entreprise et demandent uniquement les permissions nécessaires à la fonction de l'application. Les signes d'alerte incluent les éditeurs non vérifiés, les noms d'applications génériques, les demandes de permissions excessives (comme l'accès à l'e-mail pour une application de calendrier), l'arrivée via des e-mails inattendus et la pression pour approuver rapidement. Naviguez toujours directement vers le site officiel d'un service plutôt que de suivre les liens envoyés par e-mail lors de l'octroi de permissions.

Que dois-je faire si j'ai accidentellement accordé des permissions à une application OAuth suspecte ?

Révoquez immédiatement l'accès de l'application via les paramètres de sécurité de votre compte, puis changez votre mot de passe par mesure de précaution. Examinez l'activité récente du compte pour détecter l'accès non autorisé, activez les alertes pour les connexions suspectes et notifiez votre service informatique si vous utilisez un compte professionnel. Vérifiez les règles de boîte aux lettres créées, les paramètres de redirection ou les délégués autorisés que l'attaquant aurait pu configurer lors de son accès.

Pourquoi les programmes antivirus ou les filtres de courrier électronique n'attrapent-ils pas l'hameçonnage par consentement OAuth ?

L'hameçonnage par consentement OAuth utilise l'infrastructure d'authentification légitime et ne contient pas de logiciels malveillants traditionnels ou de liens évidemment malveillants. Les écrans de consentement OAuth sont hébergés sur les domaines Microsoft ou Google officiels, ce qui les rend dignes de confiance pour les filtres de sécurité. Les outils de sécurité des e-mails se concentrent sur la détection des sites de vol d'identifiants ou de malveillances, mais les attaques OAuth abusent des fonctionnalités légitimes, nécessitant une surveillance de sécurité cloud spécialisée et une sensibilisation des utilisateurs pour prévenir.

Commencer ici

Vérification de sécurité

Renseignement

Outils et rapports

Services premium

Extension et API