ARToken : Le Service de Phishing Microsoft 365
Découvrez comment ARToken, un nouveau service de phishing-as-a-service, cible Microsoft 365 et comprend les techniques d'authentification utilisées par les…
QU'EST-CE QU'ARTOKEN ?
ARToken est un nouveau service criminel découvert par Cisco Talos. Imaginez un magasin qui vend des outils pour commettre des crimes - c'est exactement ce qu'ARToken fait, mais sur internet. Au lieu de vendre des armes, il vend des outils pour voler les données des utilisateurs Microsoft 365.
ARToken fonctionne comme un affilié d'une autre plateforme appelée EvilTokens. C'est comme une franchise criminelle : EvilTokens a créé l'outil original, et ARToken l'utilise pour attaquer les entreprises.
QU'EST-CE QUE LE PHISHING ?
Avant de comprendre ARToken, vous devez comprendre le phishing. Le phishing est une technique très simple :
- Un cybercriminel vous envoie un faux email qui ressemble à un vrai (par exemple, un email qui semble venir de votre patron ou de Microsoft)
- L'email contient un lien ou une pièce jointe piégée
- Vous cliquez dessus en croyant que c'est légitime
- Le criminel récupère vos informations de connexion
C'est comme quelqu'un qui se déguise en livreur pour entrer dans une maison - c'est basé sur la tromperie.
Visualisation du concept :

[IMAGE 1 - Infographie phishing]
COMMENT FONCTIONNE ARTOKEN ?
ARToken utilise une technique d'authentification appelée "Code d'appareil Microsoft". Voici comment ça marche en langage simple :
ETAPE 1 : LE FAUX EMAIL
L'attaquant envoie un email qui semble venir de Microsoft ou de votre direction. Il dit quelque chose comme "Votre compte doit être vérifié" ou "Connectez-vous à votre compte pour débloquer une fonction importante".
ETAPE 2 : LE LIEN PIEGE
Au lieu de vous envoyer vers le vrai site Microsoft, le lien vous envoie vers un faux site créé par le criminel. Ce site est une copie exacte du vrai, vous ne voyez pas la différence.
ETAPE 3 : L'AUTHENTIFICATION PIRATEE
Quand vous entrez votre identifiant et mot de passe sur le faux site, le criminel les récupère. Mais ARToken va plus loin - il ne vole pas juste vos identifiants, il récupère aussi quelque chose de plus puissant : vos jetons d'authentification.
Schéma de l'attaque :

[IMAGE 2 - Diagramme flux attaque]
QU'EST-CE QU'UN JETON D'AUTHENTIFICATION ?
Un jeton est comme une clé magnétique pour entrer dans un bâtiment. Une fois qu'elle est créée, vous pouvez l'utiliser sans avoir besoin de redonner votre mot de passe.
Il existe deux types de jetons importants :
- Le jeton d'accès: c'est la clé qui dure peu longtemps
- Le jeton de rafraîchissement (PRT): c'est une clé maître qui peut créer de nouvelles clés
ARToken vole particulièrement les PRT (Primary Refresh Tokens). Pourquoi ? Parce qu'avec un PRT, le criminel peut accéder à votre compte pendant très longtemps, même après que vous ayez changé votre mot de passe.
Représentation des types de jetons :

[IMAGE 3 - Les deux types de jetons]
QUELS DOMMAGES PEUT FAIRE ARTOKEN ?
Une fois qu'ARToken a volé vos jetons, les criminels peuvent :
ACCEDER A VOS EMAILS
Ils lisent tous vos emails dans Outlook. Cela leur donne accès à des informations confidentielles, à des conversations sensibles, etc.
ACCEDER A VOS FICHIERS
Ils voient tous vos fichiers sur SharePoint et OneDrive. Imagine que tu laisses quelqu'un entrer dans ton bureau quand tu n'es pas là - il peut voir tous tes documents.
ENVOYER DES EMAILS EN TON NOM
Les criminels peuvent envoyer des emails qui semblent venir de toi. Cela leur permet de tromper d'autres personnes ou de faire des transferts d'argent frauduleux.
ETABLIR UN ACCES PERSISTANT
Avec le PRT, même si tu changes ton mot de passe, le criminel garde l'accès. C'est comme si quelqu'un avait fait un double de ta clé magnétique - tu peux changer ta serrure, mais lui, il a déjà le double.
LA TECHNIQUE DE CLOUDFLARE WORKERS
ARToken utilise quelque chose appelé "Cloudflare Workers" pour héberger ses faux sites. Pourquoi ?
Cloudflare est un service légitime qui protège les sites web contre les attaques. Mais les criminels l'utilisent pour cacher leurs faux sites. C'est comme utiliser un taxi avec des plaques d'immatriculation officielles pour faire des enlèvements - personne ne soupçonne le taxi.
COMMENT CA AIDE LES CRIMINELS ?
En utilisant Cloudflare Workers, ARToken peut :
- Créer rapidement de nouveaux faux sites
- Les faire disparaître tout aussi rapidement
- Être très difficile à bloquer
- Paraître officiel et légitime
L'AUTOMATISATION DES ATTAQUES
ARToken automatise également les attaques BEC (Business Email Compromise). BEC signifie que les criminels piratent des emails d'entreprise pour voler de l'argent.
Normalement, un criminel doit faire chaque étape à la main - créer le faux email, envoyer le lien, attendre la réponse, etc. Avec ARToken, tout cela est automatisé. Un criminel peut attaquer 100 entreprises en même temps avec très peu d'effort.
C'EST COMME UNE USINE DE CRIME
- Sans automatisation : un criminel prépare un repas
- Avec automatisation : un criminel utilise un restaurant qui prépare 1000 repas par jour
LES SIMILITUDES AVEC EVILTOKENS
Cisco Talos a découvert que ARToken utilise les mêmes techniques qu'EvilTokens, notamment :
- La même méthode de code d'appareil Microsoft
- La même façon de voler les jetons de rafraîchissement
- La même infrastructure pour déployer les attaques
C'est comme si deux restaurants utilisaient la même recette secrète. Cela montre qu'il y a une connexion technique directe entre les deux services criminels.
POURQUOI EST-CE DANGEREUX ?
ACCESSIBLE AUX CRIMINELS NON-QUALIFIES
Avant ARToken, seuls les criminels très compétents pouvaient faire du phishing sophistiqué. Maintenant, avec ARToken, même un criminel amateur peut attaquer des grandes entreprises. C'est comme démocratiser le crime - cela le rend beaucoup plus courant.
TRES DIFFICILE A DETECTER
Le criminel ne doit pas être présent pour maintenir l'accès. Avec le PRT, il peut accéder à votre compte depuis n'importe où, n'importe quand, et vous ne le saurez peut-être jamais.
TOUCHE PRINCIPALEMENT LES ENTREPRISES
ARToken cible particulièrement les boîtes email d'entreprise. Les criminels peuvent :
- Voler des données commerciales confidentielles
- Faire des transferts d'argent frauduleux au nom de l'entreprise
- Accéder aux systèmes connectés à Microsoft 365
- Vendre les accès à d'autres criminels
COMMENT SE PROTEGER ?
AUTHENTIFICATION MULTI-FACTEUR (MFA)
C'est LA protection la plus importante. La MFA signifie que même si le criminel a vos identifiants, il ne peut pas accéder à votre compte sans un deuxième code.
C'est comme avoir deux clés pour entrer chez toi au lieu d'une seule. Même si quelqu'un vole une clé, il ne peut pas entrer sans l'autre.
Illustration de la protection MFA :

[IMAGE 4 - Porte à deux serrures MFA]
NE CLIQUEZ PAS SUR LES LIENS DES EMAILS SUSPECTS
Au lieu de cliquer sur un lien dans un email :
- Allez directement sur le site officiel
- Ou allez dans votre navigateur et tapez l'adresse vous-même
- Ne faites confiance qu'aux adresses email officielles
VERIFIEZ L'ADRESSE EMAIL DE L'EXPEDITEUR
Les emails de phishing viennent souvent d'adresses bizarres ou presque bonnes. Exemple :
- Faux : support@micros0ft.com (notez le 0 au lieu du o)
- Vrai : support@microsoft.com
FORMATION ET SENSIBILISATION
Les employés sont la première défense. Si votre entreprise vous forme à reconnaître le phishing, vous ne tombez pas dans les pièges.
UTILISEZ UN GESTIONNAIRE DE MOTS DE PASSE
Un gestionnaire de mots de passe ne remplira votre mot de passe que sur les vrais sites. Sur un faux site, il ne fera rien.
SIGNES D'ALERTE A CONNAITRE
Si vous voyez ceci, soyez sur vos gardes :
- Des demandes inhabituelles de connexion
- Une urgence artificielle ("Agissez maintenant !")
- Des fautes d'orthographe dans les emails
- Des adresses email qui semblent presque correctes mais pas tout à fait
- Des liens qui ne correspondent pas au contenu de l'email
- Vous êtes soudainement invité à "reverifier" vos informations
Guide des signes de danger :

[IMAGE 5 - Checklist des signes d'alerte]
CONCLUSION
ARToken montre comment le phishing évolue. Les criminels utilisent maintenant des outils professionnels, automatisés, et sophistiqués. Cela rend les attaques plus fréquentes et plus efficaces.
Mais la bonne nouvelle ? Ces attaques fonctionnent uniquement parce que les gens cliquent sur les liens ou donnent leurs identifiants. Si vous apprenez à reconnaître les signes d'alerte et à utiliser MFA, vous êtes déjà beaucoup plus en sécurité.
La cybersécurité commence par des comportements simples : ne cliquez pas sans réfléchir, vérifiez les adresses, utilisez l'authentification multi-facteur.
Commentaires approuvés
Article pertinent pour prendre du recul sur ARToken : Le Service de Phishing Microsoft 365. Après lecture, la prochaine étape logique serait de revoir les bases de cybersécurité avant d'aller plus loin.
Ce que je retiens surtout, c'est le côté pratique : ça aide à relier l'actualité aux bons réflexes de protection. Ça donne envie de passer de la lecture à un exercice ou à une formation plus structurée.
Le passage sur les risques de sécurité est clair et utile. La lecture donne assez de contexte pour comprendre l'enjeu, puis savoir quelle compétence travailler ensuite.
J'aime bien la manière dont l'article aborde les risques de sécurité. On comprend rapidement pourquoi le sujet mérite d'être étudié, surtout quand on veut progresser sans se disperser.