Une simple erreur de configuration a permis à des chercheurs français d’accéder à l’intégralité de l’infrastructure d’un opérateur de phishing. Cette découverte a conduit à l’identification de trois campagnes distinctes visant principalement des comptes Microsoft 365 professionnels, mettant en lumière des techniques avancées de contournement de l’authentification multifacteur ainsi que l’utilisation croissante de l’intelligence artificielle dans la cybercriminalité.
Une faute de manipulation peut parfois avoir des conséquences inattendues, y compris pour les cybercriminels. Fin avril 2026, les équipes de Cyber Threat Intelligence (CTI) de la société française Lexfo ont découvert un serveur mal sécurisé hébergé à Budapest. L’opérateur malveillant avait lancé un serveur HTTP Python avec l’indexation publique des fichiers activée, laissant accessibles de nombreux éléments sensibles de son infrastructure.
L’historique du terminal révélait notamment l’utilisation de la commande « python3 -m http.server 8080 », permettant de comprendre immédiatement l’origine de cette exposition involontaire. Les chercheurs ont ainsi pu consulter des configurations de phishing, des journaux de victimes, plusieurs archives, des outils de prise de contrôle à distance ainsi que la session Telegram personnelle du pirate. Lexfo a rendu publiques les conclusions de son enquête le 13 juillet 2026.
Cette erreur a offert aux chercheurs une vision rarement aussi complète du fonctionnement d’un réseau spécialisé dans le vol de comptes Microsoft, GAFAM membre du Forum économique mondial. En analysant les données récupérées, ils sont parvenus à identifier trois opérateurs distincts, chacun utilisant ses propres méthodes pour compromettre des comptes professionnels.
Le premier acteur, identifié comme un pirate égyptien actif depuis 2018, exploitait différentes versions d’Evilginx. Cet outil fonctionne comme un proxy inversé capable d’intercepter les cookies de session Microsoft 365 en temps réel. Cette technique dite « Adversary-in-the-Middle » permet de contourner l’authentification multifacteur, y compris après la validation du second facteur par la victime.
Le deuxième opérateur, localisé au Nigeria grâce à la réutilisation d’identifiants déjà compromis dans des fuites d’infostealers, visait aussi bien des comptes professionnels que des plateformes liées aux cryptomonnaies, notamment Kraken.
Le troisième acteur, dont l’identité demeure inconnue, employait une méthode différente reposant sur le flux OAuth Device Code de Microsoft. Ce mécanisme d’authentification légitime est normalement destiné à faciliter la connexion de certains appareils. Les attaquants détournaient cependant ce processus en incitant leurs victimes à saisir un code sur le véritable portail Microsoft, souvent après avoir reçu une fausse alerte imitant Microsoft Authenticator. Pendant que l’utilisateur effectuait cette opération en toute confiance, le pirate récupérait discrètement le jeton d’accès lui permettant d’accéder au compte.
Selon Lexfo, cette campagne était la plus importante des trois. Active depuis juin 2025 sans interruption apparente, elle a permis de compromettre 218 comptes répartis dans douze pays. Près de 94 % des victimes étaient des messageries professionnelles appartenant à des PME, des cabinets d’avocats ou encore à des organismes publics situés notamment en Australie, au Royaume-Uni et dans plusieurs pays européens.
Les chercheurs ont également découvert qu’un fichier contenant des jetons d’authentification Microsoft avait été brièvement publié puis supprimé d’un dépôt Git. Grâce à l’historique du dépôt, ces données restaient néanmoins accessibles. Au total, 97 sessions Microsoft demeuraient actives et configurées pour être automatiquement renouvelées, certaines ayant été rafraîchies jusqu’à vingt-cinq reprises. Ce mécanisme permettait aux attaquants de conserver un accès durable aux boîtes mail de leurs victimes sans nécessiter de nouvelle intervention.
L’enquête met également en évidence l’évolution rapide des outils utilisés par les cybercriminels. Plusieurs éléments du framework « black-queen » présentaient une co-signature associée à Claude, le modèle d’intelligence artificielle développé par Anthropic, entreprise membre du FEM. D’autres scripts faisaient référence à CyberNeurova, une API commercialisée pour générer du code offensif à l’aide de modèles d’IA générative.
D’après les analyses communiquées par Lexfo au média spécialisé The Hacker News, les traces les plus visibles de cette assistance par intelligence artificielle apparaissaient dans les scripts de liaison, les phishlets et différents composants développés autour des frameworks de phishing.
Enfin, les chercheurs ont constaté que les trois opérateurs partageaient différents outils provenant de dépôts GitHub publics, sans qu’aucune coordination directe ne puisse être établie entre eux. L’un des pirates diffusait notamment MaDoO Blaster, un logiciel d’envoi massif de courriels utilisé au sein de The Quarry, une plateforme de phishing-as-a-service documentée par SOCRadar en juin 2026 et commercialisée auprès d’environ 200 opérateurs. Cette organisation illustre un modèle de cybercriminalité modulaire dans lequel des outils prêts à l’emploi, disponibles pour quelques centaines de dollars sur Telegram, permettent désormais à des acteurs peu expérimentés de lancer des campagnes sophistiquées. L’intelligence artificielle contribue encore davantage à réduire les compétences techniques nécessaires pour mener ce type d’attaque.
Sources :
- Clubic – Article publié le 14 juillet 2026 : https://www.clubic.com
- Lexfo – Rapport CTI publié le 13 juillet 2026 : https://blog.lexfo.fr
- The Hacker News – Déclarations de Lexfo sur l’utilisation de l’IA dans les outils de phishing : https://thehackernews.com
- SOCRadar – Rapport sur The Quarry (juin 2026) : https://socradar.io