Le 11 mars 2026, les chercheurs de DomainTools ont dévoilé une campagne de phishing visant à voler les identifiants Microsoft 365, exploitant Cloudflare Turnstile pour éviter la détection, selon nos confrères de Numerama. Cette campagne, qui repose sur plusieurs sites de phishing hébergés derrière l’infrastructure de Cloudflare, a pour objectif de dérober les identifiants de comptes Microsoft 365 d’entreprises via des pages web imitant la page de connexion du service.

Cette campagne cybercriminelle est taillée pour passer entre les mailles du filet, en utilisant un système ingénieux de détection basé sur les adresses IP et les identifiants de navigateur, se jouant des outils de sécurité en filtrant les visiteurs en temps réel. Les attaquants ont délibérément choisi de s’abriter derrière les services d’un acteur incontournable du web pour bénéficier d’une protection qu’ils n’auraient jamais pu construire eux-mêmes.

Ce qu'il faut retenir

  • Les chercheurs de DomainTools ont dévoilé une campagne de phishing visant à voler les identifiants Microsoft 365.
  • Les attaquants utilisent Cloudflare Turnstile pour éviter la détection.
  • La campagne repose sur plusieurs sites de phishing hébergés derrière l’infrastructure de Cloudflare.
  • Les attaquants utilisent un système ingénieux de détection basé sur les adresses IP et les identifiants de navigateur.

Le fonctionnement de la campagne

Les attaquants utilisent un outil légitime de protection de Cloudflare, appelé Turnstile, pour se rendre invisible aux scanners de sécurité. Turnstile vérifie automatiquement si un visiteur est humain et ne demande de cliquer qu’en cas de doute. En plaçant cet outil en première ligne de leurs sites de phishing, les hackers s’offrent un premier filtre contre les scanners automatisés.

Derrière le processus de vérification de Cloudflare, les attaquants ont mis à profit les quelques secondes de chargement pour superposer d’autres mécanismes de filtrage. Dès qu’un visiteur arrive sur le site, celui-ci interroge un service externe pour récupérer son adresse IP, puis la compare à une liste noire codée en dur dans le code de la page.

Les précautions de camouflage

Le site inspecte également le navigateur du visiteur. Si son identifiant ressemble à celui d’un robot d’indexation connu, la page se transforme en une fausse erreur 404, évitant ainsi d’apparaître dans les bases de données de sécurité. Les attaquants ont également dissimulé le code malveillant du site, en utilisant une machine virtuelle pour exécuter les instructions encodées à la volée.

L’URL du serveur qui reçoit les mots de passe volés n’apparaît qu’au moment de l’exécution, ce qui rend difficile l’analyse statique du code. Si une analyse dynamique est malgré tout déclenchée, le site bascule automatiquement vers une URL légitime, effaçant toute trace malveillante des logs.

Et maintenant ?

Les chercheurs de DomainTools ont pu relier les différents sites de phishing entre eux via un identifiant Turnstile commun, appelé sitekey, généré une seule fois lors de la création du compte Cloudflare et réutilisé sur l’ensemble des sites de la campagne. Cela a permis de cartographier le cluster et d’identifier de nouveaux sites avant même qu’ils soient activement utilisés dans des attaques.

Il est important de rester vigilant face à ces types de campagnes de phishing, qui peuvent avoir des conséquences graves pour les entreprises et les individus. Il est recommandé de mettre en place des mesures de sécurité robustes, telles que l’utilisation de gestionnaires de mots de passe et la mise à jour régulière des logiciels et des systèmes d’exploitation.

En conclusion, cette campagne de phishing visant Microsoft 365 met en lumière les enjeux de sécurité importants auxquels les entreprises et les individus sont confrontés dans le monde numérique. Il est essentiel de rester informé et de prendre des mesures pour se protéger contre ces types de menaces.