Une faille de sécurité majeure a été identifiée dans l’application Microsoft Authenticator, utilisée par des millions d’utilisateurs sur Android et iOS pour gérer leurs authentifications à deux facteurs (2FA). Selon Frandroid, cette vulnérabilité permet à un attaquant de subtiliser discrètement les jetons d’accès des comptes Microsoft, ouvrant ainsi la porte à des intrusions potentielles. L’information, révélée dans la journée, souligne l’urgence d’une mise à jour pour tous les utilisateurs concernés.

Ce qu'il faut retenir

  • Une faille de sécurité critique touche Microsoft Authenticator sur Android et iOS, permettant le vol de jetons d’accès Microsoft.
  • Les attaquants pourraient accéder aux comptes Microsoft des utilisateurs vulnérables sans leur consentement.
  • Microsoft a confirmé la présence d’une faille et recommande une mise à jour urgente de l’application.
  • La vulnérabilité est exploitée sans interaction directe avec la victime, rendant l’attaque particulièrement discrète.
  • Tous les utilisateurs de Microsoft Authenticator sur mobile sont concernés, indépendamment de leur localisation.

Une faille permettant le vol des jetons d’authentification

La vulnérabilité, identifiée par Frandroid, réside dans le mécanisme de stockage des jetons d’accès au sein de Microsoft Authenticator. Ces jetons, essentiels pour la connexion sécurisée aux comptes Microsoft, peuvent être interceptés par un attaquant exploitant cette faille. Selon les informations relayées par Frandroid, l’exploitation ne nécessite aucune action de la part de l’utilisateur, ce qui rend l’attaque particulièrement insidieuse. Autrement dit, un pirate pourrait accéder aux comptes Microsoft d’un utilisateur sans même que ce dernier ne se rende compte de l’intrusion.

Cette faille survient dans un contexte où les attaques par vol de jetons 2FA se multiplient. Les cybercriminels ciblent de plus en plus les applications d’authentification pour contourner les mesures de sécurité traditionnelles. Microsoft Authenticator, largement adopté pour sa simplicité d’utilisation, devient ainsi une cible privilégiée. Pour l’instant, ni Microsoft ni Frandroid n’ont communiqué de chiffres précis concernant le nombre d’utilisateurs potentiellement exposés.

Les recommandations de Microsoft et les risques encourus

Face à cette menace, Microsoft a déjà réagi en confirmant l’existence de la faille et en appelant les utilisateurs à mettre à jour leur application Microsoft Authenticator sans délai. D’après les informations de Frandroid, la firme de Redmond travaille à une correction définitive, mais en attendant, la mise à jour actuelle permet de limiter les risques. « Nous avons pris connaissance de cette vulnérabilité et recommandons vivement aux utilisateurs de mettre à jour leur application », a indiqué un porte-parole de Microsoft à Frandroid.

Les conséquences d’une exploitation réussie de cette faille peuvent être graves. Un attaquant pourrait accéder non seulement aux emails, mais aussi aux fichiers stockés sur OneDrive, aux calendriers ou encore aux services professionnels liés à Microsoft 365. Les utilisateurs professionnels, en particulier, doivent être vigilants, car une intrusion pourrait compromettre des données sensibles. La faille rappelle l’importance de ne pas se reposer uniquement sur l’authentification à deux facteurs, même si celle-ci reste une mesure de sécurité essentielle.

Et maintenant ?

Microsoft devrait publier un correctif définitif dans les prochains jours, selon les informations recueillies par Frandroid. En attendant, les utilisateurs sont invités à vérifier la version de leur application Microsoft Authenticator et à procéder à la mise à jour via les stores officiels (Google Play Store et Apple App Store). Une vérification des sessions actives sur leur compte Microsoft pourrait également permettre de détecter d’éventuelles intrusions. Enfin, il est conseillé d’activer les alertes de connexion suspecte, une fonctionnalité déjà disponible dans les paramètres de sécurité de Microsoft.

Cette faille intervient à un moment où la cybersécurité mobile devient un enjeu majeur, avec une augmentation constante des attaques ciblant les appareils connectés. Les éditeurs d’applications et les utilisateurs doivent redoubler de vigilance pour limiter les risques de compromission.

Pour vérifier si votre application est à jour, rendez-vous dans les paramètres de votre appareil (Google Play Store ou Apple App Store), puis consultez la section « Mes applications » ou « Mises à jour ». Si une mise à jour pour Microsoft Authenticator est disponible, installez-la immédiatement. Vous pouvez également vérifier la version installée en ouvrant l’application, puis en accédant à « Paramètres » > « À propos de ».