La double authentification (MFA) a longtemps été considérée comme la panacée de la cybersécurité. Pourtant, les compromissions ciblant l'environnement Microsoft Entra ID n'ont jamais été aussi nombreuses. La raison est simple : les cybercriminels professionnels ne cherchent plus à deviner les mots de passe de vos collaborateurs, ils volent directement les sessions déjà authentifiées.
Cette technique redoutable, connue sous le nom de Token Theft (ou vol de jeton de session), permet à un attaquant de contourner le MFA de manière totalement transparente. Face à cette menace fulgurante, la réaction manuelle des équipes informatiques est souvent trop lente. Découvrez comment fonctionne cette attaque et comment la neutraliser instantanément avec une approche SOAR.
Qu'est-ce qu'un jeton de session (Session Token) ?
Lorsqu'un collaborateur se connecte à son environnement Microsoft 365 (Outlook, Teams, SharePoint), il saisit son mot de passe et valide une notification sur son application Microsoft Authenticator. Une fois cette vérification multifacteur réussie, Entra ID délivre au navigateur un jeton de session sous forme de cookie sécurisé.
Ce jeton agit comme un badge d'accès temporaire. C'est grâce à lui que l'utilisateur n'a pas besoin de retaper son mot de passe ni de revalider son MFA à chaque fois qu'il ouvre un nouvel onglet ou rafraîchit sa boîte de réception. Le problème est évident : si un pirate parvient à copier ce "badge", il obtient les mêmes droits d'accès que l'utilisateur légitime, sans jamais avoir besoin de déclencher une alerte MFA.
Comment les attaquants dérobent-ils ces jetons ?
Les cybercriminels utilisent principalement deux vecteurs pour récupérer ces précieux cookies d'authentification :
- Le Phishing AiTM (Adversary-in-the-Middle) : L'utilisateur reçoit un e-mail l'invitant à se connecter à un faux portail Microsoft. Ce portail agit comme un proxy invisible. L'utilisateur tape son mot de passe et valide son MFA. Le faux portail transmet ces informations au vrai serveur Microsoft, récupère le jeton de session valide, le garde en mémoire pour le pirate, puis connecte l'utilisateur comme si de rien n'était.
- Les Infostealers (Malwares voleurs d'informations) : L'utilisateur télécharge un logiciel légitime piégé. En arrière-plan, un malware (comme RedLine ou Vidar) aspire silencieusement les bases de données de cookies stockées dans Google Chrome ou Edge, puis les envoie sur un serveur de commande (C2).
Les limites de la réponse manuelle sur le portail Azure
Dès lors que le jeton est volé, l'attaquant va l'importer dans son propre navigateur. Il se connecte souvent depuis un VPN étranger, ce qui déclenche une alerte de "Voyage Impossible" (Impossible Travel) ou de connexion depuis un réseau anonymisé (nœud Tor) dans Microsoft Entra ID Protection.
C'est ici que la course contre la montre démarre. Pour un administrateur système classique, la remédiation est un parcours du combattant. Il faut se connecter au portail Azure, naviguer vers l'onglet des utilisateurs Entra ID, rechercher l'utilisateur compromis, trouver l'option pour révoquer les sessions (ce qui prend du temps à se synchroniser), puis forcer manuellement la réinitialisation de son mot de passe.
Durant ces 15 minutes de latence (MTTR), l'attaquant a déjà eu le temps de créer des règles de redirection d'e-mails pour exfiltrer des factures ou de télécharger des documents confidentiels depuis SharePoint.
La solution : La Révocation de Session en 1-Clic
Pour contrer une attaque asymétrique, votre réponse doit être algorithmique. La commande vitale dans l'écosystème Microsoft Graph est revokeSignInSessions. Elle invalide immédiatement tous les jetons d'actualisation liés à un compte, forçant une déconnexion immédiate et obligeant toute nouvelle requête à repasser par le processus d'authentification complet (Mot de passe + MFA).
Avec un orchestrateur de réponse comme Akuity SOC, l'approche est drastiquement simplifiée.
- Détection JIT : Dès qu'Entra ID Protection détecte une anomalie liée au vol de jeton, l'analyste visualise le risque dans l'onglet "Identités à risque" d'Akuity, grâce à une récupération en temps réel (Just-In-Time) des signaux faibles.
- Révocation immédiate : D'un seul clic sur l'action de remédiation, la plateforme interroge l'API Microsoft Graph pour invalider les accès instantanément.
- Réinitialisation sécurisée : Dans la foulée, l'action
resetUserPasswordgénère un nouveau mot de passe robuste, l'affiche dans un modal persistant avec un bouton de copie rapide pour transmission au collaborateur, et exige un changement de mot de passe au prochain login.
Cette double action, protégée par l'exigence d'une session AAL2 (MFA de l'analyste), permet de neutraliser le vol de jeton en moins de 10 secondes.
Ne laissez plus les pirates exploiter vos sessions. > Découvrez comment notre outil de Gestion des Identités à Risque Entra ID accélère votre réponse aux incidents sans aucun agent à installer.