Retour en 2022 : cette année-là, un nouvel outil de planification de réunions est publié sur le Microsoft Add-in Store, la boutique officielle de l’entreprise américaine permettant, entre autres, d’ajouter des extensions au service de messagerie Outlook. Son nom ? AgreeTo, conçu pour connecter différents calendriers professionnels et personnels et partager plus facilement ses disponibilités.
Rapidement, l’extension, développée par un créateur anonyme, rencontre un relatif succès et affiche une note de 4,71 sur la boutique d’applications de Google Chrome, où elle est également disponible.
Le projet, open source, reste actif sur GitHub jusqu’en mai 2023, date de sa dernière mise à jour. Le développeur semble par la suite avoir abandonné le projet : une aubaine pour les pirates.
Comment fonctionne l’attaque ?
Concrètement, l’attaque a été rendue possible par la manière dont Microsoft gère les compléments Office. Ces derniers ne sont pas du code installé localement : ce sont des URL.
Un développeur soumet à Microsoft un manifeste, un fichier XML indiquant : « charge cette URL dans un iFrame au sein d’Outlook ». Microsoft examine alors le manifeste, le signe, puis ajoute le complément à sa boutique.
Ainsi, le contenu lui‑même est chargé en temps réel depuis le serveur du développeur à chaque ouverture du complément.
Problème : peu après l’abandon du projet par son créateur, le sous‑domaine sur lequel il reposait (outlook-one.vercel.app) est devenu disponible, et un acteur malveillant s’en est emparé.
Et tandis que Google a finalement supprimé l’extension Chrome obsolète en février 2025, le module complémentaire Outlook, lui, est resté référencé dans le Microsoft Office Store, pointant toujours vers une URL désormais contrôlée par le pirate.
Plus de 4 000 identifiants volés
Il suffisait alors au hacker de déployer un kit de phishing en lieu et place du site initial pour tromper les utilisateurs : une fausse page de connexion Microsoft, une page de collecte de mots de passe, un script d’exfiltration et une redirection : « Après quelques secondes de chargement, la victime est redirigée sans problème vers la véritable page de connexion (login.microsoftonline.com). Elle suppose qu’elle doit se reconnecter et poursuit ses activités. Elle ignore que son mot de passe vient d’être volé », expliquent les chercheurs.
Au moment de la publication du papier, les chercheurs ont prévenu que la menace était encore en cours.
Ils notent par ailleurs avoir été en mesure de pénétrer l’infrastructure d’exfiltration du pirate, permettant un aperçu de l’ampleur de l’opération. Plus de 4 000 identifiants y étaient répertoriés.
Les victimes concernées ont été informées.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour ne rien manquer de l’actualité, suivez Numerama sur Google !