Dans un article de blog publié le 11 mars 2026, les chercheurs de DomainTools ont mis au jour une campagne de phishing particulièrement fourbe, visant à dérober les identifiants Microsoft 365 de ses victimes. Sa particularité ? Détourner un outil de protection légitime de Cloudflare pour se rendre invisible aux scanners de sécurité.

C’est une campagne cybercriminelle taillée pour passer entre les mailles du filet.

Son objectif est somme toute classique : dérober les identifiants de comptes Microsoft 365 d’entreprises, via des pages web imitant la page de connexion du service. Ce qui l’est moins, c’est la manière dont les attaquants ont construit leur dispositif.

La campagne, dévoilée par la société de cybersécurité DomainTools le 11 mars 2026, repose sur plusieurs sites de phishing hébergés derrière l’infrastructure de Cloudflare. Les attaquants ont délibérément choisi de s’abriter derrière les services d’un acteur incontournable du web pour bénéficier d’une protection qu’ils n’auraient jamais pu construire eux-mêmes.

Car ce qui distingue cet écosystème de sites malveillants, c’est sa flexibilité. Chaque page est capable de s’adapter à son visiteur en temps réel. Si ce visiteur est un bot ou est associé à une entreprise de cybersécurité, il voit une page anodine. Si c’est une vraie victime potentielle, il tombe sur la page de phishing. Un double jeu qui repose sur un détournement habile de Cloudflare Turnstile.

Bitdefender logo black
Bitdefender new Box
Votre vie privée doit rester privée.
Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.
Je protège ma vie privée simplement
Turnstile en action // Source : Cloudflare
Turnstile vérifie automatiquement si vous êtes humain et ne demande de cliquer qu’en cas de doute. // Source : Cloudflare

Turnstile en camouflage

Le nom ne vous dit peut-être rien, pourtant vous le croisez plusieurs fois par jour. Turnstile est l’outil anti-bot de Cloudflare, le successeur discret du CAPTCHA, qui permet de déterminer sans effort si un visiteur est humain ou automatisé.

En plaçant cet outil légitime en première ligne de leurs sites de phishing, les hackers s’offrent un premier filtre contre les scanners automatisés, des outils de cybersécurité qui parcourent le web en permanence à la recherche de sites malveillants.

Mais en réalité, Turnstile n’est que la première couche. Derrière le processus de vérification de Cloudflare, les attaquants ont mis à profit les quelques secondes de chargement pour superposer d’autres mécanismes de filtrage. Dès qu’un visiteur arrive sur le site, celui-ci interroge un service externe pour récupérer son adresse IP, puis la compare à une liste noire codée en dur dans le code de la page. Cette liste inclut les plages d’adresses appartenant à des entreprises de cybersécurité comme Palo Alto ou FireEye et aux grands fournisseurs de cloud comme AWS et Google.

Le site inspecte également le navigateur du visiteur. Si son identifiant ressemble à celui d’un robot d’indexation connu comme Googlebot ou Bingbot, la page se transforme en une fausse erreur 404, évitant ainsi d’apparaître dans les bases de données de sécurité.

L’objectif est que tout outil de sécurité reparte les mains vides. Seul un humain naviguant depuis un navigateur ordinaire voit la page de phishing apparaître.

Une détection rendue possible par une erreur opérationnelle des attaquants

Enfin, autre précaution de camouflage relevée par les chercheurs de DomainTools : les attaquants avaient soigneusement dissimulé le code malveillant du site.

Le script chargé de voler les identifiants tourne dans une machine virtuelle maison, embarquée dans la page, qui interprète des instructions encodées à la volée. L’URL du serveur qui reçoit les mots de passe volés n’apparaît qu’au moment de l’exécution. Une analyse statique du code, comprenez lire le code sans l’exécuter, ne révèle donc rien d’exploitable.

Aussi, si une analyse dynamique est malgré tout déclenchée, le site bascule automatiquement vers une URL légitime comme google.com et toute trace malveillante disparaît des logs.

C’est finalement une erreur opérationnelle des attaquants qui a permis de relier les différents sites entre eux. Tous partagent le même identifiant Turnstile, appelé sitekey, généré une seule fois lors de la création du compte Cloudflare et réutilisé sur l’ensemble des sites de la campagne.

En cherchant cette clé dans des outils d’indexation, les chercheurs de DomainTools ont ainsi pu cartographier le cluster et identifier de nouveaux sites avant même qu’ils soient activement utilisés dans des attaques.

une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !