Des milliers de comptes Outlook volés via une extension délaissée

Des chercheurs ont trouvé une campagne de phishing se servant d'une extension pour Outlook. Abandonnée depuis 2022, elle a permis de voler 4 000 identifiants au service de messagerie.

Conçu pour connecter différents calendriers professionnels et personnels et partager plus facilement ses disponibilités, le module AgreeTo pour Outlook a été détourné pour lancer une campagne de phishing. C’est la société Koi Security qui a découvert cette attaque qui a touché 4 000 utilisateurs. Elle indique qu’AgreeTo a été lancé en 2022, puis a rapidement été abandonné par son développeur tout en restant disponible sur la marketplace de Microsoft. Cette situation a offert au hacker l’opportunité de s’emparer de l’outil, profitant de sa réputation et de sa note de 4,71 étoiles pour piéger les utilisateurs.

Contrairement à ce que l’on pourrait imaginer, ce détournement n’a pas nécessité de techniques sophistiquées. La faille tient au processus de soumission des extensions : Microsoft se contente d’examiner un fichier manifeste (recensant les fonctionnalités matérielles ou logicielles nécessaires à une application) XML. Il comprend le nom du module, sa description, l’URL de téléchargement et les permissions demandées. Aucun code n’est analysé. Le manifeste d’AgreeTo se contente de pointer vers un sous-domaine, outlook-one.vercel.app, hébergé sur la plateforme Vercel, depuis lequel les utilisateurs récupèrent l’extension. « Microsoft examine le manifeste, le signe et référence le module dans son magasin applicatif. Mais le contenu réel, l’interface, la logique, tout ce que voit l’utilisateur, est récupéré en direct depuis le serveur du développeur », expliquent les chercheurs de Koi Security.

Détournement de l'URL

En récupérant le sous-domaine abandonné, l’attaquant a pris le contrôle de l’URL mentionnée dans le manifeste d’origine. Le contenu a alors été remplacé par une URL pointant vers un kit de phishing comprenant une fausse page de connexion Microsoft destinée à collecter les mots de passe, un script d’exfiltration et un mécanisme de redirection. Le manifeste d’origine accordait également l’autorisation de lire et de modifier les e-mails. « Ils n’ont rien soumis à Microsoft. L’attaquant s’est contenté de récupérer une URL orpheline et l’infrastructure de Microsoft a fait le reste », souligne l’entreprise de sécurité. Les identifiants dérobés ainsi que les adresses IP des victimes étaient automatiquement envoyés à l’attaquant via un simple bot Telegram, sans recours à une infrastructure complexe de commande et contrôle (C&C), précise la société.

Les chercheurs ont pu infiltrer cette infrastructure et découvrir que 4 000 victimes étaient tombées dans le piège. Elles ont toutes été contactées par Koi Security afin d’être informées de la compromission de leurs identifiants. Le même acteur était également à l’origine de 12 autres kits de phishing usurpant l’identité de banques et de fournisseurs de messagerie. Les données volées comprenaient des numéros de cartes bancaires, des CVV, des codes PIN et des réponses de sécurité utilisées notamment pour des paiements via le système Interac e-Transfer, ainsi que des identifiants de connexion. La faille mise en lumière par ce détournement réside dans l’architecture de distribution des extensions de Microsoft. Elle repose sur une simple URL, potentiellement non fiable. Comme le souligne Koi Security, « un module propre le lundi peut servir une page de phishing le mardi ou, comme dans ce cas, des années plus tard. Microsoft examine le manifeste au moment de la soumission, mais le contenu réel peut changer à tout moment sans nouvelle vérification. »

Une faiblesse connue depuis 2019

Ce qui rend cette attaque particulièrement préoccupante, c’est que la vulnérabilité n’est pas nouvelle. Une société de sécurité, MDSec, l’avait déjà signalée en 2019. AgreeTo serait le premier module Outlook malveillant découvert sur la marketplace, ce qui explique pourquoi des contrôles plus stricts n’ont pas été appliqués. Au 12 février, le module n’était plus disponible sur la marketplace de la firme de Redmond. Il est recommandé à toute personne l’utilisant encore de le supprimer immédiatement et de réinitialiser le mot de passe de son compte Microsoft. Une extension Chrome distincte d’AgreeTo avait cessé de fonctionner en 2024 ; elle a été supprimée par Google en février 2025.