password-security-guideINFO

Les passkeys peuvent encore être hameçonnés - à l’enrôlement : l’attaque par vishing Entra (2026)

Les passkeys résistent à l’hameçonnage à la connexion, mais une campagne de 2026 vise l’enrôlement : des attaquants appellent des utilisateurs Microsoft 365 et leur font enregistrer une passkey contrôlée par l’attaquant. Comment ça marche et comment ne pas tomber dans le piège.

Par Eric Gerard · Éditeur · PwdFortress4 min de lecturePhoto via Pexels

Les passkeys sont la meilleure défense quotidienne contre l’hameçonnage quand vous vous connectez : il n’y a pas de mot de passe à voler, et l’identité est liée au vrai site, si bien qu’une fausse page de connexion ne capte rien d’utile. Mais une campagne révélée en 2026 montre où le point faible s’est déplacé. Les attaquants ne combattent pas la connexion - ils visent l’enrôlement : ils appellent des utilisateurs Microsoft 365 et leur font enregistrer une passkey que l’attaquant contrôle. Voici comment ça marche, et comment ne pas tomber dans le piège.

Comment fonctionne l’attaque

Selon BleepingComputer, un acteur malveillant téléphone à des utilisateurs Microsoft 365 - hameçonnage vocal, ou vishing - depuis avril 2026, en se faisant passer pour l’informatique ou la sécurité, et les pousse à enregistrer une nouvelle passkey Entra « pour mieux les protéger ». Pour vendre la supercherie, la victime est dirigée vers un kit d’hameçonnage qui imite l’enrôlement authentique de Microsoft, piloté depuis un panneau contrôlé par l’opérateur qui guide la cible pas à pas et s’adapte à la méthode multifacteur utilisée.

Le résultat est le piège : la victime croit enregistrer une passkey sur son propre compte, alors que l’attaquant enregistre en réalité une passkey qu’il contrôle. Okta, qui suit l’acteur sous le nom d’O-UNC-066 (une opération d’extorsion qu’elle appelle Pink), a signalé le même groupe visant des organisations dans l’agroalimentaire, la technologie, la santé, l’automobile, la construction et l’aviation.

Une personne inquiète en appel téléphonique devant un ordinateur portable - les attaques par vishing commencent par un appel inattendu qui vous pousse à agir vite.
Une personne inquiète en appel téléphonique devant un ordinateur portable - les attaques par vishing commencent par un appel inattendu qui vous pousse à agir vite.

Pourquoi les passkeys n’arrêtent pas ça

Il faut être précis sur ce que les passkeys protègent. À la connexion, une passkey résiste à l’hameçonnage par conception : la clé privée ne quitte jamais votre appareil et ne fonctionne que sur le domaine authentique, si bien qu’une page de connexion copiée n’a rien à hameçonner. Cette attaque n’y touche pas.

L’enrôlement est un autre moment. Là, on vous demande d’ajouter une identité, et la cible est la décision humaine d’aller au bout, pas la cryptographie. Si l’on vous convainc de terminer un enregistrement piloté par l’attaquant, le calcul a parfaitement fonctionné - il a juste enregistré la mauvaise clé. C’est pourquoi « résistant à l’hameçonnage » décrit la connexion, pas un enrôlement manipulé socialement.

Une main validant le déverrouillage d’un téléphone par empreinte digitale - l’étape d’enrôlement, où un appel de vishing tente de glisser la passkey d’un attaquant.
Une main validant le déverrouillage d’un téléphone par empreinte digitale - l’étape d’enrôlement, où un appel de vishing tente de glisser la passkey d’un attaquant.

Le twist : ça exploite une vraie fonction Microsoft

Ce qui rend le prétexte si crédible, c’est le calendrier. En mai 2026, Microsoft a donné aux administrateurs la possibilité de lancer des campagnes d’enregistrement de passkeys - des invites légitimes qui incitent les utilisateurs à enrôler une passkey pour une authentification plus forte. C’est une vraie amélioration. Mais cela signifie aussi que les employés s’attendent désormais à être invités à configurer une passkey, donc un appel disant « nous avons besoin que vous enregistriez votre passkey maintenant » ne paraît plus étrange. Une vraie fonction de sécurité est devenue une couverture toute prête.

Comment vous protéger

  • N’enregistrez jamais une passkey à cause d’un appel entrant. Les vraies équipes informatiques ne vous téléphonent pas pour vous guider en direct dans l’enregistrement d’une identité.
  • N’enregistrez que depuis une session que vous avez démarrée. Tapez l’adresse officielle dans votre navigateur ou ouvrez l’application officielle vous-même - ne suivez pas un lien ni une instruction dictée par un appelant.
  • Vérifiez d’abord. Si un appel ou un message vous dit d’enregistrer une passkey maintenant, confirmez via un canal interne connu avant toute action.
  • Administrateurs : surveillez les enregistrements de passkeys, alertez sur toute identité nouvellement ajoutée, et rappelez aux équipes que les invites d’enrôlement doivent être initiées par l’utilisateur, jamais terminées en direct sur un appel non sollicité.

Pour vos comptes personnels aussi

La même logique s’applique en dehors du travail. N’ajoutez une passkey que lorsque vous avez démarré l’action dans l’application authentique, et gardez vos vraies passkeys et codes à deux facteurs au même endroit de confiance pour toujours savoir ce que vous avez vraiment enregistré. Un appel de vishing a bien moins de prise quand vous avez une vue claire de vos propres identités.

En résumé

Les passkeys battent toujours les mots de passe, et vous devriez continuer à les utiliser - mais « résistant à l’hameçonnage » décrit la connexion, pas l’enrôlement. La campagne de vishing Entra rappelle que l’étape humaine de l’ajout d’une identité est la nouvelle cible. N’enregistrez jamais une passkey parce que quelqu’un vous a appelé ; toujours seulement depuis un parcours que vous avez démarré vous-même.

Questions fréquentes

Les passkeys sont-elles encore sûres après cette attaque ?

Oui, pour se connecter. Une passkey est une paire de clés cryptographiques liée au domaine réel du site : une fausse page de connexion ne peut donc rien capturer de réutilisable - cette partie résiste vraiment à l’hameçonnage. Cette campagne ne casse pas la cryptographie. Elle vise un autre moment : l’étape d’enrôlement, où un humain est manipulé pour enregistrer la passkey d’un attaquant. La solution n’est pas de se méfier des passkeys, mais de faire attention au moment et à la façon dont vous en enregistrez une.

Comment fonctionne l’attaque par vishing sur les passkeys Entra ?

Selon BleepingComputer, un acteur malveillant appelle des utilisateurs Microsoft 365 par téléphone (hameçonnage vocal, ou vishing), se faisant passer pour l’informatique ou la sécurité, et les pousse à enregistrer une nouvelle passkey Entra. La victime est dirigée vers un kit d’hameçonnage qui imite l’enrôlement réel de Microsoft, avec un opérateur qui la guide en temps réel. Alors que la victime croit enregistrer sa propre passkey, l’attaquant enregistre une passkey qu’il contrôle - lui donnant un accès persistant au compte.

Une passkey peut-elle être hameçonnée ?

Pas à la connexion. Comme la clé privée d’une passkey ne quitte jamais votre appareil et est liée au domaine authentique, une fausse page de connexion n’a rien à voler. Ce qui peut être hameçonné, c’est l’enrôlement : via un appel de vishing et une page d’enregistrement sosie, on peut vous piéger pour ajouter une identité qui appartient à l’attaquant. La formule honnête est donc que les passkeys résistent à l’hameçonnage à la connexion, pas à un enrôlement manipulé socialement.

Comment éviter l’arnaque à l’enrôlement de passkey ?

N’enregistrez et ne validez jamais une passkey à cause d’un appel inattendu. Les vraies équipes informatiques ne vous appellent pas pour vous guider en direct dans l’enregistrement d’une identité. N’enregistrez une passkey que depuis une session que vous avez démarrée vous-même, en tapant l’adresse officielle dans votre navigateur ou en ouvrant l’application officielle. Si un appel ou un message vous dit d’enregistrer une passkey maintenant, vérifiez d’abord via un canal interne connu.

Pourquoi cette attaque est-elle devenue possible maintenant ?

En mai 2026, Microsoft a donné aux administrateurs une fonction de campagnes d’enregistrement de passkeys - des invites légitimes incitant les utilisateurs à enrôler des passkeys pour plus de sécurité. C’est un bon changement, mais cela signifie aussi que les utilisateurs s’attendent désormais à être invités à enregistrer une passkey, ce qui rend une fausse demande plus crédible. Les attaquants exploitent cette attente, transformant une vraie amélioration de sécurité en prétexte tout prêt.