#Le brief du 04 août 2025

De fausses applications Microsoft 365 pour voler des jetons d’authentification

Depuis le début de l’année, une campagne menée par des pirates cherche à récupérer des jetons issus de l’authentification à facteurs multiples. Celle-ci permet pour rappel de configurer un second facteur pour s’authentifier, afin de compléter le mot de passe. Le plus souvent, il s’agit d’une manipulation à effectuer sur le téléphone, comme un code à six chiffres ou une notification à accepter après authentification.

Ces facteurs multiples représentent une protection efficace contre les vols de mots de passe dans la plupart des cas. Il est ainsi impossible de se connecter sans posséder aussi le smartphone et le moyen de s’y authentifier (biométrie ou code). Elle n’est cependant pas absolue.

Dans un billet publié le 31 juillet, la société de sécurité Proofpoint décrit ainsi une campagne dont les premiers signes ont été observés en début d’année. Les pirates, très organisés, ont créé de fausses applications Microsoft se servant du protocole OAuth afin que les jetons d’authentification générés soient envoyés à des adresses spécifiques.

Source : Proofpoint

Ces fausses pages de type Microsoft 365 sont suffisamment bien faites pour tromper la vigilance. Elles peuvent prendre diverses apparences, pour se faire passer comme émanant d’Adobe, de RingCentral, ou encore pour ressembler à des demandes légitimes de DocuSign. Une cinquantaine d’applications de ce genre ont été repérées, selon Proofpoint.

C’est notamment cette campagne active qui aurait conduit Microsoft à bloquer les vieux protocoles d’authentification, le changement ayant commencé mi-juillet et devant s’achever courant aout. Proofpoint note que cette décision améliorera bien sûr la sécurité générale, mais que la résistance face à ces campagnes passe nécessairement par une vigilance accrue, car reposant sur l’ingénierie sociale.

Rappelons que le contournement des mécanismes à facteurs multiples n’est pas rare. En 2022, Microsoft avait expliqué en détail le fonctionnement d’une attaque complexe, visant des entreprises spécifiques. Elle utilisait des serveurs dédiés, se reposait également sur l’ingénierie sociale et présentait de grandes similitudes avec les mécanismes décrits par Proofpoint.

C’est la fin pour Windows 11 SE

Windows 11 SE – pour Student Edition et non pas Seconde Édition pour les nostalgiques de Windows 98 – a été annoncé en novembre 2021. Cette version de Windows 11 ne dispose pas du Store maison et seule des applications tierces autorisées peuvent être installées.

Microsoft lançait pour l’occasion des produits « SE », comme le Surface Laptop SE. Le but était de répondre à l’initiative Chromebook pour l’éducation de Google. Quelques mois plus tard, les premiers produits étaient disponibles.

Comme le rapporte Windows Central, Microsoft a mis à jour sa page dédiée à Windows 11 SE pour annoncer que sa prise en charge « prendra fin en octobre 2026 ». La version 24H2 est donc la dernière en date et plus aucun correctif ne sera proposé.

Le système d’exploitation Student Edition partira donc quasiment comme il est arrivé : dans une relative indifférence… Windows 11 SE n’a en effet jamais percé.

Anthropic coupe l’accès d’OpenAI à ses API

Le 1er aout, dans un article publié par Wired, on apprenait qu’Anthropic avait coupé l’accès d’OpenAI aux modèles Claude. Une décision radicale, qu’Anthropic a expliquée :

« Claude Code est devenu le choix de prédilection des développeurs du monde entier, et il n’était donc pas surprenant d’apprendre que le personnel technique d’OpenAI utilisait également nos outils de développement avant le lancement de GPT-5. Malheureusement, il s’agit d’une violation directe de nos conditions d’utilisation »

Comme le pointent nos confrères, les conditions d’utilisation d’Anthropic interdisent formellement l’utilisation des modèles Claude pour le développement de produits concurrents. OpenAI, plutôt que d’utiliser le service Claude via son interface, aurait connecté l’API d’Anthropic pour obtenir des comparaisons de performances plus directes.

Anthropic

À Wired et TechCrunch, Anthropic a cependant indiqué qu’elle laisserait l’accès « à des fins de benchmarking et d’évaluations de sécurité ».

OpenAI, de son côté, a indiqué à nos confrères que l’utilisation qu’elle faisait des modèles Claude était « une norme de l’industrie ». « Bien que nous respections la décision d’Anthropic de couper notre accès à l’API, c’est décevant puisque notre API reste à leur disposition », a déclaré un porte-parole.

C’est la deuxième fois en peu de temps qu’Anthropic coupe l’accès à ses produits. Début juin, l’entreprise coupait ainsi brutalement l’accès à Windsurf, anciennement Codeium. Cette décision faisait suite à de fortes rumeurs de rachat de Windsurf par… OpenAI.

Actuellement, des rumeurs évoquent un lancement de GPT-5 pour la mi-août.

Free annonce la fin du Free WiFi et de la Femtocell

C’est le ménage de printemps chez l’opérateur. Il y a quelques jours, TiinoX83 se faisait l’écho sur X d’un message envoyé par Free à ses clients mobiles : « nous vous informons que le service Free WiFi sera arrêté à compter du 1er octobre 2025 ». L’opérateur ajoute que son service Free WiFi « est devenu obsolète ». Les clients Freebox ne pouvaient déjà plus en profiter depuis 2021.

Pour la Femtocell, les clients sont informés que la fin est programmée au 1ᵉʳ septembre 2025, comme le rapporte Busyspider et des clients sur X. La raison est la même : un service « devenu obsolète ».

Free WiFi était un réseau WiFi communautaire sur les Freebox, auquel pouvaient se connecter des clients mobiles (il était déjà désactivé depuis quelques années sur des Freebox). Femtocell était un petit boitier pour les Freebox Révolution faisant office de relai 3G pour les smartphones.

Goo.gl : Google fait demi-tour pour les « liens activement utilisés »

Résumé d’une pièce en trois actes. En 2018, Google annonce la fin de son raccourcisseur d’URL Goo.gl, mais les anciens liens continuent de fonctionner. En juillet 2024, l’entreprise annonce l’arrêt de la redirection des liens pour le 25 août 2025.

À trois semaines de la date fatidique, le géant du Net revoit ses plans « afin de préserver les liens activement utilisés ». Il ajoute : « il y a neuf mois, nous avons redirigé les URL qui ne montraient aucune activité fin 2024 vers un message expliquant que le lien serait désactivé en août, et ce sont les seuls liens ciblés à désactiver ».

Tous les autres liens continueront de fonctionner. En clair, si votre lien raccourci en goo.gl n’affiche pas de message « this link will no longer work in the near future », il continuera de fonctionner après le 25 août.