Retour en 2022 : cette année-là, un nouvel outil de planification de réunions est publié sur le Microsoft Add-in Store, la boutique officielle de l’entreprise américaine permettant, entre autres, d’ajouter des extensions au service de messagerie Outlook. Son nom ? AgreeTo, conçu pour connecter différents calendriers professionnels et personnels et partager plus facilement ses disponibilités.

Rapidement, l’extension, développée par un créateur anonyme, rencontre un relatif succès et affiche une note de 4,71 sur la boutique d’applications de Google Chrome, où elle est également disponible.

Le projet, open source, reste actif sur GitHub jusqu’en mai 2023, date de sa dernière mise à jour. Le développeur semble par la suite avoir abandonné le projet : une aubaine pour les pirates.

Comment fonctionne l’attaque ?

Concrètement, l’attaque a été rendue possible par la manière dont Microsoft gère les compléments Office. Ces derniers ne sont pas du code installé localement : ce sont des URL.

Votre vie privée doit rester privée.

Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.

Un développeur soumet à Microsoft un manifeste, un fichier XML indiquant : « charge cette URL dans un iFrame au sein d’Outlook ». Microsoft examine alors le manifeste, le signe, puis ajoute le complément à sa boutique.

Ainsi, le contenu lui‑même est chargé en temps réel depuis le serveur du développeur à chaque ouverture du complément.

Problème : peu après l’abandon du projet par son créateur, le sous‑domaine sur lequel il reposait (outlook-one.vercel.app) est devenu disponible, et un acteur malveillant s’en est emparé.

Et tandis que Google a finalement supprimé l’extension Chrome obsolète en février 2025, le module complémentaire Outlook, lui, est resté référencé dans le Microsoft Office Store, pointant toujours vers une URL désormais contrôlée par le pirate.

Près d’un an après l’arrêt de son développement, les utilisateurs laissaient des avis sur l’extension Chrome. // Source : Koi Security

Plus de 4 000 identifiants volés

Il suffisait alors au hacker de déployer un kit de phishing en lieu et place du site initial pour tromper les utilisateurs : une fausse page de connexion Microsoft, une page de collecte de mots de passe, un script d’exfiltration et une redirection : « Après quelques secondes de chargement, la victime est redirigée sans problème vers la véritable page de connexion (login.microsoftonline.com). Elle suppose qu’elle doit se reconnecter et poursuit ses activités. Elle ignore que son mot de passe vient d’être volé », expliquent les chercheurs.

Lorsqu’une victime ouvre le complément AgreeTo dans Outlook, elle ne voit pas un planificateur de réunions, mais une page de connexion Microsoft. // Source : Koi Security

Au moment de la publication du papier, les chercheurs ont prévenu que la menace était encore en cours.

Ils notent par ailleurs avoir été en mesure de pénétrer l’infrastructure d’exfiltration du pirate, permettant un aperçu de l’ampleur de l’opération. Plus de 4 000 identifiants y étaient répertoriés.

Les victimes concernées ont été informées.