3 700 % de hausse en trois mois. Les chercheurs de Push Security ont compté 37 fois plus de pages de phishing exploitant un mécanisme obscur de Microsoft, le « device code flow », entre janvier et avril 2026. En face, 11 kits prêts à l’emploi circulent sur Telegram, vendus à quiconque veut pirater un compte Outlook, Teams ou OneDrive. Le plus redoutable s’appelle EvilTokens.
Taper le vrai code sur le vrai site, et tout perdre
Le principe est d’une simplicité redoutable. Le protocole OAuth 2.0 prévoit un flux d’autorisation par code à usage unique, conçu pour les appareils sans clavier : téléviseurs connectés, imprimantes réseau, objets connectés. L’utilisateur tape un code court sur la page de connexion officielle de Microsoft pour autoriser un appareil distant. Les pirates ont détourné ce mécanisme pour piéger des humains.
Le scénario se déroule en quatre étapes. La victime reçoit un courriel contenant un PDF ou un lien imitant DocuSign, ShareFile ou un service de paie. La page affiche un code et un bouton « Continuer vers Microsoft ». En cliquant, la victime atterrit sur le vrai site login.microsoftonline.com, entre le code affiché et s’identifie normalement. Ce faisant, elle autorise l’appareil du pirate à accéder à son compte.
Résultat : l’attaquant récupère un jeton d’accès et un jeton de rafraîchissement, ce second élément permettant de se reconnecter pendant des semaines sans que la victime le sache. Les courriels, fichiers, conversations Teams et données OneDrive deviennent accessibles. L’authentification à deux facteurs ne protège pas, puisque la victime a elle-même validé la connexion.
11 kits vendus sur Telegram, dont un service complet
Push Security, entreprise spécialisée dans la détection de menaces navigateur, a identifié onze outils distincts. EvilTokens domine le marché. Vendu sur Telegram, ce kit de type « phishing en tant que service » fournit des modèles imitant Adobe Acrobat, DocuSign, SharePoint et Microsoft Teams. Son auteur promet d’ajouter des pages Gmail et Okta.
Les chercheurs de Sekoia, société française de cybersécurité, ont disséqué l’infrastructure d’EvilTokens et publié leurs résultats début avril. Les campagnes ciblent des employés dans la finance, les ressources humaines, la logistique et les ventes. Les pays les plus touchés : États-Unis, Canada, France, Australie, Inde, Suisse et Émirats arabes unis.
Les dix autres kits portent des noms tels que VENOM, SHAREFILE, CLURE, LINKID ou DOCUPOLL. Certains hébergent leurs pages sur GitHub Pages ou Cloudflare Workers, des services gratuits et légitimes qui compliquent le blocage. DOCUPOLL reproduit le processus de signature DocuSign avec tant de fidélité que même un utilisateur averti peut s’y tromper.
Pourquoi cette technique explose maintenant
Le device code phishing existe depuis 2020, documenté pour la première fois par des chercheurs en sécurité. Pendant plusieurs années, seuls des groupes étatiques l’utilisaient. Microsoft a attribué certaines campagnes au groupe russe Storm-237. Le gang ShinyHunters, responsable de nombreuses fuites de données, l’a aussi adopté.
Deux facteurs expliquent la démocratisation. Le premier : l’apparition de kits clé en main comme EvilTokens, qui abaissent la barrière technique. Un cybercriminel débutant peut acheter le service, personnaliser un courriel d’hameçonnage et lancer une campagne en quelques heures. Le second : les protections classiques ne fonctionnent pas. Contrairement au phishing traditionnel, la victime ne tape jamais son mot de passe sur un faux site. Elle le tape sur le vrai site Microsoft. Les filtres anti-phishing qui détectent les pages de connexion contrefaites sont donc aveugles.
Microsoft avait déjà durci les conditions d’utilisation du flux device code en 2025, en réduisant la durée de validité des codes. Mais la fenêtre de 15 minutes laissée par défaut reste suffisante pour qu’un pirate envoie le code à la victime et attende sa validation.
La France dans la ligne de mire
Les données de Sekoia placent la France parmi les sept pays les plus ciblés par les campagnes EvilTokens. Les courriels d’hameçonnage arrivent sous forme de faux bons de commande, de notifications de paie ou d’invitations à des réunions Teams. Les fichiers joints prennent plusieurs formats : PDF, HTML, DOCX, XLSX ou SVG contenant un QR code ou un lien.
En France, le nombre de signalements de compromission de comptes Microsoft 365 auprès de l’ANSSI a doublé entre 2024 et 2025, selon le dernier panorama de la cybermenace publié en mars. Les attaques par device code phishing contribuent à cette tendance, même si l’agence ne les isole pas encore dans ses statistiques.
Comment se protéger
La première mesure, recommandée par Push Security et Microsoft, consiste à désactiver le flux d’autorisation par code d’appareil dans les politiques d’accès conditionnel d’Entra ID (ex-Azure Active Directory). Peu d’organisations l’ont fait : le paramètre est activé par défaut, et la plupart des administrateurs ignorent qu’il existe.
Pour les particuliers, la règle est simple : ne jamais entrer un code reçu par courriel sur une page de connexion Microsoft. Si un document partagé demande une « vérification d’identité » via un code, c’est un piège. Les vrais partages SharePoint ou DocuSign ne passent jamais par ce mécanisme.
Les entreprises peuvent aussi surveiller leurs journaux de connexion pour repérer les authentifications par device code inhabituelles : adresses IP inconnues, créneaux horaires atypiques ou connexions depuis des pays où l’organisation n’a pas de bureau.
Push Security prévient que si les forces de l’ordre parviennent à démanteler EvilTokens, dix autres kits sont déjà en place pour prendre le relais. Le prochain trimestre dira si la courbe des 3 700 % continue de grimper.
