Pas de faux site, pas de lien piégé, pas de formulaire douteux. La victime se rend sur microsoft.com/devicelogin, le vrai portail d’authentification de Microsoft, tape un code à huit caractères reçu par e-mail, et valide. En quelques secondes, un pirate obtient un accès complet à son compte professionnel Microsoft 365 : mails, fichiers OneDrive, conversations Teams. Depuis janvier 2026, cette technique a été multipliée par 37, selon les chercheurs de Push Security.
Le vrai site Microsoft comme arme
La méthode exploite un mécanisme légitime appelé « device code flow », conçu à l’origine pour connecter des appareils sans clavier, comme une télévision ou une enceinte connectée, à un compte Microsoft. Le principe : l’appareil affiche un code, l’utilisateur le tape sur son ordinateur ou son téléphone, et l’appareil est autorisé. Le problème, c’est que rien n’empêche un attaquant de générer ce code à distance et de l’envoyer à sa cible.
L’e-mail d’hameçonnage est souvent déguisé en notification interne : une fiche de paie à consulter, un document partagé, une invitation Teams. Le lien pointe vers microsoft.com. Aucune faute de frappe dans l’URL, aucun certificat suspect. La page de connexion est celle que des centaines de millions de salariés utilisent chaque jour. Une fois le code saisi et la connexion validée, le serveur de Microsoft génère un jeton d’authentification. Ce jeton atterrit chez l’attaquant, qui l’a demandé en premier. Le piège se referme sans qu’une seule alerte ne se déclenche.
Un jeton qui survit au changement de mot de passe
Ce qui rend l’attaque redoutable, c’est la persistance. Le jeton obtenu reste valide même si la victime change son mot de passe après coup. Il donne accès à l’ensemble des services Microsoft 365 liés au compte, sans nouvelle authentification. L’attaquant peut lire les e-mails, télécharger des fichiers, envoyer des messages au nom de la victime, et pivoter vers d’autres comptes de l’organisation. Tant que le jeton n’est pas révoqué manuellement par un administrateur, le pirate conserve les clés.
Proofpoint a documenté l’activité de plusieurs groupes exploitant cette faille. Parmi eux, des acteurs russes identifiés sous les noms Storm-2372 et APT29, connus pour cibler des gouvernements et des institutions. Un groupe à motivation financière, TA2723, utilise la technique depuis octobre 2025 en envoyant de faux bulletins de salaire et des liens vers des « documents partagés ».
11 kits de phishing prêts à l’emploi
L’explosion des attaques n’est pas le fruit d’un progrès technique soudain. Elle vient de la démocratisation des outils. Push Security a identifié au moins 11 kits de phishing spécialisés dans le device code flow, tous en vente sur des forums criminels. Le plus connu, EvilTokens, fonctionne sur un modèle d’abonnement : un cybercriminel sans compétences techniques peut lancer une campagne en quelques minutes, avec des pages d’hameçonnage pré-construites, des protections anti-détection et un hébergement sur des plateformes cloud légitimes.
Le site Sekoia a analysé EvilTokens en détail dans un rapport publié le 30 mars 2026. Le kit propose des leurres imitant des interfaces SaaS connues (SharePoint, Teams, DocuSign), des systèmes anti-bot pour éviter les scanners de sécurité, et une gestion automatisée des jetons volés. Le tout pour un tarif mensuel accessible à n’importe quel escroc amateur. En trois mois, le nombre de pages de phishing utilisant le device code flow a bondi de 1 500 %, d’après les mesures de Push Security prises entre début janvier et fin mars 2026.
340 organisations touchées dans cinq pays
The Hacker News a rapporté que plus de 340 organisations utilisant Microsoft 365 ont été ciblées depuis février 2026, réparties dans cinq pays. Les secteurs touchés vont de l’éducation à la finance en passant par les administrations publiques et les ONG. Le vecteur d’entrée est toujours le même : un e-mail qui semble provenir d’un collègue ou d’un service interne, un code à taper sur un site de confiance, et un compte compromis en moins d’une minute.
Les formations classiques de sensibilisation au phishing, celles qui apprennent à vérifier l’URL ou le certificat SSL, ne servent à rien contre cette technique. Le site est authentique. Le certificat est valide. La page ressemble exactement à ce qu’elle est censée être, parce qu’elle EST ce qu’elle est censée être. La seule anomalie, c’est la raison pour laquelle on vous demande de taper un code. Et rares sont les employés formés à se poser cette question.
Comment bloquer l’attaque
Microsoft propose une parade : les politiques d’accès conditionnel permettent de désactiver le flux device code pour les comptes qui n’en ont pas besoin. Dans la plupart des entreprises, seuls quelques appareils spécifiques (bornes, écrans de salle de réunion) utilisent ce mode d’authentification. Pour tous les autres, le bloquer n’affecte rien et ferme la porte aux attaquants.
Push Security recommande de surveiller les journaux d’authentification pour repérer les connexions via device code provenant d’adresses IP inhabituelles. CSO Online ajoute qu’une alerte automatisée sur les événements de type « device code grant » peut détecter une attaque en cours en quelques secondes. Mais ces mesures supposent que le service informatique connaisse la menace, et la plupart des PME n’ont jamais entendu parler du device code flow.
L’ironie est là : une fonctionnalité conçue pour simplifier la vie des utilisateurs est devenue l’un des vecteurs d’attaque les plus efficaces contre les comptes professionnels. Avec 11 kits en circulation et une hausse de 3 700 % en trois mois, la question n’est plus de savoir si votre entreprise sera visée, mais quand. Microsoft n’a pas annoncé de modification du protocole device code flow. La fonctionnalité reste activée par défaut sur tous les comptes.
