Un nouveau kit malveillant, EvilTokens, structure et industrialise une technique encore peu visible dans les entreprises. Le phishing par code d’appareil. Derrière cette mécanique, c’est toute une logique d’attaque qui évolue, pensée pour durer et s’intégrer dans les usages Microsoft 365.
Une attaque qui détourne un mécanisme légitime
Le point de départ est un flux parfaitement normal côté Microsoft. Le device code sert à connecter un appareil qui ne peut pas s’authentifier facilement, comme une TV ou un terminal IoT. L’utilisateur récupère un code, le saisit sur une page officielle, et autorise l’accès. EvilTokens détourne exactement ce mécanisme. L’attaquant génère lui-même un code via le flux OAuth, puis pousse la victime à l’utiliser sous un faux prétexte. Invitation à consulter un document, notification DocuSign, demande liée à la paie ou à la logistique, les scénarios sont construits pour coller aux usages métier.
Cette technique n’est pas nouvelle. Elle est connue des équipes de sécurité depuis plusieurs années. Mais elle reste largement sous-estimée dans les usages réels en entreprise, parce qu’elle ne ressemble pas à une attaque classique et ne déclenche pas les réflexes habituels.
Un accès durable sans mot de passe ni alerte
Une fois le code saisi, l’attaquant récupère non seulement un token d’accès, mais aussi un refresh token. Cela lui permet de maintenir un accès dans le temps, même si le mot de passe est modifié. On ne parle plus ici de vol d’identifiants, mais de détournement de session. Et dans ce modèle, le MFA ne joue plus son rôle habituel puisqu’il est validé par l’utilisateur lui-même au moment de l’opération.
Dans certains cas, les attaquants peuvent même enregistrer un nouvel appareil dans l’environnement Microsoft et étendre leur présence sans déclencher de friction visible.
EvilTokens, un service pensé pour exploiter les comptes
Ce qui change vraiment avec EvilTokens, ce n’est pas la technique en elle-même, déjà observée depuis quelques petites années. C’est sa mise à disposition sous forme de service. Le kit est distribué avec des templates prêts à l’emploi, de l’automatisation et des fonctions d’analyse des données compromises. Soit, nous ne sommes plus dans une attaque opportuniste. Les attaquants sont guidés sur quoi chercher, comment exploiter les échanges, quels messages cibler. Le but est bel et bien de s’installer dans les comptes Microsoft 365, observer les flux, puis déclencher des fraudes ciblées.
Microsoft 365, point d’ancrage idéal pour ce type d’attaque
Ce type d’approche fonctionne particulièrement bien dans les environnements Microsoft 365, parce que les comptes sont centraux, interconnectés et utilisés en continu. Une fois l’accès obtenu, l’attaquant peut observer longtemps sans bruit, comprendre les circuits internes, puis intervenir au bon moment. Les campagnes observées ciblent d’ailleurs des profils métiers très précis, souvent en finance, RH ou logistique, là où les circuits de validation sont exploitables rapidement.
Une menace qui échappe encore aux réflexes classiques
Le problème, c’est que ce type d’attaque passe sous le radar de beaucoup d’outils traditionnels. Les protections contre le phishing classique ou les malwares ne voient rien d’anormal. L’utilisateur interagit avec un service légitime, dans un scénario crédible. La détection se déplace ailleurs. Sur les logs d’authentification, les tokens actifs, les comportements après connexion. Ce n’est plus une intrusion qu’il faut bloquer, c’est une présence déjà validée qu’il faut savoir repérer.
