Sept millions d’attaques en quatre semaines. Barracuda vient de documenter une montée en puissance brutale du phishing par “device code”, une technique qui retourne le système de connexion de Microsoft contre ses propres utilisateurs, sans faux site, sans lien suspect, et qui met en échec la double authentification.
Un détournement du processus de connexion, pas une faille
Il n’y a pas de vulnérabilité à corriger ici. L’authentification par code d’appareil est une fonctionnalité parfaitement légitime, conçue à l’origine pour permettre la connexion sur des équipements sans clavier — téléviseurs, imprimantes, outils industriels. L’utilisateur demande un code court, le saisit sur une vraie page Microsoft, et son appareil est autorisé. Les attaquants ont compris qu’il suffisait de s’intercaler dans ce processus.
L’attaquant génère lui-même un vrai code auprès de Microsoft, l’envoie à la victime dans un email soigneusement habillé : notification de document partagé, alerte de sécurité, demande de validation de paiement. Il attend que celle-ci le saisisse sur la vraie page de connexion Microsoft. Ce faisant, la victime autorise l’appareil de l’attaquant, pas le sien. Microsoft délivre alors un droit d’accès complet et durable, directement récupéré par l’attaquant : messagerie, fichiers, données Teams, parfois pendant des semaines, même si le mot de passe est modifié entre-temps.
L’efficacité de la technique tient à deux particularités. D’abord, il n’y a aucune URL frauduleuse : l’email peut transiter par des plateformes légitimes, et la page de connexion finale est celle de Microsoft elle-même, ce qui déjoue la grande majorité des filtres. Ensuite, le double facteur d’authentification ne protège pas : c’est la victime qui accomplit elle-même la vérification d’identité, et l’accès obtenu contourne sans difficulté les politiques de sécurité habituelles.
EvilTokens, ou la démocratisation d’une technique d’État
Ce qui fait basculer la menace dans une autre dimension, c’est EvilTokens. Identifié par les chercheurs de Sekoia en mars 2026, c’est un kit de phishing vendu via Telegram depuis mi-février est le premier à proposer clé en main l’ensemble du processus (comprenez de la génération du code à l’exploitation de la boîte compromise) avec des templates prêts à l’emploi imitant DocuSign, Adobe Acrobat ou SharePoint, des emails générés par LLM, une interface intégrée pour opérer directement depuis la messagerie de la victime, et un support client disponible vingt-quatre heures sur vingt-quatre.
Ce n’est pas une surprise de fond : des groupes liés à des États exploitaient déjà cette technique dès février 2025, ciblant des administrations et des organisations de recherche américaines et européennes. EvilTokens en est la commercialisation, qui était jusque-là réservée aux acteurs les plus sophistiqués, désormais accessible à n’importe quel opérateur criminel pour quelques centaines de dollars par mois.
Face à cette menace, les défenses classiques ne suffisent pas. « Des contrôles de sécurité multicouches, incluant un filtrage avancé des emails, des mécanismes de protection des identités et une surveillance continue, peuvent réduire significativement les risques », souligne Saravanan Mohankumar, Manager de la Threat Analysis Team chez Barracuda. La mesure la plus directe reste de désactiver ce mode de connexion pour tous les collaborateurs qui n’en ont pas d’usage opérationnel.
