Attaques de phishing par code appareil : comprendre la hausse 37 fois en 2026 et s’en protéger
Églantine Montclair
Attaques de phishing par code appareil : une croissance vertigineuse en 2026
En 2026, les phishing par code appareil ont explosé, avec une multiplication de 37,5 fois le nombre de campagnes détectées depuis le début de l’année, selon Push Security. Cette hausse fulgurante met en lumière un vecteur de compromission qui exploitait initialement le flux OAuth 2.0 Device Authorization Grant, destiné aux objets IoT et aux appareils sans clavier. Dans la pratique, les cybercriminels ont transformé ce mécanisme légitime en un point d’entrée facile, contournant les contrôles d’authentification classiques. Cet article vous explique les raisons de ce phénomène, décrit les kits les plus répandus, analyse les risques pour les organisations françaises et vous propose un plan d’action concrète. Formation en cybersécurité (bac pro)
Pourquoi le phishing par code appareil explose en 2026 ?
Le mécanisme OAuth 2.0 Device Authorization Grant
Le Device Authorization Grant permet à un dispositif dépourvu d’interface de saisir un code fourni par le fournisseur d’identité, puis d’autoriser l’accès via un token d’accès et un token de rafraîchissement. Le flux se déroule en deux temps : (1) le serveur envoie un device code au client, (2) le client demande à l’utilisateur d’entrer ce code sur une page d’authentification légitime. Cette architecture, conçue pour simplifier la connexion d’appareils comme les téléviseurs intelligents, crée un point d’exposition lorsqu’un acteur malveillant intercepte le code et le présente à la victime sur une page factice.
« Le device code est un token à usage unique, mais lorsqu’il est présenté à l’utilisateur sur un site frauduleux, il devient une porte d’entrée valide », explique un chercheur de Push Security.
Facteurs de démocratisation des kits
Plusieurs facteurs ont convergé pour rendre ce vecteur attrayant pour les criminels :
- Kit « EvilTokens » : le kit le plus répandu, offrant une interface prête à l’emploi et une intégration simplifiée aux services cloud.
- Disponibilité sur des plateformes SaaS : les kits sont hébergés sur Cloudflare, AWS S3, DigitalOcean ou Workers.dev, ce qui leur confère une résilience face aux blocages géographiques.
- Modèle PhaaS (Phishing-as-a-Service) : les opérateurs peuvent louer des campagnes clés en main, réduisant la barrière technique.
- Évolution des menaces ciblant les appareils IoT : la croissance du nombre d’objets connectés en France (prévu à 30 % des foyers d’ici 2025) augmente la surface d’attaque.
Selon Sekoia, le nombre de kits actifs a dépassé les 11 plateformes distinctes, chacune proposant des leurres thématiques (Microsoft Teams, Adobe, DocuSign) pour augmenter le taux de conversion.
Quels sont les principaux kits de phishing par code appareil ?
Panorama des kits identifiés
| Kit | Hébergement | Thème du leurre | Particularité | Source |
|---|---|---|---|---|
| EvilTokens | Workers.dev | Microsoft 365 | Kit « democratized », le plus répandu | Push Security |
| VENOM | Hébergement privé | AI-in-the-Middle + Device Code | Clone d’EvilTokens avec modules AiTM | Push Security |
| SHAREFILE | Node.js sur DigitalOcean | Citrix ShareFile | Simule le transfert de fichiers | Push Security |
| CLURE | DigitalOcean | SharePoint | Rotating API, anti-bot gate | Push Security |
| LINKID | Cloudflare | Microsoft Teams, Adobe | Utilise challenges Cloudflare | Push Security |
| AUTHOV | workers.dev | Popup Adobe | Entrée pop-up du code | Push Security |
| DOCUPOLL | GitHub Pages | DocuSign | Vidéo démonstrative publiée | Push Security |
| FLOW_TOKEN | Tencent Cloud | HR, DocuSign | Backend Tencent | Push Security |
| PAPRIKA | AWS S3 | Office 365 | Footer Okta factice | Push Security |
| DCSTATUS | Workers.dev | Microsoft 365 Secure Access | Minimaliste | Push Security |
| DOLCE | PowerApps | Dolce & Gabbana | Red-team style | Push Security |
Analyse comparative
Les kits varient selon trois critères clés : complexité d’intégration, capacité d’évasion (anti-bot, rotation d’IP) et niveau de leurres. EvilTokens se démarque par sa facilité d’utilisation (interface drag-and-drop) et son nombre de campagnes (plus de 300 % de croissance depuis 2023). VENOM propose, en plus, des modules AiTM qui permettent de capturer les jetons de session en temps réel, augmentant le danger pour les organisations qui utilisent des Single Sign-On (SSO).
Quels risques pour les organisations françaises ?
Scénarios d’hijack de comptes
Dans le scénario type, l’attaquant :
- Crée un device code via le serveur d’identité Microsoft Azure AD.
- Envoie le code à la victime en se faisant passer pour une mise à jour de logiciel ou un accès à un document partagé.
- La victime saisit le code sur une page factice ressemblant à la page de connexion Microsoft.
- Le serveur valide le code et délivre un access token et un refresh token, que l’acteur utilise pour accéder de façon persistante aux ressources cloud (Exchange, SharePoint, Teams).
Le résultat : compromission de la messagerie, vol de données confidentielles, et potentielle rupture de conformité RGPD. Selon l’ANSSI, 45 % des incidents de cybersécurité en 2025 impliquaient une forme d’hijack d’identités, dont une part croissante provient de ce type de phishing.
« Les flux d’appareils sont rarement surveillés par les solutions EDR classiques, ce qui crée un « shadow attack surface » difficile à détecter », souligne le RSSI d’une grande banque française.
Impact sur la conformité (RGPD, ANSSI)
Lorsque les jetons d’accès sont volés, Comment réagir face à une vulnérabilité zero‑day Chrome, les données personnelles (PII) hébergées dans les services Office 365 sont exposées, violant le principe de minimisation des données du RGPD. De plus, l’ANSSI recommande, dans son guide SecNumCloud (édition 2024), d’appliquer des politiques de Conditional Access afin de restreindre le flux device code aux seuls comptes administratifs. Le non-respect de ces recommandations expose les organisations à des sanctions pouvant atteindre 4 % du chiffre d’affaires mondial.
Comment détecter et prévenir ces attaques ?
Mesures de configuration (Conditional Access)
- Désactiver le flux pour les comptes qui n’en ont pas besoin via Azure AD Conditional Access.
- Exiger l’utilisation de MFA uniquement sur les appareils enregistrés.
- Limiter les scopes d’accès aux seules ressources nécessaires (principe du moindre privilège).
Surveillance des logs et indicateurs
Les équipes de sécurité doivent configurer des alertes sur les événements suivants :
- DeviceCodeRequested avec un client_id inconnu.
- Connexions provenant d’IP géographiques inhabituelles (ex. : IP associées à des data-centers en Asie pour des utilisateurs Français).
- Sessions avec des refresh tokens générés hors de la fenêtre horaire attendue.
Voici un exemple de requête KQL (Kusto Query Language) pour Azure Sentinel :
SignInLogs
| where AuthenticationDetails has "DeviceCode"
| where TimeGenerated > ago(7d)
| summarize count() by UserPrincipalName, IPAddress, DeviceDetail
| where count_ > 3
Bonnes pratiques supplémentaires
- Éduquer les utilisateurs sur les scénarios de phishing spécifiques aux codes appareils.
- Activer l’anti-phishing de Microsoft Defender qui intègre la détection de pages factices similaires à celles utilisées par les kits.
- Auditer régulièrement Guide complet d’installation et configuration de Q‑Alerts les applications enregistrées dans Azure AD pour s’assurer qu’aucune application non autorisée n’a été ajoutée.
Mise en œuvre concrète : étapes actionnables
- Audit initial : identifiez les comptes qui utilisent le flux device code (Azure AD → Sign-in logs).
- Déploiement de Conditional Access : créez une règle bloquant le flux pour tous les utilisateurs, à l’exception des comptes critiques (ex. : administrateurs).
- Configuration des alertes : implémentez les requêtes de surveillance dans votre SIEM et testez-les avec des simulations de phishing.
- Formation : organisez des sessions de sensibilisation ciblées, incluant des exemples réels de kits (EvilTokens, DOCUPOLL).
- Revue trimestrielle : réévaluez les politiques et les indicateurs, ajustez les règles en fonction des nouvelles variantes de kits.
Conclusion - Protégez votre identité numérique dès aujourd’hui
Le phishing par code appareil n’est plus une curiosité technique, c’est une menace de masse qui a déjà multiplié son impact de 37,5 fois en moins d’un an. En combinant désactivation sélective du flux, surveillance proactive des logs et formation continue des utilisateurs, les organisations françaises peuvent réduire de façon significative le risque d’hijack de comptes et rester conformes aux exigences de l’ANSSI et du RGPD. Adoptez dès maintenant ces mesures : la résilience de votre infrastructure cloud dépend de la capacité à contrôler ce vecteur d’attaque désormais incontournable.