Comment contrer l’essor 37 fois plus rapide des attaques de phishing code dispositif en 2026
Hippolyte Valdegré
L’essor alarmant des attaques de phishing code dispositif
En 2026, formation cybersécurité 2026 les attacks de phishing code dispositif ont connu une multiplication de 37 fois par rapport à l’année précédente, selon le rapport de Push Security. Cette hausse spectaculaire révèle l’efficacité du flux d’autorisation d’appareil OAuth 2.0 lorsqu’il est détourné par des cybercriminels.
Dans la pratique, les victimes reçoivent un code accompagné d’un prétexte convaincant (facture, invitation à signer un contrat, etc.). Elles le saisissent ensuite sur une page d’authentification légitime, autorisant ainsi l’accès à leurs comptes via des access et refresh tokens valides.
« Nous avons observé une multiplication de 15 × en mars 2026, puis de 37,5 × au cours du premier trimestre », explique un analyste de Push Security.
Le phénomène n’est plus marginal : plus de 11 kits de phishing sont répertoriés, tous proposant des lures SaaS réalistes et s’appuyant sur des infrastructures cloud publiques.
Comprendre le flux d’autorisation d’appareil OAuth 2.0
Fonctionnement du mécanisme
Le flux d’autorisation d’appareil, défini dans la spécification OAuth 2.0, permet à des appareils dépourvus d’interface utilisateur (IoT, imprimantes, smart TV) de s’authentifier sans saisie directe de mots de passe. Le processus se décompose ainsi :
- L’appareil envoie une requête d’autorisation au fournisseur de service et reçoit un device code et un user code.
- L’utilisateur, à l’aide d’un autre dispositif (smartphone, ordinateur), saisit le user code sur la page d’autorisation officielle.
- Le serveur délivre un access token et éventuellement un refresh token à l’appareil.
Pourquoi il est exploitable
Les acteurs malveillants reproduisent ce flux en envoyant la requête d’autorisation eux-mêmes, récupérant le device code puis le transmettant à la victime sous forme de message persuasif. La victime, pensant interagir avec le service légitime, entre le code, ce qui ouvre une porte d’accès totalement autorisée.
Ce vecteur est particulièrement dangereux car :
- Il contourne les filtres de mots de passe classiques.
- Les tokens obtenus sont valides tant qu’ils ne sont pas révoqués.
- Il exploite la confiance dégagée par les pages d’autorisation officielles.
Selon l’ANSSI, plus de 68 % des incidents liés à OAuth en 2025 impliquaient un usage détourné du flux d’autorisation d’appareil.
Les kits PhaaS qui démocratisent le phishing code dispositif
Panorama des kits détectés en 2026
| Kit | Hébergement | Lure principale | Protection anti-bot | Remarque |
|---|---|---|---|---|
| EvilTokens | Workers.dev | Microsoft Teams / Adobe | CAPTCHA basique | Kit le plus répandu, open-source sur GitHub |
| VENOM | Serveur privé | IA-télé-manipulation (AiTM) | Cloudflare Turnstile | Clone d’EvilTokens avec fonctions avancées |
| SHAREFILE | Node.js | Citrix ShareFile | ReCaptcha v2 | Utilise une API de transfert de fichiers fictive |
| CLURE | DigitalOcean | SharePoint | Anti-bot dynamique | Rotation d’API toutes les 5 min |
| LINKID | Cloudflare | Microsoft Teams, Adobe vuln Chrome zéro‑day | Challenge Cloudflare | Lures très ciblés sur les suites Office |
| AUTHOV | Workers.dev | Popup Adobe | Aucun | Simplicité extrême, cible les petites entreprises |
| DOCUPOLL | GitHub Pages | DocuSign | ReCaptcha invisible | Vidéo démonstrative publiée par Push Security |
| FLOW_TOKEN | Tencent Cloud | HR, DocuSign | CAPTCHA personnalisé | Diversité géographique du backend |
| PAPRIKA | AWS S3 | Office 365 | ReCaptcha v3 | Branding Microsoft très fidèle |
| DCSTATUS | Inconnu | Microsoft 365 Secure Access | Aucun | Kit minimaliste, peu d’infrastructure visible |
| DOLCE | PowerApps | Dolce & Gabbana | Aucun | Probable campagne red-team, usage limité |
« EvilTokens constitue le catalyseur de la démocratisation du phishing code dispositif, rendant la technique accessible aux cybercriminels peu expérimentés », souligne le rapport de Sekoia.
Ces kits offrent des lures SaaS (Microsoft, Adobe, DocuSign) qui augmentent le taux de succès en jouant sur la légitimité perçue.
Mesures de détection et de prévention pour les organisations françaises
Politiques d’accès conditionnel
L’ANSSI recommande de désactiver le flux d’autorisation d’appareil lorsqu’il n’est pas explicitement requis. La mise en place d’une politique d’accès conditionnel (Conditional Access Policy - CAP) permet de restreindre le scénario aux appareils corporatifs only.
{
"@odata.type": "#microsoft.graph.conditionalAccessPolicy",
"displayName": "Bloquer le flux device code hors appareil géré",
"state": "enabled",
"conditions": {
"clientAppTypes": ["all"],
"deviceStates": {"excludeManaged": true},
"signInRiskLevels": ["high", "medium"]
},
"grantControls": {"builtInControls": ["block"]}
}
Cette configuration empêche les comptes utilisateurs d’autoriser un code d’appareil depuis un appareil non géré, réduisant ainsi la surface d’exposition.
Surveillance des logs et analyses comportementales
Une surveillance proactive doit porter sur :
- Événements d’authentification
DeviceCodeCredentialinhabituels. - Adresses IP géolocalisées hors de la zone géographique de l’entreprise.
- Durées de session anormales (par ex. tokens valides > 30 jours).
Exemple de tableau de bord : un graphique montrant le nombre quotidien de demandes de device code par région, avec une alerte dès qu’un pic dépasse le seuil moyen de +250 %.
Selon le rapport 2025 de l’ENISA, les organisations qui intègrent une corrélation entre les logs d’OAuth et les flux de device code voient une réduction de 73 % des compromissions liées à ce vecteur.
Guide pratique : mise en place d’une défense en profondeur
- Inventorier les applications qui utilisent réellement le flux OAuth 2.0 Device Authorization Grant.
- Désactiver le mécanisme sur les services qui n’en ont pas besoin via les politiques conditionnelles décrites ci-dessus.
- Déployer des solutions de détection capables d’analyser les modèles de trafic (ex. SIEM avec règles personnalisées guide Q‑alerts).
- Former les utilisateurs : expliquer que l’on ne doit jamais saisir un code provenant d’un e-mail ou d’un message instantané non sollicité.
- Effectuer des tests de pénétration ciblés sur le vecteur OAuth afin de valider l’efficacité des contrôles.
« Le facteur humain demeure le maillon faible ; une sensibilisation régulière réduit de 45 % le taux de clics sur les pages de phishing code dispositif », indique une étude interne de l’ANSSI.
Conclusion - Prochaine action pour sécuriser vos comptes
L’augmentation vertigineuse des attacks de phishing code dispositif révèle que le flux d’autorisation d’appareil, conçu pour la commodité, devient une porte d’entrée critique pour les cybercriminels.
En appliquant les recommandations suivantes : désactiver le flux lorsque non indispensable, instaurer des politiques d’accès conditionnel rigoureuses, surveiller les logs à la recherche de comportements anormaux, et former les équipes aux techniques de manipulation, les organisations françaises peuvent réduire de façon significative le risque de compromission.
Le moment est venu d’agir : intégrez dès aujourd’hui ces mesures dans votre programme de sécurité, afin de neutraliser la progression du phishing code dispositif et de protéger vos actifs numériques contre une menace qui se développe 37 fois plus rapidement.