Attaque de phishing par code dispositif : comment les cybercriminels multiplient les infections 37 fois

Théophane Villedieu

avril 4, 2026

Une hausse vertigineuse qui inquiète les équipes de sécurité

En 2026, les attaques de phishing par code dispositif ont explosé, dépassant 37 fois le niveau observé l’an passé, d’après le rapport de Push Security. Cette progression fulgurante met en lumière la vulnérabilité du OAuth 2.0 Face à des acteurs toujours plus audacieux. Vous vous demandez comment ces campagnes se développent, quels kits sont mobilisés, et surtout comment protéger votre organisation ? Nous répondons à ces interrogations en détaillant le mécanisme, les tendances, et les mesures concrètes à mettre en place.

programme du Bac Pro Cybersecurité

Comprendre le mécanisme du phishing par code dispositif

Le flux d’autorisation de dispositif (Device Authorization Grant)

Le Device Authorization Grant de l’OAuth 2.0 a été conçu pour simplifier l’accès aux services depuis des appareils dépourvus d’interface de saisie, comme les téléviseurs intelligents ou les imprimantes réseau. Le processus se déroule en trois temps : le client demande un code d’autorisation, l’utilisateur saisit ce code sur la page d’authentification officielle, puis le serveur délivre un access token et, le cas échéant, un refresh token.

Dans un scénario légitime, le code n’est jamais communiqué à un tiers. Les cybercriminels, en revanche, exploitent ce flux pour tromper la victime : ils génèrent un code authentique, le diffusent via un e-mail de hameçonnage, puis incitent l’utilisateur à le coller sur une page trompeuse qui ressemble à la connexion officielle.

Pourquoi ce vecteur séduit les cybercriminels

Le principal atout de cette technique réside dans la légitimité inhérente du jeton d’accès : une fois le code validé, le serveur accepte la requête comme si elle provenait d’un appareil fiable. De plus, la plupart des fournisseurs ne proposent pas de contrôle granulaire du flux pour les comptes individuels, ce qui facilite la mise en place de scénarios automatisés. En outre, la disponibilité de kits prêts à l’emploi (phishing-as-a-service) réduit considérablement le niveau de compétence requis pour lancer l’attaque.

“Le kit EvilTokens a démocratisé le phishing par code dispositif, le rendant accessible même aux acteurs peu expérimentés”, explique un analyste de Push Security.

L’explosion des attaques en 2026

Selon le même rapport (2026), une hausse de 15 × a été enregistrée dès le mois de mars, avant de culminer à 37,5 × en avril. Cette croissance s’explique par la diffusion de plus de 11 kits spécialisés, qui utilisent des leurres SaaS réalistes (Microsoft 365, DocuSign, Adobe) et des protections anti-bot sophistiquées.

“Nous observons une diversification des kits, chaque acteur cherche à se démarquer en proposant des scénarios de lutte contre les filtres anti-spam”, précise le responsable de la recherche chez Sekoia.

Les chiffres sont alarmants : une enquête interne menée sur 500 000 logs d’authentification a détecté 0,8 % d’évènements suspects liés aux codes dispositif, ce qui représente une hausse de 250 % par rapport à l’année précédente (source : ANSSI, 2026).

Les kits de phishing en prolifération

Kit	Hébergement	Thème de leurre	Fonctionnalités anti-bot	Remarques
EvilTokens	Workers.dev	Microsoft	Captcha basique, rotation d’IP	Kit le plus répandu, source de la plupart des campagnes 2026
VENOM	Closed-source	Azure AI	Détection d’automatisation, sandbox	Clone d’EvilTokens, ajoute AiTM
SHAREFILE	Node.js	Citrix ShareFile	Rate-limiting, détection de bots	Utilise des endpoints API personnalisés
CLURE	DigitalOcean	SharePoint	Anti-bot à challenge, rotation d’API	Supporte des fiches de phishing multiples
DOCUPOLL	GitHub Pages	DocuSign	Captcha Google reCAPTCHA	Simule des workflows DocuSign authentiques
PAPRIKA	AWS S3	Microsoft Office 365	Vérification d’IP, filtres géographiques	Fait usage de branding Office 365
DCSTATUS	Workers.dev	Microsoft 365 “Secure Access”	Aucun (kit minimal)	Rare, souvent utilisé dans des tests internes
DOLCE	PowerApps	Dolce & Gabbana	Aucun (One-off)	Souvent employé par des équipes Red-Team

Exemple d’EvilTokens

Le kit EvilTokens se décline en trois composantes : une page de capture du code, un serveur qui échange le code contre les jetons, et un tableau de bord de suivi des sessions.

vulnérabilité zero‑day Chrome Les attaquants déploient la page sur des plateformes à faible coût (Workers.dev) et utilisent des leviers psychologiques (« Votre compte nécessite une vérification », « Connexion sécurisée requise ») pour pousser la victime à entrer le code.

Cas du kit DOCUPOLL

Le kit DOCUPOLL se distingue par son intégration de la marque DocuSign. L’e-mail de phishing propose à la cible de « signer un contrat urgent », puis redirige vers une page qui imite le portail DocuSign tout en affichant un champ de saisie du code dispositif. Une fois le code fourni, le serveur backend interroge l’API de Microsoft pour obtenir un jeton d’accès, qui est ensuite utilisé pour extraire des documents stockés dans OneDrive.

Mesures de défense recommandées pour les organisations françaises

Désactiver le flux lorsqu’il n’est pas requis - configurez des politiques d’accès conditionnel via Azure AD pour restreindre le Device Authorization Grant aux appareils autorisés.
Surveiller les journaux d’authentification - recherchez les événements device_code inhabituels, les adresses IP géographiquement improbables, et les sessions longues sans activité utilisateur.
Implémenter des contrôles de conformité - appliquez les recommandations de l’ANSSI (2025) et assurez-vous que les processus de gestion des identités respectent les exigences ISO 27001 et RGPD.
Éduquer les utilisateurs - organisez des campagnes de sensibilisation ciblant la reconnaissance des leurres liés à Microsoft 365, DocuSign et Adobe.
Utiliser des solutions de détection d’anomalies - déployez des outils capables d’identifier les schémas d’accès anormaux et d’envoyer des alertes en temps réel.

Guide complet Q‑alerts 2026

Exemple de politique d’accès conditionnel (JSON)

{
  "if": {
    "device": "unknown",
    "grant_type": "device_code"
  },
  "then": {
    "deny": true,
    "log": "Access denied for unauthorized device code flow"
  }
}

Ce fragment montre comment bloquer le flux pour les appareils non reconnus, tout en consignant l’incident pour une analyse ultérieure.

Bonnes pratiques d’hygiène et conformité

Le respect des normes nationales et internationales constitue le socle d’une défense robuste. L’ANSSI recommande, dans son guide « Sécuriser les flux OAuth », de limiter les scopes requis aux stricts besoins fonctionnels, et de mettre en place des refresh token revocation périodiques. De même, l’ISO 27001 impose la mise en œuvre d’un processus de gestion des accès incluant la révision trimestrielle des permissions octroyées aux applications tierces.

En matière de protection des données personnelles, le RGPD contraint les responsables de traitement à notifier les violations de sécurité dans les 72 heures, ce qui implique une capacité de détection rapide des compromissions liées aux codes dispositif. L’intégration de la Privacy Impact Assessment (PIA) lors de la mise en place de services SaaS permet d’identifier les risques liés à l’usage de flux OAuth et d’y répondre avant le déploiement.

Conclusion et prochaine action

Les attaques de phishing par code dispositif sont désormais l’un des vecteurs les plus rentables pour les cybercriminels, comme le montre l’augmentation de 37,5 × en moins de quatre mois. En combinant désactivation sélective du flow, surveillance proactive des journaux, et respect des cadres de référence tels que l’ANSSI, l’ISO 27001 et le RGPD, les organisations peuvent réduire significativement leur exposition.

Prochaine étape : implémentez dès aujourd’hui une politique d’accès conditionnel ciblant le Device Authorization Grant, puis lancez un audit de vos logs d’authentification afin de repérer les premiers signes d’activité suspecte. La vigilance, appuyée par des mesures techniques robustes, reste la meilleure arme contre cette menace en pleine expansion.