Comment les attaques de phishing de code dispositif explosent 37 fois en 2026
Orphée Grandsable
Une hausse vertigineuse qui inquiète les responsables de sécurité
En 2026, le phishing de code dispositif a connu une multiplication de 37,5 % par rapport à l’année précédente, selon les chiffres publiés par Push Security. Cette explosion soulève d’importantes questions : pourquoi cette technique s’est-elle popularisée si rapidement, quels sont les kits qui la rendent accessible aux cybercriminels, et comment les organisations peuvent-elles se protéger ?
Dans les paragraphes qui suivent, nous décortiquons le mécanisme, les acteurs, les indicateurs de compromission et les mesures concrètes à mettre en œuvre pour réduire le risque.
Comprendre le phishing de code dispositif
Le principe technique
Le phishing de code dispositif exploite le flux OAuth 2.0 Device Authorization Grant. Un acteur malveillant envoie une requête d’autorisation à un fournisseur de services, reçoit un code d’appareil puis le transmet à la victime sous couvert d’un prétexte crédible (facture, contrat, mise à jour, etc.). La victime, convaincue, saisit ce code sur une page d’authentification légitime, autorisant ainsi l’accès à l’application du compte via des jetons d’accès et jetons de rafraîchissement valides.
“Lorsque l’utilisateur valide le code, il autorise en réalité l’appareil contrôlé par l’attaquant à accéder aux ressources protégées du compte. Aucun mot de passe n’est requis, ce qui rend la détection difficile.” - Analyse de Push Security, 2026
Pourquoi ce vecteur est-il efficace ?
- Il contourne les mécanismes de détection basés sur le vol de mots de passe.
- Le flux a été conçu pour les appareils sans clavier (TV connectées, imprimantes, IoT), ce qui légitime son utilisation auprès de l’utilisateur.
- Les jetons obtenus sont valables pendant plusieurs semaines, offrant aux cybercriminels un accès persistant.
L’explosion des kits de phishing : du laboratoire à la rue
Des plateformes « phishing-as-a-service » en plein essor
Depuis le premier signalement de ce vecteur en 2020, plusieurs kits ont vu le jour, démocratisant la technique même pour des acteurs peu expérimentés. Le rapport de Sekoia (avril 2026) identifie 11 kits actifs, parmi lesquels :
| Kit | Hébergement | Thème principal | Fonctionnalité notable |
|---|---|---|---|
| EvilTokens | Workers.dev | SaaS générique | Kit de référence, très automatisé |
| VENOM | Source fermée | AiTM + code dispositif | Clone d’EvilTokens |
| SHAREFILE | Node.js | Citrix ShareFile | Simule le transfert de fichiers |
| CLURE | DigitalOcean | SharePoint | API rotative, anti-bot |
| LINKID | Cloudflare | Microsoft Teams / Adobe | Lures ciblés Teams/Adobe |
| AUTHOV | Workers.dev | Popup Adobe | Entrée de code via popup |
| DOCUPOLL | GitHub Pages | DocuSign | Vidéo démonstrative disponible |
| FLOW_TOKEN | Tencent Cloud | HR / DocuSign | Lures RH, popup flow |
| PAPRIKA | AWS S3 | Office 365 | Footer Okta factice |
| DCSTATUS | Hébergement générique | Microsoft 365 | Lures « Secure Access » |
| DOLCE | PowerApps | Dolce & Gabbana | Implémentation ponctuelle |
“EvilTokens a d’abord servi de catalyseur, mais la diversité des kits montre que le marché se renditifien rapidement.” - Recherche conjointe Push Security & Sekoia, 2026
Facteurs de diffusion
- Kit prêts-à-déployer : les criminels n’ont plus besoin de coder le flux, ils se contentent d’ajuster les paramètres de branding.
- Infrastructure cloud : les hébergeurs comme Workers.dev, AWS S3 ou Cloudflare offrent des déploiements en quelques minutes.
- Anti-bot et rotation d’API : chaque kit intègre des protections qui augmentent la durée de vie des campagnes.
Détecter les signes d’une compromission
Indicateurs de compromission (IoC) spécifiques
- Événements d’authentification device-code inhabituels dans les journaux d’accès.
- Adresses IP étrangères apparaissant sur des appareils qui n’ont jamais fait de requêtes OAuth.
- Création de jetons de rafraîchissement en dehors des processus de provisioning normaux.
- Pages d’autorisation personnalisées hébergées sur des domaines peu connus (ex. *.workers.dev, *.cloudfront.net).
Méthodes de surveillance
- Configurer des alertes de Conditional Access dès la première occurrence d’un code dispositif.
- Analyser les logs d’Azure AD pour les flux
device_codenon associés à des appareils connus. - Mettre en place des User-Behavior Analytics (UBA) afin de détecter des déviations de schémas d’accès.
Meilleures pratiques de prévention pour les organisations
Politique d’accès conditionnel
{
"if": {
"deviceCode": true,
"userRisk": "high"
},
"then": {
"block": true,
"requireMfa": true,
"log": "DeviceCodeBlocked"
}
}
Ce fragment JSON illustre une règle Azure AD qui bloque toute tentative d’authentification via device_code lorsqu’un risque utilisateur élevé est détecté – Guide Q‑Alerts 2026
Renforcer la chaîne de confiance
- Désactiver le flux lorsqu’il n’est pas indispensable : dans les paramètres d’Azure AD, désactivez Device Authorization Grant pour les comptes de service.
- Exiger MFA sur les comptes à privilège même pour les flux device_code.
- Limiter les scopes octroyés aux appareils en n’autorisant que les permissions strictement nécessaires – vulnérabilité Chrome Zero‑Day
Formation et sensibilisation – Programme de cybersécurité
- Informer les collaborateurs que le code d’appareil ne doit jamais être saisi sur des pages non vérifiées.
- Simuler des tentatives de phishing de code dispositif lors des campagnes de sensibilisation pour habituer les utilisateurs à repérer les anomalies.
Mise en œuvre - Étapes actionnables concrètes
- Inventorier les applications qui utilisent le flux OAuth 2.0 Device Authorization Grant. Vérifiez chaque client Azure AD.
- Déployer la règle conditionnelle ci-dessus sur les comptes à risque.
- Activer la journalisation détaillée des événements
device_codedans le SIEM. - Configurer des alertes sur les adresses IP hors de votre périmètre géographique habituel.
- Former les équipes en intégrant un module sur le phishing de code dispositif dans le programme de formation annuelle.
- Effectuer des tests de pénétration ciblant le flux device_code afin d’évaluer la résilience de votre environnement.
Conclusion - Agir dès maintenant pour contrer la montée du phishing de code dispositif
En 2026, la multiplication de 37,5 fois du phishing de code dispositif n’est pas un phénomène isolé : elle reflète la maturité d’un écosystème de kits spécialisés, le recours massif aux services cloud et la visibilité accrue des flux OAuth dans les environnements d’entreprise. En appliquant les mesures présentées - désactivation du flux lorsqu’il est superflu, mise en place d’accès conditionnels, surveillance proactive des journaux et formation ciblée - les organisations peuvent réduire considérablement le vecteur d’attaque et protéger leurs identités numériques.
Ne sous-estimez pas le risque : chaque code dispositif valide peut ouvrir la porte à des accès persistants. Prenez dès aujourd’hui les actions décrites dans la section « Mise en œuvre » et revoyez régulièrement votre posture de sécurité afin de rester en avance sur les cybercriminels qui continuent d’affiner leurs kits.