Il y a quelques années, la technique connue sous le nom de « phishing de code device » a été étudiée lors de conférences et décrite dans des documents techniques; aujourd'hui, elle est déjà un outil commun dans l'arsenal de la criminalité numérique. Essentiellement, les attaquants profitent d'une caractéristique légitime de l'écosystème OAuth 2.0 - la subvention d'autorisation d'appareil - conçue pour faciliter la connexion des appareils sans clavier ou avec une entrée limitée, comme les téléviseurs intelligents, les imprimantes ou les consoles. Au lieu d'essayer de voler des mots de passe, l'agresseur lance une demande d'autorisation de sa propre équipe, obtient un code court et l'envoie à la victime sous un prétexte convaincant : un contrat de signature, un document qui « nécessite un examen » ou une notification urgente présumée d'un service connu.
Lorsque la personne entre ce code sur la page d'accès légitime, ce qu'elle fait réellement est d'accorder l'accès à la session initiée par l'agresseur. Le flux, qui génère des jetons d'accès valides et de rafraîchissement, permet à la personne qui a lancé la demande d'accéder au compte sans avoir connu le mot de passe ni rompu l'authentification multifactorielle. C'est une arnaque qui utilise les propres règles du protocole contre elle, en profitant de la confiance dans les flux d'authentification et l'urgence créée dans la tromperie. Si vous voulez revoir la spécification technique originale qui décrit ce mécanisme, le RFC 8628 explique la subvention d'autorisation d'instrument : https: / / datatacker.ietf.org / doc / html / rfc8628.
Les chercheurs en sécurité mettent en garde contre cette méthode depuis 2020, mais c'est au cours des derniers mois que son adoption a été déclenchée. Des entreprises spécialisées ont documenté une augmentation monumentale de la détection de pages et de trousses qui automatisent la fraude : une maison de recherche a noté qu'en quelques semaines, le volume de pages détectées est passé de dizaines à plus de trente fois dans l'année. Vous pouvez lire l'analyse technique et des exemples de campagne dans le travail d'équipes comme Push Security et dans des rapports spécialisés: Poussez la sécurité et le rapport publié par Sekoia sur l'opération EvilTokens (SEKOIA Recherche).
Le saut dans la popularité n'est pas occasionnel. Des services et des trousses d'hameçonnage ont vu le jour, qui emballent la technique sous la forme de « phishing- as- a- service », ce qui réduit la barrière d'entrée pour les criminels ayant peu de connaissances techniques. Ces kits jouent de manière convaincante les interfaces des fournisseurs SaaS - services de courrier, plateformes de signature électronique, portails d'entreprise - et les combinent avec les anti-bots et l'hébergement dans l'infrastructure cloud pour éviter d'être facilement démoli ou détecté. Certains kits se concentrent sur les leurres thématiques (documents de signature, transferts de fichiers, notifications Office / Adobe / SharePoint), ce qui augmente la probabilité que la victime fasse confiance à la demande et copie le code reçu.
Ce qui rend cette technique particulièrement dangereuse est qu'elle n'exige pas de voler des mots de passe ou d'injecter des logiciels malveillants pour obtenir l'accès. Les jetons émis sont légitimes et, à moins qu'il y ait des contrôles supplémentaires, permettent de tenir des séances, de déplacer l'information et d'établir la persistance avec des jetons de rafraîchissement. De plus, l'activité peut sembler normale sur de nombreuses plates-formes si les équipes de détection ne surveillent pas spécifiquement les événements liés à l'authentification du code de périphérique ou à des modèles inhabituels de création d'appareils autorisés.
Face à ce scénario, la défense exige des changements tant techniques que comportementaux. Dans les environnements d'entreprise, il convient d'examiner si l'utilisation de la subvention d'autorisation d'appareil est vraiment nécessaire pour certains profils et de la désactiver lorsqu'elle n'est pas effectuée par le biais de politiques d'accès conditionnel; Microsoft, par exemple, documente comment ces options de flux et de contrôle fonctionnent sur sa plateforme d'identité: Débit de code de périphérique (plateforme d'identité Microsoft) et ses guides de politique conditionnelle: Azure AD Accès conditionnel. Il est également de bonne pratique de mettre en œuvre et d'examiner les enregistrements d'authentification à la recherche d'événements inattendus de code de périphérique, de se connecter à partir de PI ou d'emplacements disparates, et de sessions qui ne correspondent pas aux modèles d'utilisateur normaux.
Pour les utilisateurs finaux, la recommandation est simple et forte: ne pas introduire de codes que vous n'avez pas demandés ou qui vous sont parvenus sans un contexte clair. Si vous recevez un message apparemment urgent qui vous demande d'écrire un numéro sur un site Web, vérifiez la source par un autre moyen - en contactant l'expéditeur directement sur un canal connu, ou en consultant le service officiel - avant d'agir. Compléter les comptes critiques avec des méthodes de sécurité plus rigides, comme les clés de sécurité physique ou les authentificateurs qui ne dépendent pas des flux automatisés, ajoute une couche supplémentaire de protection contre ce type d'arnaque.
La pression sur ceux qui fournissent des services en nuage et des outils d'identité est également élevée. Les équipements de plate-forme peuvent atténuer une partie du risque en mettant en place des contrôles par défaut plus restrictifs, en améliorant la télémétrie pour détecter les utilisations légitimes contre les abus de flux de code et en rendant difficile l'interaction transparente des pages clonées avec les paramètres d'autorisation. Pendant ce temps, les opérateurs de ces kits continuent de profiter de la facilité avec laquelle des pages convaincantes peuvent être déployées et du confort des plateformes cloud pour accueillir des infrastructures malveillantes.
Si vous voulez examiner des exemples et des cas récents de campagnes utilisant ces kits - y compris le service connu sous le nom de EvilTokens et d'autres familles qui sont apparus au cours des derniers mois - il existe plusieurs analyses disponibles dans la presse technique et dans les rapports des entreprises enquêtant sur les menaces. Un bon point de départ est l'article de BleepingComputer qui résume la prolifération de ces services et les liens avec la recherche technique: Ordinateur de brouillage sur EvilTokens ainsi que l'analyse de SEKOIA Research citée ci-dessus.
Bref, nous sommes confrontés à un développement de la fraude numérique qui profite de mécanismes légitimes. Ce n'est pas un échec magique qui peut être corrigé avec une seule mesure mais une combinaison d'ingénierie sociale, d'abus de protocoles et de professionnalisation de la criminalité qui nécessite une réponse coordonnée: mise en œuvre de politiques techniques sur les plates-formes, amélioration de la surveillance et, surtout, maintien des personnes informées afin qu'elles ne donnent pas accès par impulsion.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...