Les attaques par phishing utilisant des codes d’autorisation de dispositifs, exploitant le flux OAuth 2.0 pour détourner des comptes, ont connu une augmentation alarmante de plus de 37 fois cette année.
Dans ce type d’attaque, un acteur malveillant envoie une demande d’autorisation à un fournisseur de services et reçoit un code, communiqué ensuite à la victime sous divers prétextes.
La victime est alors trompée en entrant ce code sur la véritable page de connexion, autorisant ainsi l’appareil de l’attaquant à accéder au compte à l’aide de jetons d’accès et de rafraîchissement valides.
Ce mécanisme a été conçu pour faciliter la connexion de dispositifs sans options d’entrée accessibles, tels que les IoT, imprimantes, et téléviseurs intelligents.
Source : Push Security
La technique de phishing par code de dispositif a été documentée pour la première fois en 2020, mais son exploitation malveillante a été constatée quelques années plus tard, utilisant cette méthode tant par des hackers d’États que par des acteurs motivés financièrement.
Les chercheurs de Push Security ont noté une forte hausse de ces attaques, avertissant qu’elles sont désormais largement employées par les cybercriminels.
“Dès le début de Mars (2026), nous avons observé une augmentation de 15 fois du nombre de pages de phishing par code d’appareil détectées par notre équipe, chiffre qui a maintenant franchi le seuil de 37,5,” a déclaré un représentant de Push Security.
Plus tôt cette semaine, l’entreprise de détection et de réponse aux menaces Sekoia a publié des recherches sur l’opération EvilTokens, un exemple marquant d’un kit de phishing en tant que service (PhaaS) qui rend le phishing par code de dispositif accessible aux cybercriminels moins expérimentés.
Push confirme qu’EvilTokens a joué un rôle majeur dans l’adoption populaire de cette technique, mais souligne aussi l’existence d’autres plateformes concurrentes qui pourraient prendre le relais en cas de perturbation d’EvilTokens par les forces de l’ordre :
- VENOM – Un kit PhaaS fermé offrant des capacités de phishing par code de dispositif et de phishing de type AiTM, ressemblant à EvilTokens.
- SHAREFILE – Un kit axé sur les transferts de documents Citrix ShareFile, utilisant des points d’extrémité basés sur des nœuds pour simuler le partage de fichiers.
- CLURE – Un kit utilisant des points d’extrémité d’API tournants et une porte anti-bot, avec des appâts s’inspirant de SharePoint.
- LINKID – Un kit utilisant des pages de défi Cloudflare et des API auto-hébergées, s’appuyant sur des thèmes liés à Microsoft Teams et Adobe.
- AUTHOV – Un kit hébergé sur workers.dev utilisant des fenêtres contextuelles pour l’entrée de codes de dispositifs avec des appâts sur le partage de documents Adobe.
- DOCUPOLL – Un kit hébergé sur GitHub Pages qui imite les flux de travail DocuSign, avec des pages répliquées injectées.
- FLOW_TOKEN – Un kit utilisant l’infrastructure backend de Tencent Cloud, avec des thèmes RH et DocuSign et des scénarios de fenêtre contextuelle.
- PAPRIKA – Un kit hébergé sur AWS S3, utilisant des pages de connexion Microsoft clonées avec un branding Office 365.
- DCSTATUS – Un kit minimal avec des appâts génériques relatifs à Microsoft 365.
- DOLCE – Un kit hébergé sur Microsoft PowerApps utilisant des appâts liés à Dolce & Gabbana, probablement rare ou utilisé dans un cadre de simulation.
Push Security a également publié une vidéo illustrant le fonctionnement du kit DOCUPOLL, montrant comment le cybercriminel utilise la marque DocuSign pour inciter la victime à se connecter à l’application Microsoft Office.
Au total, au moins 11 kits de phishing offrent ce type d’attaque, tous utilisant des appâts réalistes liée aux logiciels SaaS, des protections anti-bot et abusant des plateformes cloud pour l’hébergement.
Pour contrer les attaques de phishing par code de dispositif, Push Security recommande aux utilisateurs de désactiver ce flux lorsqu’il n’est pas nécessaire, en configurant des politiques d’accès conditionnel sur leurs comptes. Il est également conseillé de surveiller les journaux pour des événements d’authentification par code de dispositif inattendus, des adresses IP inhabituelles et des sessions atypiques.