En quelques semaines, les attaques de phishing par code d'appareil ont été multipliées par 37. Une escalade favorisée par des kits commerciaux accessibles à n'importe quel cybercriminel débutant.
On vous demande un code Microsoft pour valider, par exemple, une signature électronique ? Attention, il s'agit peut-être de la bouche d'un piège de phishing par code, que les chercheurs de Push Security ont dans leur viseur. Ils avaient déjà comptabilisé une multiplication par 15 des pages de phishing ciblant les codes d'appareils. Un mois plus tard, le compteur s'affole et grimpe à 37,5.
Le flux d'autorisation OAuth 2.0 pour appareils à entrée limitée, téléviseurs connectés, imprimantes, objets IoT, existe depuis longtemps, mais ce genre de fabrication et commercialisation en « série » est d'autant plus récent qu'il en est inquiétant de simplicité.
L'attaquant génère un code d'appareil auprès d'un fournisseur comme Microsoft, puis l'envoie à sa victime sous un prétexte crédible, comme ce fameux document DocuSign à signer. La victime, qui pourrait être vous, saisit le code sur la vraie page de connexion Microsoft. L'attaquant récupère un jeton d'accès valide, sans jamais avoir eu besoin du mot de passe ni d'aucun second facteur.
Cette technique a été utilisée pour pirater des organisations mondiales, désormais, tout un chacun peut être touché.
Une boutique criminelle sur Telegram
Sekoia a publié fin mars une analyse d'EvilTokens, le kit le plus répandu actuellement. Lancé en février, il fonctionne en Phishing-as-a-Service : les affiliés accèdent à un panel via des bots Telegram, choisissent leur template de phishing et lancent leurs campagnes. Aucune compétence en développement requise.
EvilTokens convertit automatiquement les jetons récupérés en Primary Refresh Tokens, qui accordent un accès SSO sur 90 jours à l'ensemble des applications Microsoft de la victime, Outlook, SharePoint, Teams, Azure. Une interface webmail intégrée permet de lire et d'envoyer des e-mails directement depuis le compte compromis, avec une automatisation partielle des tâches de fraude par IA. Selon Sekoia, le code backend aurait d'ailleurs été en grande partie généré par intelligence artificielle.
Push Security a recensé dix autres kits concurrents en circulation, avec des noms de code comme CLURE, LINKID, DOCUPOLL ou PAPRIKA. Chacun exploite des leurres différents, marque Microsoft Teams, Adobe Acrobat, DocuSign, et des infrastructures variées, d'AWS S3 à Cloudflare Workers en passant par GitHub Pages. Si EvilTokens venait à être démantelé par les forces de l'ordre, l'écosystème concurrent est déjà prêt à absorber le trafic.
Passkeys et MFA contournés par construction
L'attaque par code d'appareil ne touche pas à la phase de connexion. Elle cible la couche d'autorisation, qui intervient après que l'utilisateur s'est authentifié. Quand une session active est déjà ouverte dans le navigateur, l'utilisateur saisit le code, valide, et l'affaire est pliée, sans mot de passe, sans second facteur. Même les passkeys, censés résister au phishing, n'y changent rien, puisque l'attaque court-circuite l'authentification elle-même.
Luke Jenningsest vice-président R&D chez Push Security. Il explique que l''attaque contourne toutes les formes de MFA, y compris les méthodes dites résistantes au phishing. Côté détection, les pages malveillantes n'hébergent aucun faux formulaire de connexion. La saisie du code se fait sur la vraie page Microsoft, ce qui les rend moins susceptibles d'être signalées par les outils d'analyse réseau ou d'email.
On assiste désormais à un piège tendu de particulier à particulier puisqu'il suffit d'acheter ce kit pour démarrer son activité cybercriminelle.
En ce qui vous concerne, pour vous aussi, c'est simple. Pour ne pas tomber dedans, ne validez jamais un code de connexion que vous n’avez pas vous-même demandé. C'est l'appât de ce piège. Si vous recevez un message (mail, SMS, messagerie) vous incitant à entrer un code ou à vous connecter « en urgence », méfiance immédiate, surtout s’il y a une pression ou un prétexte inhabituel. Vérifiez toujours l’origine du message et passez directement par le site officiel plutôt que par un lien fourni.
Source : Bleeping Computer
