En mars 2026, la firme française Sekoia documentait EvilTokens, un kit de phishing qui contourne la double authentification en détournant un mécanisme officiel de Microsoft. Cisco Talos vient de révéler que la menace était plus étendue qu'on ne le croyait.

EvilTokens pousse le phishing « Device Code » plus loin : le kit exploite des angles morts du flux OAuth et contourne certaines défenses. © Shutterstock
EvilTokens pousse le phishing « Device Code » plus loin : le kit exploite des angles morts du flux OAuth et contourne certaines défenses. © Shutterstock

Depuis des années, l'ANSSI et la CNIL recommandent l'authentification multifacteur comme rempart prioritaire contre les intrusions sur les comptes professionnels. EvilTokens ne casse pas ce mécanisme : il le laisse fonctionner parfaitement, mais au profit de l'attaquant. Un chercheur de Cisco Talos a publié mercredi une analyse d'ARToken, un panneau opérateur lié à l'infrastructure EvilTokens, qui révèle un arsenal de compromission considérablement plus complet que ce que les premières analyses laissaient entrevoir.

Un kit qui s'authentifie à votre place

Pour sévir, les hackers s'appuient sur un processus en apparence anodin intégré à Microsoft 365. Le « flux d'authentification par code d'appareil » OAuth 2.0 de Microsoft a été conçu à l'origine pour permettre à des équipements sans interface navigateur (téléviseurs connectés, imprimantes, terminaux IoT) de s'authentifier sur des comptes professionnels. Le principe est simple : l'utilisateur reçoit un code, le saisit sur la vraie page microsoft.com/devicelogin, valide sa double authentification, et l'appareil obtient un jeton d'accès. EvilTokens détourne ce processus sans jamais créer une fausse page de connexion.

La victime reçoit un email d'apparence professionnelle (demande de signature DocuSign, alerte de quarantaine, invitation de calendrier SharePoint) contenant un code de vérification et des instructions pour se rendre sur la vraie page Microsoft. Elle s'authentifie normalement, valide sa MFA, et c'est l'attaquant qui récupère le jeton, non la victime. Le jeton d'accès reste valide 60 à 90 minutes ; le jeton de rafraîchissement, sur lequel se maintient l'accès persistant, a une durée de vie glissante de 90 jours. Selon Microsoft, des centaines d'organisations étaient compromises quotidiennement au moment de l'alerte d'avril 2026. Le kit se vend sur Telegram pour 1 500 dollars, maintenance incluse pour 500 dollars supplémentaires, ce qui n'est plus vraiment le budget réservé aux groupes étatiques.

ARToken, ou comment EvilTokens est devenu une plateforme BEC complète

Les premiers groupes à industrialiser le phishing par code d'appareil étaient des acteurs étatiques russes (Storm-2372, APT29 et plusieurs clusters associés) documentés dès février 2025, ciblant essentiellement des gouvernements, universités et organisations de défense. Ce que le chercheur Michael Kelley de Cisco Talos vient de mettre en lumière avec ARToken, c'est la mesure dans laquelle cette technique a migré vers le grand banditisme cybercriminel, avec un niveau de sophistication revu à la hausse.

ARToken partage l'infrastructure, les contrats API et les modèles opérationnels d'EvilTokens (le chercheur les qualifie de « plateforme BEC complète » plutôt que de simple kit de phishing), et intègre un client de messagerie Outlook-like baptisé « MailVault » permettant à l'opérateur de lire l'intégralité des emails de la victime, d'en envoyer en se faisant passer pour elle et de créer des règles de transfert invisibles. L'intégration la plus préoccupante est l'automatisation de l'extraction des données financières par intelligence artificielle : le modèle LLaMA de Meta résume les boîtes compromises et en extrait les numéros de compte, montants et délais de virement en quelques secondes, réduisant à presque rien le travail de reconnaissance nécessaire avant une fraude au virement. Ce type de compromission de compte Microsoft 365 par détournement OAuth avait déjà commencé à apparaître fin 2025, mais les capacités d'ARToken indiquent que la filière a pris de l'avance depuis.

Pour les entreprises françaises utilisant Microsoft 365 (soit l'écrasante majorité des organisations de taille intermédiaire et des grands groupes), la double authentification seule ne protège plus contre ce vecteur : toute demande de code d'appareil non sollicitée doit être traitée comme suspecte. Si vos usages IoT ne le justifient pas, désactiver le flux d'authentification par code d'appareil dans les politiques d'accès conditionnel Microsoft Entra est la mesure la plus efficace pour fermer ce point d'entrée.