Phishing code appareil : pourquoi les attaques explosent 37 fois en 2026
Lysandre Beauchêne
En 2026, le phishing code appareil est devenu la nouvelle arme favorite des cybercriminels : selon Push Security, le nombre de pages de phishing exploitant le flux d’autorisation d’appareil a grimpé de 37,5 x en moins d’un an. Cette envolée fulgurante menace les acteurs français de toutes tailles, du TPE au grand groupe, et impose de repenser immédiatement vos stratégies d’accès. Dans cet article, nous décryptons le mécanisme, présentons les kits qui alimentent la menace, et vous livrons un plan d’action détaillé pour contrer ce vecteur d’attaque. Pour approfondir, consultez notre guide complet sur le Bac Pro cybersécurité formation Bac Pro cybersécurité.
Pourquoi les attaques de phishing code appareil explosent en 2026 ?
Les chiffres sont sans appel : 15 × plus de pages détectées en mars 2026 qu’en début d’année, et 37,5 × à la date du dernier relevé (Push Security). Derrière ces données se cachent plusieurs facteurs convergents : la généralisation du télétravail, la multiplication des appareils IoT dans les entreprises, et une offre de kits « phishing-as-a-service » (PhaaS) qui rend la technique accessible aux cybercriminels aux compétences limitées. En outre, la plupart des solutions de gestion d’identité continuent de laisser activé le flux d’autorisation d’appareil par défaut, créant une porte dérobée que les attaquants exploitent sans friction.
Comprendre le flux d’autorisation d’appareil OAuth 2.0
Principes du flux
Le OAuth 2.0 Device Authorization Grant a été conçu pour simplifier la connexion d’appareils dépourvus d’interface utilisateur (imprimantes, TV connectées, capteurs). Le processus se déroule en trois temps :
- L’appareil demande un device_code auprès du serveur d’autorisation.
- L’utilisateur reçoit une URL et le code, qu’il saisit sur un dispositif tiers (ordinateur, smartphone).
- Une fois le code validé, le serveur délivre un access_token et, souvent, un refresh_token utilisables par l’appareil.
Pourquoi il est ciblé par les cybercriminels
Ce mécanisme apparaît comme « léger » et « sans mot de passe », mais c’est précisément ce qui séduit les attaquants : le code fourni au victime est perçu comme légitime, et le flow ne nécessite aucune saisie d’identifiants sensibles. De plus, le refresh_token possède une durée de vie prolongée, offrant aux hackers un accès persistant aux comptes compromis.
« Le point faible n’est pas le protocole lui-même, mais son activation par défaut sur des services qui ne le désactivent jamais » - analyste senior chez Push Security.
Panorama des kits de phishing « device code » en 2026
Principaux acteurs du marché noir
Les chercheurs de Push Security ont identifié au moins 11 kits proposant le phishing code appareil. Parmi eux, deux se démarquent par leur diffusion :
- EvilTokens : le kit le plus répandu, utilisé dans plus de 70 % des campagnes détectées.
- VENOM : une offre fermée qui combine le phishing code appareil et l’attaque Man-in-the-Middle (AiTM).
Les autres kits, comme SHAREFILE, CLURE, LINKID, AUTHOV, DOCUPOLL, FLOW_TOKEN, PAPRIKA, DCSTATUS et DOLCE, ciblent des SaaS spécifiques (ShareFile, Microsoft Teams, Adobe, DocuSign, etc.) et utilisent des hébergements variés (DigitalOcean, Cloudflare, AWS S3, workers.dev).
Tableau comparatif des kits
| Kit | Hébergement principal | Lure principale | Anti-bot intégré | Date de première mise en ligne |
|---|---|---|---|---|
| EvilTokens | Workers.dev | Microsoft 365 / Office 365 | Oui | 2023 |
| VENOM | Cloudflare | Citrix ShareFile | Oui | 2024 |
| SHAREFILE | DigitalOcean | ShareFile document transfer | Non | 2022 |
| CLURE | Workers.dev | SharePoint | Oui | 2023 |
| LINKID | Cloudflare | Microsoft Teams / Adobe | Oui | 2024 |
| AUTHOV | workers.dev | Adobe document-sharing | Non | 2022 |
| DOCUPOLL | GitHub Pages | DocuSign workflow | Oui | 2023 |
| FLOW_TOKEN | Tencent Cloud | HR portal & DocuSign | Oui | 2024 |
| PAPRIKA | AWS S3 | Office 365 branding | Non | 2023 |
| DCSTATUS | Workers.dev | Microsoft 365 “Secure Access” | Non | 2025 |
| DOLCE | PowerApps | Dolce & Gabbana theme | Non | 2025 |
Risques concrets pour les organisations françaises
En pratique, chaque fois qu’un device_code est validé, le service délivre des jetons capables d’appeler les API sensibles (graph Microsoft, Google Workspace, etc.). Pour une entreprise française, cela signifie :
- Accès non-autorisé à des fichiers d’entreprise (exfiltration de données confidentielles).
- Prise de contrôle de services critiques (Azure, Office 365) via des scripts automatisés.
- Possibilité d’escalader les privilèges grâce aux refresh_token qui restent valides même après la révocation du mot de passe.
Une étude de Sekoia (avril 2026) indique que 42 % des incidents de compromission de compte liés à OAuth proviennent du vecteur device code, avec un impact moyen de €350 000 par entreprise touchée.
« Les équipes de réponse incidentes constatent que les alertes relatives aux flux d’appareil sont souvent ignorées, alors qu’elles révèlent des compromissions en cours » - responsable SOC chez Sekoia.
Méthodes de détection et de prévention
Mise en place de stratégies de contrôle d’accès conditionnel
- Désactivez le flux d’autorisation d’appareil sur les comptes qui n’en ont pas besoin : dans Azure AD, activez la politique Conditional Access « Block legacy authentication » et excluez le
device_code. - Restreignez les applications autorisées : limitez la liste des client IDs qui peuvent initier le device flow, et imposez une MFA obligatoire dès la première utilisation.
- Surveillez les adresses IP : créez des alertes lorsqu’un code est validé depuis un pays ou une localisation inhabituelle par rapport à l’historique de l’utilisateur.
Surveillance des journaux et indicateurs d’anomalie
Voici un extrait de script PowerShell qui interroge les journaux de connexion Azure AD pour repérer les authentifications device_code :
# PowerShell - Recherche d'événements device_code dans Azure AD
$Start = (Get-Date).AddDays(-30)
$End = Get-Date
$Logs = Get-AzureADAuditSignInLogs -Filter "createdDateTime ge $($Start.ToString('o')) and createdDateTime le $($End.ToString('o'))"
| Where-Object { $_.authenticationMethods -contains 'deviceCode' }
$Logs | Select-Object userPrincipalName, ipAddress, clientAppId, createdDateTime | Format-Table -AutoSize
Ce script extrait les connexions où le mode d’authentification indiqué est deviceCode. Une fois les anomalies identifiées, vous pouvez déclencher une réponse automatisée (blocage du compte, réinitialisation du token, etc.). En outre, suivez les alertes CISA concernant les failles zero‑day : Alerte CISA – faille zero‑day Chrome.
Guide d’action : 7 étapes pour sécuriser votre environnement
- Inventoriez vos applications : recensez toutes les solutions SaaS qui utilisent le flux d’appareil.
- Désactivez par défaut le
device_codesur les comptes d’utilisateurs qui n’en ont pas besoin. - Mettez en place une MFA obligatoire dès la première utilisation du flux.
- Implémentez une politique d’accès conditionnel ciblant les connexions depuis des adresses IP non-connues.
- Activez la journalisation détaillée (Azure AD Sign-in logs, Google Workspace login logs) et créez des requêtes de détection similaires au script ci-dessus.
- Formez les collaborateurs : expliquez le danger du code d’appareil et indiquez comment reconnaître une page de phishing légitime.
- Planifiez des revues mensuelles et explorez notre guide complet des Q‑Alerts 2026 pour optimiser votre veille : Guide Q‑Alerts 2026. des alertes de device code afin d’ajuster les contrôles en fonction des nouvelles campagnes de kits.
Conclusion : Protégez vos comptes avant que le prochain kit n’évolue
Le phishing code appareil n’est plus une curiosité technique : il s’agit d’une menace structurée, amplifiée par des kits PhaaS qui se multiplient chaque trimestre. En 2026, la meilleure défense repose sur une combinaison de désactivation proactive du flux, de contrôle d’accès conditionnel affiné et de surveillance continue des journaux d’authentification. La mise en œuvre des sept mesures présentées vous permettra de réduire de façon mesurable le risque de compromission et de protéger les données sensibles de votre organisation.