Pourquoi les attaques de phishing code dispositif OAuth explosent et comment les contrer en 2026
Aurélien Fontevive
Comment les cybercriminels exploitent le flux OAuth 2.0 Device Authorization Grant pour voler vos comptes ?
En 2026, les attaques de phishing code dispositif ont augmenté de 37 fois par rapport à l’année précédente, selon les données publiées par Push Security. Cette hausse spectaculaire met en lumière un vecteur d’intrusion jusqu’ici méconnu des équipes de sécurité françaises. Programme du bac pro cybersécurité Dans cet article, vous découvrirez le fonctionnement de ce mécanisme, les kits de phishing qui le démocratisent, ainsi que les mesures concrètes à mettre en place pour protéger vos utilisateurs et vos services SaaS.
Comprendre le mécanisme OAuth 2.0 Device Authorization Grant
Principes de base et cas d’usage légitimes
Le Device Authorization Grant a été introduit par l’ISO/IEC 27001 et l’ANSSI pour simplifier la connexion d’appareils dépourvus d’interface de saisie, tels que les téléviseurs intelligents, les imprimantes réseau ou les objets IoT. Le processus se déroule en trois étapes :
- L’appareil sollicite un code d’appareil auprès du fournisseur d’identité.
- L’utilisateur, via un navigateur, saisit le code sur une page de connexion sécurisée.
- Le serveur échange le code contre un jeton d’accès et un jeton de rafraîchissement valables.
Cette séquence légitime permet à un dispositif de recevoir des autorisations sans que l’utilisateur ne saisisse de mots de passe sur l’appareil lui-même.
Exploitation par les cybercriminels
Dans le cadre du phishing code dispositif, les attaquants imitent la page de connexion du fournisseur, envoient le code d’appareil au victim et l’incitent à le saisir sur un site frauduleux. Une fois le code entré, le serveur délivre des jetons valides, offrant un accès complet au compte ciblé. Le flux authentique n’est jamais compromis ; c’est l’interaction humaine qui est détournée.
“Le processus OAuth 2.0 Device Authorization Grant, conçu pour la commodité, devient aujourd’hui le point d’attaque préféré des acteurs malveillants”, affirme un analyste de Push Security.
L’émergence des kits de phishing « EvilTokens » et de leurs concurrents
Le rôle de la plateforme EvilTokens
Le premier kit documenté, EvilTokens, a vu le jour en 2020 et a rapidement évolué en service de phishing-as-a-service (PhaaS). Selon une étude de Sekoia publiée en mars 2026, ce kit a permis aux cybercriminels de créer en moyenne 15 pages de phishing par jour, augmentant la visibilité du vecteur de 37,5 fois par rapport à l’an passé.
Panorama des kits actuellement actifs
| Kit | Plateforme d’hébergement | Thème de lure | Fonctionnalités anti-bot |
|---|---|---|---|
| EvilTokens | Workers.dev | Microsoft Teams & Adobe | Captcha léger, rotation d’IP |
| VENOM | Cloud fermé | IA-en-Transit (AiTM) | Vérification de navigateur |
| SHAREFILE | Node.js (auto-host) | Citrix ShareFile | Jeton de session unique |
| CLURE | DigitalOcean | SharePoint | Anti-bot gate + rotation API |
| LINKID | Cloudflare | Microsoft Teams & Adobe | Challenge Cloudflare |
| AUTHOV | Workers.dev | Popup Adobe | Détection de headless browsers |
| DOCUPOLL | GitHub Pages | DocuSign | Replica exacte de pages Office |
| FLOW_TOKEN | Tencent Cloud | HR & DocuSign | Protection anti-scraping |
| PAPRIKA | AWS S3 | Office 365 | Footer Okta factice |
| DCSTATUS | Cloud générique | Microsoft 365 Secure Access | Minimaliste, peu d’infra visible |
| DOLCE | PowerApps | Dolce & Gabbana | Implémentation ponctuelle |
Ces kits partagent trois caractéristiques communes :
- Thèmes SaaS réalistes (Microsoft 365, Adobe, DocuSign) pour renforcer la crédibilité.
- Mécanismes anti-bot afin d’éviter la détection automatisée.
- Utilisation de plateformes cloud (Workers.dev, Cloudflare, AWS) pour une disponibilité globale. vulnérabilité zero‑day Chrome
“L’abondance de kits open-source a « démocratisé » le phishing code dispositif, le rendant accessible même aux acteurs peu expérimentés”, souligne le rapport de Push Security.
Risques pour les entreprises françaises et bonnes pratiques de défense
Impact potentiel sur les organisations
Les données récentes montrent que 12 % des incidents de violation de données en 2025 en France impliquaient des flux OAuth détournés (source : ANSSI). Pour les PME, la compromission d’un compte Microsoft 365 peut entraîner la perte d’accès à des fichiers critiques, à la messagerie et aux services de collaboration, ce qui peut coûter en moyenne 150 000 € par incident (source : étude Sekoia).
Mesures de prévention recommandées
- Désactiver le flux Device Authorization lorsqu’il n’est pas nécessaire via des politiques d’accès conditionnel.
- Surveiller les journaux d’authentification pour détecter les entrées de code inhabituelles ou les adresses IP étrangères.
- Implémenter des alertes sur les événements OAuth inhabituels dans les solutions SIEM conformes au RGPD.
- Éduquer les utilisateurs sur les signes de phishing : URLs non vérifiées, demandes de code inattendues.
- Appliquer le principe du moindre privilège sur les jetons d’accès afin de limiter l’étendue des dommages.
Mise en œuvre - étapes actionnables
Voici un plan en cinq étapes pour sécuriser votre environnement contre le phishing code dispositif :
- Audit des flux OAuth : identifiez les applications qui utilisent le Device Authorization Grant.
- Configuration des politiques d’accès conditionnel :Ce fragment JSON illustre comment bloquer les demandes provenant d’appareils non reconnus.
{ "if": { "device": "untrusted", "grant_type": "device_code" }, "then": { "block": true, "require_mfa": true } } - Intégration du SIEM : ajoutez des règles de corrélation pour les codes d’appareil et les jetons d’accès, en vous référant aux recommandations de l’ANSSI.
- Formation continue : organisez des simulations de phishing ciblant le scénario de code dispositif afin d’évaluer la vigilance des employés.
- Révision périodique : chaque trimestre, réexaminez les configurations et les rapports d’incidents pour adapter votre posture de défense.
Conclusion - synthèse et prochaine action
En 2026, les phishing code dispositif OAuth représentent une menace grandissante, alimentée par des kits comme EvilTokens qui rendent le procédé accessible à toute la chaîne de cybercriminels. En suivant les bonnes pratiques décrites - désactivation du flux inutile, surveillance des journaux, renforcement des politiques d’accès conditionnel et formation des utilisateurs - les organisations françaises peuvent limiter l’exposition à ce vecteur et se conformer aux exigences de l’ANSSI et du RGPD.
Prochaine action : lancez dès maintenant un audit de vos applications cloud pour identifier les flux OAuth non indispensables et mettez en place les politiques d’accès conditionnel présentées ci-dessus. La prévention proactive est votre meilleur rempart contre ce type d’attaque en pleine expansion.