La plateforme PhaaS EvilTokens a compromis plus de 340 organisations Microsoft 365 en cinq pays via du phishing OAuth Device Code, contournant le MFA sans voler de mot de passe. La campagne accélère depuis fin février 2026.
En bref
- La plateforme PhaaS EvilTokens a ciblé plus de 340 organisations Microsoft 365 dans cinq pays via du phishing OAuth Device Code, contournant le MFA sans voler de mot de passe.
- La campagne, active depuis le 19 février 2026, accélère rapidement et vise des secteurs critiques : santé, finance, droit, administration.
- Les tokens OAuth volés offrent un accès persistant aux comptes M365 ; la rotation des tokens de rafraîchissement et la surveillance des logs Railway sont prioritaires.
EvilTokens : une usine à phishing M365 qui bypasse le MFA par OAuth
Les chercheurs de Huntress ont publié le 25 mars 2026 une analyse détaillée d'une campagne de phishing à grande échelle ciblant Microsoft 365, documentée sous le nom EvilTokens — une plateforme Phishing-as-a-Service (PhaaS) commercialisée depuis mi-février 2026 sur le canal Telegram NOIRLEGACY GROUP. En moins de cinq semaines, la campagne a compromis plus de 340 organisations réparties aux États-Unis, au Canada, en Australie, en Nouvelle-Zélande et en Allemagne, ciblant des secteurs particulièrement sensibles : construction, organisations à but non lucratif, immobilier, industrie manufacturière, services financiers, santé, droit et administration publique. Ce qui rend cette campagne particulièrement dangereuse, c'est qu'elle ne repose pas sur le vol de mots de passe : les attaquants utilisent le flux OAuth Device Code de Microsoft pour capturer des tokens d'accès valides et des tokens de rafraîchissement longue durée, sans que la victime n'ait jamais à saisir son mot de passe sur une page de phishing classique. Le MFA est contourné de manière native, car la victime s'authentifie elle-même via le flux légitime de Microsoft.
- Contexte et chronologie des événements
- Impact sur l'écosystème cybersécurité
- Leçons apprises et recommandations
- Perspectives et évolutions attendues
EvilTokens propose trois produits distincts : un "B2B Sender" pour des campagnes email ciblées entreprise-à-entreprise, un "Office 365 Capture Link" pour la collecte de tokens OAuth, et un "SMTP Sender" intégrant des workflows IA pour contourner les filtres anti-spam. L'infrastructure de collecte repose sur Cloudflare Workers comme couche de redirection et sur Railway, une plateforme PaaS légitimement utilisée par les développeurs, comme backend de collecte et de relai des sessions volées. Cette exploitation de plateformes cloud légitimes complique considérablement la détection par les outils de sécurité périmétrique traditionnels.
Pourquoi ce type d'attaque OAuth est si difficile à contrer
Le flux OAuth Device Code a été conçu à l'origine pour les appareils sans navigateur (smart TV, consoles de jeu), mais Microsoft l'a étendu à M365. Son détournement à des fins de phishing est connu depuis 2021, mais son industrialisation via des plateformes PhaaS comme EvilTokens marque une nouvelle étape. La victime reçoit un email l'invitant à valider son accès à un document, en entrant un code sur la page officielle microsoft.com/devicelogin. L'authentification est légitime — la victime s'identifie bien auprès de Microsoft — mais le token généré est immédiatement capturé par EvilTokens. Les attaquants peuvent ensuite accéder à Teams, SharePoint, OneDrive et Exchange sans déclencher d'alerte MFA.
Les techniques anti-analyse intégrées illustrent la sophistication : désactivation du clic droit, du copier-coller, blocage des raccourcis d'inspection (F12, Ctrl+Shift+I) et détection des outils développeur via un heuristique de taille de fenêtre déclenchant une boucle debugger infinie. Cette campagne s'inscrit dans la continuité des attaques contre Microsoft, après la compromission des comptes Signal ciblant des officiels observée en début d'année, et rappelle l'importance de surveiller l'ensemble des vecteurs d'authentification au-delà des seuls mots de passe. il est recommandé de également renforcer la sécurité de leurs environnements M365 après les correctifs du Patch Tuesday.
Ce qu'il faut faire immédiatement
- Auditez vos logs Microsoft Entra ID pour des authentifications provenant d'adresses IP Railway (
railway.app/ plages Railway). - Révoquez tous les tokens de rafraîchissement M365 des comptes suspects via PowerShell :
Revoke-AzureADUserAllRefreshToken. - Bloquez le flux OAuth Device Code pour votre tenant si votre organisation ne l'utilise pas via une Conditional Access Policy.
- Sensibilisez vos équipes : aucune demande légitime de Microsoft ne passe par la saisie d'un code sur
microsoft.com/deviceloginsuite à un email non sollicité.
Le MFA protège-t-il contre ce type d'attaque OAuth Device Code ?
Non — c'est précisément le danger. La victime s'authentifie elle-même avec son MFA via le flux officiel Microsoft, mais le token généré est capturé par les attaquants. Le MFA valide l'identité de l'utilisateur mais pas l'intention derrière l'authentification. La protection passe par des Conditional Access Policies restrictives, la surveillance des IPs de connexion inhabituelles et la désactivation du flux Device Code si non nécessaire. Consultez la recherche complète de Huntress pour les indicateurs de compromission détaillés.
Article suivant recommandé
Slopoly : Hive0163 déploie un malware généré par IA →IBM X-Force a découvert Slopoly, un backdoor au code manifestement produit par LLM, déployé par Hive0163 lors de campagn
Points clés à retenir
- Contexte : EvilTokens PhaaS : 340 organisations M365 touchées — un sujet critique pour la cybersécurité des organisations
- Impact : Les risques identifiés peuvent compromettre la confidentialité, l'intégrité et la disponibilité des systèmes
- Action recommandée : Évaluer votre exposition et mettre en place les contrôles de sécurité appropriés
Articles connexes
Comment renforcer la cybersécurité de votre organisation ?
Le renforcement passe par une évaluation des risques, la mise en place de contrôles techniques (pare-feu, EDR, SIEM), la formation des collaborateurs, des audits réguliers et l'adoption de frameworks reconnus comme ISO 27001 ou NIST CSF.
Pourquoi la cybersécurité est-elle un enjeu stratégique en 2026 ?
Avec l'augmentation de 45% des cyberattaques en 2025, la cybersécurité est devenue un enjeu de survie pour les organisations. Les réglementations (NIS2, DORA, AI Act) imposent des obligations strictes et les conséquences financières d'une compromission peuvent atteindre plusieurs millions d'euros.
Quels sont les premiers pas pour sécuriser une infrastructure ?
Les premiers pas incluent l'inventaire des actifs, l'identification des vulnérabilités critiques, le déploiement du MFA, la segmentation réseau, la mise en place de sauvegardes testées et l'élaboration d'un plan de réponse à incident.
Conclusion
Face à l'évolution constante des menaces, une posture de sécurité proactive est indispensable. Les techniques et recommandations présentées dans cet article constituent des fondations solides pour renforcer la résilience de votre infrastructure.
Besoin d'un accompagnement expert en cybersécurité ? Contactez Ayi NEDJIMI Consultants pour un audit personnalisé de votre infrastructure.
Termes clés
- cyberattaque
- ransomware
- phishing
- vulnérabilité
- patch
- zero-day
À lire également
Lectures recommandées
Surface d'attaque : Ensemble des points d'entrée exploitables par un attaquant pour compromettre un système, incluant les services exposés, les interfaces utilisateur et les API.
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
CVE-2026-0625 : zero-day critique dans les routeurs D-Link EOL
CVE-2026-0625 : injection de commandes critique (CVSS 9.3) dans les routeurs D-Link DSL en fin de vie. Aucun correctif prévu, remplacement immédiat nécessaire.
GlassWorm : 72 extensions Open VSX piégées ciblent les développeurs
La campagne GlassWorm compromet 72 extensions Open VSX pour voler des credentials et tokens cloud. Plus de 9 millions d'installations et 151 dépôts GitHub affectés.
CVE-2026-5281 : zero-day Chrome WebGPU exploité activement
Google corrige CVE-2026-5281, un use-after-free dans Dawn (WebGPU) exploité activement. Quatrième zero-day Chrome de 2026, mise à jour critique requise immédiatement.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire