Phishing code appareil OAuth : comment les attaques ont explosé 37 fois en 2026

Pourquoi le phishing code appareil OAuth devient une menace majeure

Selon le rapport de Push Security, les attaques de phishing code appareil OAuth ont progressé de 37,5 fois en moins d’un an, passant d’une dizaine de campagnes en 2025 à plus d’une centaine détectées en 2026. Cette envolée spectaculaire dépasse de loin les prévisions des experts en cybersécurité et soulève une interrogation cruciale : pourquoi un vecteur pensé pour simplifier l’authentification des objets connectés devient-il l’arme de prédilection des cybercriminels ?

En pratique, les acteurs malveillants tirent parti d’une faiblesse inhérente au Device Authorization Grant d’OAuth 2.0, un flux qui permet à des dispositifs dépourvus de clavier (tels que les téléviseurs ou les imprimantes) d’obtenir un jeton d’accès après qu’un utilisateur a validé un code sur un autre appareil. Quand ce mécanisme est détourné, il offre aux attaquants un accès légitime aux ressources ciblées, contournant ainsi les contrôles d’authentification classiques.

« Nous avons observé une hausse de 15× du nombre de pages de phishing détectées dès le début du mois de mars 2026, avant d’atteindre un facteur de 37,5 × en fin d’année », explique un porte-parole de Push Security.

Cette dynamique s’appuie sur une communauté croissante de kits phishing-as-a-service (PhaaS), qui automatisent la création de pages factices et la diffusion des codes. Le résultat : même des cybercriminels peu expérimentés peuvent lancer des campagnes d’envergure.

Le fonctionnement du flux d’autorisation d’appareil

Étapes de l’attaque

1. Demande de code : l’attaquant envoie une requête d’autorisation de dispositif à un fournisseur de services (ex. Microsoft, Google) et reçoit un device code.
2. Diffusion du code : le code est présenté à la victime via un e-mail, un SMS ou une page Web frauduleuse, souvent sous couvert d’une invitation à signer un contrat ou à valider un accès à un document.
3. Entrée du code : la victime, pensant se connecter à un service légitime, saisit le code dans le formulaire d’authentification officiel.
4. Émission de jetons : le serveur valide le code et délivre un access token et un refresh token que l’attaquant utilise pour hijacker le compte.

Scénarios d’utilisation légitime

Le flux d’autorisation d’appareil a été conçu pour des appareils comme les smart TVs, les imprimantes réseau ou les consoles de jeu, où l’entrée texte est difficile. Dans un contexte sécurisé, le dispositif sollicite le code, l’utilisateur le saisit sur un smartphone ou un ordinateur, et le jeton d’accès est limité à une durée courte et à des scopes précis.

[Programme Baccalauréat Pro Cybersécurité] (https://sensibilisation-ingenierie-sociale.fr/tout-savoir-sur-le-bac-pro-cybersecurite-programme-debouches-et-comparaison/)

Lorsque le même processus est exploité à des fins malveillantes, les contrôles :

• scope excessif,
• durée de vie prolongée du refresh token,
• absence de vérification d’appareil,

sont souvent négligés, ouvrant la porte à un exfiltration de données ou à la prise de contrôle de services cloud.

Les kits de phishing qui démocratisent la technique

Panorama des kits recensés

Ces kits utilisent tous des lures SaaS réalistes (Microsoft 365, Adobe, DocuSign) et s’appuient sur des plateformes cloud (AWS, Cloudflare, DigitalOcean) pour garantir une disponibilité globale.

« EvilTokens a largement contribué à la démocratisation du phishing code appareil, rendant la technique accessible aux cybercriminels à faible compétence », indique le rapport de Sekoia.

Le rôle des kits PhaaS

• Abstraction du code : les attaquants n’ont plus besoin de comprendre le protocole OAuth 2.0, le kit génère et gère les device codes.
• Déploiement rapide : en quelques clics, le criminel héberge une page factice sur un service serverless.
• Évolution constante : les développeurs de kits ajoutent des anti-bot, des rotatifs d’IP et des thèmes de leurres à la mode, rendant la détection plus difficile.

Ces facteurs expliquent l’explosion de 37 × des campagnes, signalée par Push Security, et la multiplication des kits concurrents qui pourraient prendre le relais si les autorités neutralisent EvilTokens.

Mesures de prévention pour les organisations françaises

Politiques d’accès conditionnel

Les administrateurs peuvent désactiver le flux d’autorisation d’appareil lorsqu’il n’est pas requis. Un exemple de politique JSON pour Microsoft Entra ID (Azure AD) :

{
  "if": {
    "allOf": [
      { "field": "appId", "equals": "00000003-0000-0000-c000-000000000000" },
      { "field": "deviceCode", "exists": true }
    ]
  },
  "then": {
    "effect": "deny",
    "reason": "Device code flow disabled by security policy"
  }
}

Cette règle bloque toute tentative d’obtention de device code sur les applications critiques, sauf pour les comptes explicitement autorisés.

Surveillance des journaux et indicateurs

• Événements d’authentification inhabituels : rechercher les IDs d’appareils inconnus associés à des tokens OAuth.
• Origine géographique : alerter sur des adresses IP en dehors du périmètre habituel (ex. IP China, Russia) lors d’un flux device code.

[alerte Zero-Day Chrome de la CISA] (https://sensibilisation-ingenierie-sociale.fr/cisa-alerte-zero-day-chrome-agissez-avant-lexploitation-massive/)

• Durée de session : les jetons refresh délivrés via ce flux affichent souvent des durées supérieures à 90 jours ; un tel comportement doit être étudié.

« En plus de désactiver le flux, surveiller les logs pour les codes d’appareil inattendus constitue une première ligne de défense efficace », recommande Push Security.

Mise en œuvre - guide pas à pas pour sécuriser votre environnement

1. Inventorier les applications qui utilisent le Device Authorization Grant : examinez vos services cloud (Microsoft 365, Google Workspace, AWS) et identifiez ceux qui acceptent ce flux.
2. Définir des conditions d’accès : créez des politiques d’accès conditionnel qui excluent les comptes à privilèges élevés du flux, ou qui imposent l’utilisation de MFA.
3. Déployer des journaux d’audit détaillés : activez le suivi des événements deviceCodeRequested et tokenIssued dans votre SIEM.
4. Mettre en place un système de détection des anomalies : utilisez des règles de corrélation basées sur l’historique des adresses IP, la fréquence des demandes de code et la durée des tokens.
5. Former les utilisateurs : organisez des sessions de sensibilisation qui expliquent le risque du phishing code appareil et les incitent à vérifier l’URL du site avant de saisir un code.
6. Tester régulièrement : réalisez des simulations de phishing incluant le flux device code afin de valider l’efficacité de vos contrôles.

En suivant ces étapes, les organisations réduisent de façon mesurable leur exposition aux attaques de phishing code appareil OAuth.

Conclusion - prochaine action pour votre sécurité

Le phishing code appareil OAuth est passé d’une curiosité de 2020 à une arme redoutable en 2026, avec une hausse de 37,5 × en moins d’un an. Les facteurs clés de cette escalade sont la disponibilité de kits PhaaS comme EvilTokens et la facilité avec laquelle les cybercriminels peuvent exploiter le flux de l’Device Authorization Grant.

Votre prochaine action : implémentez dès aujourd’hui les politiques d’accès conditionnel présentées ci-dessus, activez la journalisation détaillée des flux device code, et intégrez la formation des utilisateurs dans votre programme de sécurité. En combinant prévention technique et sensibilisation, vous limitez la surface d’exposition et vous placez votre organisation en première ligne contre cette menace grandissante.

*Restez vigilant, parce que le prochain vecteur d’attaque pourrait très bien être celui que vous considérez aujourd’hui comme inoffensif.

[Guide complet Q Alerts] (https://sensibilisation-ingenierie-sociale.fr/tout-savoir-sur-q-alerts-guide-complet-pour-android-ios-desktop-et-alternatives-en-2026/)*