Security

Phishing device code par IA : campagne en hausse

3 min de lecture

Résumé

Microsoft Defender Security Research a détaillé une campagne de phishing à grande échelle qui abuse du flux OAuth device code à l’aide de leurres générés par IA, d’une génération dynamique de codes et d’une infrastructure backend automatisée. Cette campagne accroît le risque pour les organisations, car elle améliore le taux de réussite des attaquants, contourne les schémas de détection traditionnels et permet le vol de jetons, la persistance via des règles de boîte de réception et la reconnaissance via Microsoft Graph.

Besoin d'aide avec Security ?Parler à un expert

Introduction

Microsoft a révélé une évolution majeure du phishing device code, montrant comment des attaquants combinent l’IA générative, l’automatisation et une infrastructure hébergée dans le cloud pour compromettre des comptes Microsoft à grande échelle. Pour les équipes de sécurité et les administrateurs Microsoft 365, cela est important car la campagne cible des flux d’authentification légitimes au lieu de voler directement des mots de passe, ce qui la rend plus difficile à détecter avec des contrôles traditionnels.

Ce qui est nouveau dans cette campagne

Selon Microsoft Defender Security Research, l’activité s’appuie sur des techniques antérieures de phishing device code, mais ajoute plusieurs avancées importantes :

  • Leurres de phishing activés par IA : les attaquants ont utilisé l’IA générative pour créer des e-mails hautement personnalisés liés aux rôles professionnels et à des scénarios métier tels que les factures, les appels d’offres et les workflows de fabrication.
  • Génération dynamique de device code : au lieu de s’appuyer sur des codes pré-générés qui expirent en 15 minutes, le device code n’est créé que lorsque l’utilisateur clique sur le lien de phishing.
  • Infrastructure cloud automatisée : les acteurs de la menace ont utilisé des plateformes telles que Railway, Vercel, Cloudflare Workers et AWS Lambda pour déployer une infrastructure éphémère et des chaînes de redirection.
  • Trafic mieux dissimulé : les redirections via des services cloud de confiance aident l’activité à éviter les blocklists simples et les défenses basées sur la réputation.
  • Abus de jetons après compromission : une fois que la victime termine le flux de connexion de l’appareil, les attaquants utilisent le jeton pour l’exfiltration d’e-mails, la création de règles de boîte de réception et la reconnaissance via Microsoft Graph.

Pourquoi c’est différent

Le phishing traditionnel tente généralement de capturer des identifiants. Dans ce cas, l’attaquant incite l’utilisateur à approuver une session de connexion Microsoft device légitime que l’attaquant a initiée. Comme l’authentification a lieu sur la véritable page de connexion device de Microsoft, les utilisateurs peuvent être moins méfiants, et la MFA peut être moins efficace si la session n’est pas fortement liée au contexte d’origine.

Microsoft relie également cette tendance à EvilToken, un toolkit de phishing-as-a-service qui alimente un abus plus large du device code. L’usage de l’automatisation et de l’IA marque une nette montée en puissance par rapport à la campagne Storm-2372 documentée en 2025.

Impact sur les administrateurs IT

Les équipes sécurité et identité doivent s’attendre à :

  • Des e-mails de phishing plus convaincants visant des utilisateurs à forte valeur
  • Un abus accru des flux légitimes OAuth et de connexion Microsoft
  • Une compromission basée sur des jetons sans vol de mot de passe
  • Une persistance via des règles de boîte de réception malveillantes et des redirections d’e-mails dissimulées
  • De la reconnaissance sur la structure organisationnelle via Microsoft Graph

Actions recommandées

Les administrateurs doivent examiner les recommandations d’atténuation de Microsoft et prioriser :

  • La surveillance des activités suspectes d’authentification device code
  • L’investigation des règles de boîte de réception inattendues et des modèles d’accès basés sur des jetons
  • Le renforcement de l’accès conditionnel et des stratégies de risque de connexion lorsque cela est possible
  • La formation des utilisateurs afin qu’ils considèrent les invites de connexion device non sollicitées comme suspectes
  • La recherche de redirections suspectes, de domaines d’usurpation et d’infrastructures de phishing hébergées dans le cloud

Cette recherche rappelle que les défenses contre le phishing doivent désormais prendre en compte l’abus de workflows d’authentification légitimes, et pas seulement les fausses pages de connexion et le vol de mots de passe.

Besoin d'aide avec Security ?

Nos experts peuvent vous aider à implémenter et optimiser vos solutions Microsoft.

Parler à un expert

Restez informé sur les technologies Microsoft

Lire l'article original de Microsoft Defender Security Research Team
device code phishingMicrosoft DefenderOAuthtoken theftphishing

Articles connexes

Security

Storm-1175 et Medusa ransomware ciblent le web

Microsoft Threat Intelligence avertit que Storm-1175 exploite rapidement des systèmes exposés à Internet et vulnérables pour déployer le ransomware Medusa, parfois dans les 24 heures suivant l’accès initial. L’accent mis par le groupe sur les failles récemment divulguées, les web shells, les outils RMM et les mouvements latéraux rapides rend essentiels la rapidité des correctifs, la gestion de l’exposition et la détection post-compromission pour les défenseurs.

Security

Cyberattaques IA : menaces sur toute la chaîne

Microsoft avertit que les acteurs de la menace intègrent désormais l’IA sur l’ensemble du cycle de vie des cyberattaques, de la reconnaissance et du phishing au développement de malware et aux opérations post-compromission. Pour les défenseurs, cela signifie des attaques plus rapides, plus précises, des taux de réussite du phishing plus élevés et un besoin croissant de renforcer les identités, les protections MFA et la visibilité sur les surfaces d’attaque pilotées par l’IA.

Security

Webshells PHP sur Linux : évasion via cookies

Microsoft avertit que des acteurs malveillants utilisent des cookies HTTP pour contrôler des webshells PHP dans des environnements d’hébergement Linux, permettant au code malveillant de rester inactif tant que certaines valeurs de cookie ne sont pas présentes. Cette technique réduit la visibilité dans les journaux courants, favorise la persistance via des tâches cron et souligne la nécessité d’un monitoring renforcé, d’une meilleure protection web et d’une détection endpoint sur les charges de travail Linux hébergées.

Security

Compromission npm Axios : guide de mitigation

Microsoft a averti que les versions malveillantes d’Axios sur npm 1.14.1 et 0.30.4 ont été utilisées dans une attaque de la chaîne d’approvisionnement attribuée à Sapphire Sleet. Les organisations utilisant les packages affectés doivent immédiatement faire une rotation des secrets, revenir à des versions sûres et examiner les postes développeur ainsi que les systèmes CI/CD pour détecter toute compromission.

Security

Préparation sécurité infrastructures critiques 2026

Microsoft indique que le modèle de menace visant les infrastructures critiques est passé d’attaques opportunistes à des accès persistants, pilotés par l’identité, conçus pour perturber ultérieurement les opérations. Pour les responsables IT et sécurité, le message est clair : réduire l’exposition, renforcer l’identité et valider dès maintenant la préparation opérationnelle, alors que la réglementation et l’activité des États-nations s’intensifient.

Security

Fondamentaux de la sécurité IA : guide CISO

Microsoft conseille aux CISO de sécuriser les systèmes d’IA avec les mêmes contrôles de base qu’ils appliquent déjà aux logiciels, aux identités et aux accès aux données. Les recommandations mettent en avant le moindre privilège, les défenses contre l’injection de prompt et l’usage de l’IA elle-même pour détecter les problèmes d’autorisations avant les attaquants ou les utilisateurs.