Hameçonnage par code appareil dopé à l'IA : plus de 340 organisations touchées
Microsoft signale une campagne de phishing basée sur l'IA qui exploite le flux OAuth de code appareil pour contourner le MFA à grande échelle. Plus de 340 organisations compromises en quelques semaines. Découvrez les stratégies de défense.
Une campagne de hameçonnage ciblant plus de 340 organisations utilisant Microsoft 365, réparties aux États-Unis, au Canada, en Australie, en Nouvelle-Zélande et en Allemagne, est active depuis le 19 février 2026, avec un rythme d'attaques qui s'accélère de semaine en semaine. Le 6 avril, le Microsoft Security Blog a publié une analyse détaillée de l'opération, qui exploite l'IA générative et une automatisation bout en bout pour compromettre des comptes de messagerie professionnels à une échelle inédite pour ce type d'attaque. Pour les équipes marketing et croissance qui s'appuient sur Microsoft 365 au quotidien, la menace est concrète : les jetons volés servent à l'exfiltration de données et au maintien de l'accès, souvent via des règles de boîte de réception malveillantes qui redirigent ou dissimulent les communications.
Ce qui distingue cette attaque des précédentes
Device Code Authentication est un flux OAuth légitime conçu pour les appareils à interfaces limitées, comme les téléviseurs connectés ou les imprimantes. Dans ce modèle, l'utilisateur reçoit un code court et est invité à le saisir dans un navigateur sur un autre appareil pour finaliser l'authentification. Les cybercriminels ont détourné cette caractéristique pour contourner les protections MFA classiques en dissociant l'authentification de la session d'origine.
Ce qui distingue la campagne de 2026 des tentatives précédentes, c'est la couche d'intelligence artificielle. Cette campagne abandonne les scripts statiques et manuels au profit d'une infrastructure pilotée par l'IA avec de multiples automatisations de bout en bout. L'innovation technique clé est la génération dynamique de codes : dans les anciennes tentatives de phishing statiques, l'attaquant intégrait un code pré-généré dans l'e-mail, ce qui créait une fenêtre d'opportunité très étroite. La victime devait ouvrir l'e-mail, naviguer à travers des redirections et finaliser l'authentification avant l'expiration du délai standard de 15 minutes. Si l'e-mail était ouvert ne serait-ce que 20 minutes après son envoi, l'attaque échouait automatiquement.
La génération dynamique de codes contourne cette limite de 15 minutes en déclenchant la création du code au moment précis où l'utilisateur interagit avec le lien de phishing, garantissant ainsi que le flux d'authentification reste valide. Une fois que la victime saisit le code sur la page de connexion officielle de Microsoft, la session de l'attaquant hérite des permissions de l'utilisateur, contournant le MFA et obtenant un accès persistant.
Hameçonnage par code appareil dopé à l'IA : plus de 340 organisations touchées
Microsoft signale une campagne de phishing basée sur l'IA qui exploite le flux OAuth de code appareil pour contourner le MFA à grande échelle. Plus de 340 organisations compromises en quelques semaines. Découvrez les stratégies de défense.
Une campagne de hameçonnage ciblant plus de 340 organisations utilisant Microsoft 365, réparties aux États-Unis, au Canada, en Australie, en Nouvelle-Zélande et en Allemagne, est active depuis le 19 février 2026, avec un rythme d'attaques qui s'accélère de semaine en semaine. Le 6 avril, le Microsoft Security Blog a publié une analyse détaillée de l'opération, qui exploite l'IA générative et une automatisation bout en bout pour compromettre des comptes de messagerie professionnels à une échelle inédite pour ce type d'attaque. Pour les équipes marketing et croissance qui s'appuient sur Microsoft 365 au quotidien, la menace est concrète : les jetons volés servent à l'exfiltration de données et au maintien de l'accès, souvent via des règles de boîte de réception malveillantes qui redirigent ou dissimulent les communications.
Ce qui distingue cette attaque des précédentes
Device Code Authentication est un flux OAuth légitime conçu pour les appareils à interfaces limitées, comme les téléviseurs connectés ou les imprimantes. Dans ce modèle, l'utilisateur reçoit un code court et est invité à le saisir dans un navigateur sur un autre appareil pour finaliser l'authentification. Les cybercriminels ont détourné cette caractéristique pour contourner les protections MFA classiques en dissociant l'authentification de la session d'origine.
Ce qui distingue la campagne de 2026 des tentatives précédentes, c'est la couche d'intelligence artificielle. Cette campagne abandonne les scripts statiques et manuels au profit d'une infrastructure pilotée par l'IA avec de multiples automatisations de bout en bout. L'innovation technique clé est la génération dynamique de codes : dans les anciennes tentatives de phishing statiques, l'attaquant intégrait un code pré-généré dans l'e-mail, ce qui créait une fenêtre d'opportunité très étroite. La victime devait ouvrir l'e-mail, naviguer à travers des redirections et finaliser l'authentification avant l'expiration du délai standard de 15 minutes. Si l'e-mail était ouvert ne serait-ce que 20 minutes après son envoi, l'attaque échouait automatiquement.
La génération dynamique de codes contourne cette limite de 15 minutes en déclenchant la création du code au moment précis où l'utilisateur interagit avec le lien de phishing, garantissant ainsi que le flux d'authentification reste valide. Une fois que la victime saisit le code sur la page de connexion officielle de Microsoft, la session de l'attaquant hérite des permissions de l'utilisateur, contournant le MFA et obtenant un accès persistant.
Pas encore de commentaires. Soyez le premier !
Pas encore de commentaires. Soyez le premier !
Ampleur et rapidité de la campagne
Les chiffres sont éloquents. « Depuis le 15 mars 2026, nous observons entre 10 et 15 campagnes distinctes lancées toutes les 24 heures », a déclaré Tanmay Ganacharya, vice-président de la recherche en sécurité chez Microsoft, au média The Register. « Chaque campagne est déployée à grande échelle, ciblant des centaines d'organisations avec des charges utiles très variées et uniques, ce qui complique considérablement la détection par correspondance de signatures. »
La construction, les associations, l'immobilier, l'industrie manufacturière, les services financiers, la santé, le secteur juridique et les administrations publiques figurent parmi les secteurs les plus ciblés. Aucun domaine n'est épargné. L'outil à la base de cette campagne, EvilTokens, est commercialisé en tant que kit Phishing-as-a-Service depuis mi-février 2026, permettant à ses acquéreurs de contourner le MFA et de s'authentifier silencieusement en tant que victime auprès des applications Microsoft 365 de l'organisation.
Selon la société française de cybersécurité Sekoia, « EvilTokens fournit un kit clé en main de phishing par code appareil Microsoft et un ensemble de fonctionnalités avancées pour mener des attaques BEC, notamment la weaponisation des accès, la collecte d'e-mails, des capacités de reconnaissance, une interface webmail intégrée et une automatisation pilotée par l'IA. »
Comment les attaquants ciblent les comptes finance et direction
La campagne ne traite pas tous les comptes compromis de la même façon. Une phase de reconnaissance intervient généralement 10 à 15 jours avant le lancement de la tentative de phishing. Les attaquants utilisent ensuite l'IA pour créer des e-mails de phishing ultra-personnalisés, adaptés au rôle de la cible, avec des thématiques telles que les appels d'offres, les factures et les flux de production.
Pour échapper aux scanners d'URL automatisés et aux bacs à sable d'analyse, les cybercriminels ne renvoient pas directement vers le site de phishing final. Ils utilisent plutôt une série de redirections via des domaines légitimes compromis et des plateformes serverless à haute réputation. Microsoft a constaté un recours massif à Vercel, Cloudflare Workers et AWS Lambda pour héberger la logique de redirection. En s'appuyant sur ces domaines, le trafic de phishing se fond dans le trafic cloud d'entreprise légitime, déjouant les blocages simples par liste noire de domaines.
Après la compromission initiale, dans certains cas, l'intrus a enregistré de nouveaux appareils en moins de 10 minutes pour générer un Primary Refresh Token et assurer une persistance à long terme. Dans d'autres cas, les attaquants ont attendu plusieurs heures avant de dérober des données e-mail sensibles ou de créer des règles de boîte de réception, par exemple en redirigeant les messages contenant les mots « paie » ou « facture » dans l'objet.
L'activité post-compromission révèle une attention systématique aux profils liés à la finance, avec une exfiltration automatisée des e-mails observée sur ces comptes, a confirmé Ganacharya.
Pourquoi le MFA classique ne suffit pas
C'est le point qui prend la plupart des équipes par surprise. Cette attaque collecte les jetons d'accès Microsoft 365 sans que les victimes aient à saisir leurs identifiants sur un site frauduleux imitant l'original, rendant l'interaction d'authentification impossible à distinguer d'une connexion légitime. L'authentification multifacteur n'offre aucune protection : c'est la victime elle-même qui effectue le défi MFA au profit de l'attaquant, et les jetons d'actualisation obtenus restent valides même après une réinitialisation du mot de passe, ce qui complique la remédiation.
Contrairement au vol de credentials classique, cette technique dirige les victimes vers les pages d'authentification officielles de Microsoft, rendant la détection en temps réel nettement plus difficile pour les équipes des centres opérationnels de sécurité.
Cette attaque représente une escalade directe par rapport à la campagne Storm-2372 documentée par Microsoft en février 2025, qui reposait sur de l'ingénierie sociale manuelle via des applications de messagerie et des invitations Teams. La campagne de 2026 bascule vers une automatisation industrialisée et une intégration de l'IA couvrant la reconnaissance, la génération de leurres, la mise en place de l'infrastructure et l'exploitation.
Ce que les équipes métier doivent faire dès maintenant
Les méthodes MFA résistantes au phishing, notamment les clés matérielles FIDO2 et l'authentification par certificat, bloquent effectivement cette attaque car elles lient l'authentification à l'appareil physique. Les codes TOTP classiques et les notifications push, en revanche, ne protègent pas.
Le Microsoft Security Blog et des analystes indépendants recommandent trois actions prioritaires :
Restreindre le flux de code appareil dans Microsoft Entra ID. Les politiques d'accès conditionnel permettent de bloquer le flux d'authentification par code appareil pour les utilisateurs qui n'en ont pas de besoin métier légitime.
Surveiller la création de règles de boîte de réception post-compromission. Microsoft Defender XDR et Entra ID Protection intègrent désormais des détections pour les authentifications par code appareil anormales, notamment les connexions suspectes et la création de règles de boîte de réception combinée à une reconnaissance via l'API Graph après compromission.
Former spécifiquement les équipes finance et direction. Les leurres adaptés au rôle, qui font référence à de vrais flux de travail, à des intitulés de poste réels et à un contexte métier plausible, constituent une catégorie de menace fondamentalement différente du phishing générique. La sensibilisation standard ne suffit pas.
Pour toute organisation utilisant Microsoft 365 comme infrastructure e-mail principale, l'impact opérationnel d'une boîte de réception compromise va bien au-delà de la simple perte de données. Des historiques d'envoi corrompus, des règles de transfert manipulées et des fils de facturation détournés peuvent nuire à la réputation d'expéditeur et à la délivrabilité pendant plusieurs mois. Traiter la sécurité des e-mails comme un problème d'identité, et non comme un simple problème de filtrage de contenu, est désormais une exigence critique pour toute organisation.
Ampleur et rapidité de la campagne
Les chiffres sont éloquents. « Depuis le 15 mars 2026, nous observons entre 10 et 15 campagnes distinctes lancées toutes les 24 heures », a déclaré Tanmay Ganacharya, vice-président de la recherche en sécurité chez Microsoft, au média The Register. « Chaque campagne est déployée à grande échelle, ciblant des centaines d'organisations avec des charges utiles très variées et uniques, ce qui complique considérablement la détection par correspondance de signatures. »
La construction, les associations, l'immobilier, l'industrie manufacturière, les services financiers, la santé, le secteur juridique et les administrations publiques figurent parmi les secteurs les plus ciblés. Aucun domaine n'est épargné. L'outil à la base de cette campagne, EvilTokens, est commercialisé en tant que kit Phishing-as-a-Service depuis mi-février 2026, permettant à ses acquéreurs de contourner le MFA et de s'authentifier silencieusement en tant que victime auprès des applications Microsoft 365 de l'organisation.
Selon la société française de cybersécurité Sekoia, « EvilTokens fournit un kit clé en main de phishing par code appareil Microsoft et un ensemble de fonctionnalités avancées pour mener des attaques BEC, notamment la weaponisation des accès, la collecte d'e-mails, des capacités de reconnaissance, une interface webmail intégrée et une automatisation pilotée par l'IA. »
Comment les attaquants ciblent les comptes finance et direction
La campagne ne traite pas tous les comptes compromis de la même façon. Une phase de reconnaissance intervient généralement 10 à 15 jours avant le lancement de la tentative de phishing. Les attaquants utilisent ensuite l'IA pour créer des e-mails de phishing ultra-personnalisés, adaptés au rôle de la cible, avec des thématiques telles que les appels d'offres, les factures et les flux de production.
Pour échapper aux scanners d'URL automatisés et aux bacs à sable d'analyse, les cybercriminels ne renvoient pas directement vers le site de phishing final. Ils utilisent plutôt une série de redirections via des domaines légitimes compromis et des plateformes serverless à haute réputation. Microsoft a constaté un recours massif à Vercel, Cloudflare Workers et AWS Lambda pour héberger la logique de redirection. En s'appuyant sur ces domaines, le trafic de phishing se fond dans le trafic cloud d'entreprise légitime, déjouant les blocages simples par liste noire de domaines.
Après la compromission initiale, dans certains cas, l'intrus a enregistré de nouveaux appareils en moins de 10 minutes pour générer un Primary Refresh Token et assurer une persistance à long terme. Dans d'autres cas, les attaquants ont attendu plusieurs heures avant de dérober des données e-mail sensibles ou de créer des règles de boîte de réception, par exemple en redirigeant les messages contenant les mots « paie » ou « facture » dans l'objet.
L'activité post-compromission révèle une attention systématique aux profils liés à la finance, avec une exfiltration automatisée des e-mails observée sur ces comptes, a confirmé Ganacharya.
Pourquoi le MFA classique ne suffit pas
C'est le point qui prend la plupart des équipes par surprise. Cette attaque collecte les jetons d'accès Microsoft 365 sans que les victimes aient à saisir leurs identifiants sur un site frauduleux imitant l'original, rendant l'interaction d'authentification impossible à distinguer d'une connexion légitime. L'authentification multifacteur n'offre aucune protection : c'est la victime elle-même qui effectue le défi MFA au profit de l'attaquant, et les jetons d'actualisation obtenus restent valides même après une réinitialisation du mot de passe, ce qui complique la remédiation.
Contrairement au vol de credentials classique, cette technique dirige les victimes vers les pages d'authentification officielles de Microsoft, rendant la détection en temps réel nettement plus difficile pour les équipes des centres opérationnels de sécurité.
Cette attaque représente une escalade directe par rapport à la campagne Storm-2372 documentée par Microsoft en février 2025, qui reposait sur de l'ingénierie sociale manuelle via des applications de messagerie et des invitations Teams. La campagne de 2026 bascule vers une automatisation industrialisée et une intégration de l'IA couvrant la reconnaissance, la génération de leurres, la mise en place de l'infrastructure et l'exploitation.
Ce que les équipes métier doivent faire dès maintenant
Les méthodes MFA résistantes au phishing, notamment les clés matérielles FIDO2 et l'authentification par certificat, bloquent effectivement cette attaque car elles lient l'authentification à l'appareil physique. Les codes TOTP classiques et les notifications push, en revanche, ne protègent pas.
Le Microsoft Security Blog et des analystes indépendants recommandent trois actions prioritaires :
Restreindre le flux de code appareil dans Microsoft Entra ID. Les politiques d'accès conditionnel permettent de bloquer le flux d'authentification par code appareil pour les utilisateurs qui n'en ont pas de besoin métier légitime.
Surveiller la création de règles de boîte de réception post-compromission. Microsoft Defender XDR et Entra ID Protection intègrent désormais des détections pour les authentifications par code appareil anormales, notamment les connexions suspectes et la création de règles de boîte de réception combinée à une reconnaissance via l'API Graph après compromission.
Former spécifiquement les équipes finance et direction. Les leurres adaptés au rôle, qui font référence à de vrais flux de travail, à des intitulés de poste réels et à un contexte métier plausible, constituent une catégorie de menace fondamentalement différente du phishing générique. La sensibilisation standard ne suffit pas.
Pour toute organisation utilisant Microsoft 365 comme infrastructure e-mail principale, l'impact opérationnel d'une boîte de réception compromise va bien au-delà de la simple perte de données. Des historiques d'envoi corrompus, des règles de transfert manipulées et des fils de facturation détournés peuvent nuire à la réputation d'expéditeur et à la délivrabilité pendant plusieurs mois. Traiter la sécurité des e-mails comme un problème d'identité, et non comme un simple problème de filtrage de contenu, est désormais une exigence critique pour toute organisation.
