Les attaques de phishing par code d'appareil, qui abusent du flux **OAuth 2.0** Device Authorization Grant pour détourner des comptes, ont explosé de plus de 37 fois cette année. Dans ce type d'attaque, l'acteur de la menace envoie une demande d'autorisation d'appareil à un fournisseur de services et reçoit un code, qui est transmis à la victime sous divers prétextes. Ensuite, la victime est incitée à saisir le code sur la page de connexion légitime, autorisant ainsi l'appareil de l'attaquant à accéder au compte via des jetons d'accès et de rafraîchissement valides. Ce flux a été conçu pour simplifier la connexion d'appareils qui n'ont pas d'options d'entrée accessibles (par exemple, appareils IoT, imprimantes, appareils de streaming et téléviseurs intelligents).  *Flux de phishing par code d'appareil. Source : **Push Security*** La technique de phishing par code d'appareil a été documentée pour la première fois en 2020, mais son exploitation malveillante a été enregistrée quelques années plus tard, et elle a été utilisée à la fois par des pirates parrainés par des États et des acteurs motivés par l'argent. Des chercheurs de **Push Security** ont observé une augmentation massive de l'utilisation de ces attaques, avertissant qu'elles ont été largement adoptées par les cybercriminels. « Au début de mars (2026), nous avions observé une augmentation de 15 fois des pages de phishing par code d'appareil détectées par notre équipe de recherche cette année, avec plusieurs kits et campagnes suivis — le kit maintenant identifié comme **EvilTokens** étant le plus proéminent. Ce chiffre est maintenant passé à 37,5x. » - Push Security Plus tôt cette semaine, la société de détection et de réponse aux menaces **Sekoia** a publié des recherches sur l'opération de phishing-as-a-service (PhaaS) **EvilTokens**. Les chercheurs soulignent qu'il s'agit d'un exemple marquant de kit de phishing qui « démocratise » le phishing par code d'appareil, le rendant accessible aux cybercriminels peu qualifiés. Push Security est d'accord pour dire qu'EvilTokens a été un moteur majeur de l'adoption généralisée de cette technique, mais note qu'il existe plusieurs autres plateformes en concurrence sur le même marché, qui pourraient devenir plus importantes en cas de perturbation d'EvilTokens par les forces de l'ordre : 1. **VENOM** - Un kit PhaaS à code source fermé offrant des capacités de phishing par code d'appareil et AiTM. Son composant de code d'appareil semble être un clone d'EvilTokens. 2. **SHAREFILE** - Un kit thématique autour des transferts de documents **Citrix ShareFile**, utilisant des points de terminaison backend basés sur des nœuds pour simuler le partage de fichiers et déclencher des flux de code d'appareil. 3. **CLURE** - Un kit utilisant des points de terminaison API rotatifs et une porte anti-bot, avec des leurres thématiques **SharePoint** et une infrastructure backend sur **DigitalOcean**. 4. **LINKID** - Un kit exploitant les pages de défi **Cloudflare** et des API auto-hébergées, utilisant des leurres thématiques **Microsoft Teams** et **Adobe**. 5. **AUTHOV** - Un kit hébergé sur workers.dev utilisant une entrée de code d'appareil basée sur des popups et des leurres de partage de documents **Adobe**. 6. **DOCUPOLL** - Un kit hébergé sur **GitHub Pages** et workers.dev qui imite les flux de travail **DocuSign**, y compris des répliques injectées de pages réelles. 7. **FLOW_TOKEN** - Un kit hébergé sur workers.dev utilisant une infrastructure backend **Tencent Cloud**, avec des leurres thématiques RH et **DocuSign** et des flux basés sur des popups. 8. **PAPRIKA** - Un kit hébergé sur **AWS S3** utilisant des pages de connexion **Microsoft** clonées avec la marque **Office 365** et un faux pied de page **Okta**. 9. **DCSTATUS** - Un kit minimal avec des leurres génériques **Microsoft 365** « Secure Access » et des marqueurs d'infrastructure peu visibles. 10. **DOLCE** - Un kit hébergé sur **Microsoft PowerApps** avec des leurres thématiques **Dolce & Gabbana**, probablement une implémentation unique ou de type red-team plutôt qu'une utilisation généralisée. Il convient de noter qu'outre Venom et EvilTokens, les noms des autres kits de phishing ont été attribués par les chercheurs de Push pour suivre l'activité malveillante. Push Security a également publié une vidéo montrant le fonctionnement du kit DOCUPOLL. L'acteur de la menace utilise la marque DocuSign et un leurre pour un prétendu contrat, demandant à la victime de se connecter à l'application Microsoft Office. Au total, au moins 11 kits de phishing proposent ce type d'attaque aux cybercriminels, tous utilisant des leurres réalistes thématiques SaaS, des protections anti-bot, et abusant des plateformes cloud pour l'hébergement. Pour bloquer les attaques de phishing par code d'appareil, Push Security suggère aux utilisateurs de désactiver le flux lorsqu'il n'est pas nécessaire en définissant des stratégies d'accès conditionnel sur leurs comptes. Il est également recommandé de surveiller les journaux pour détecter les événements d'authentification par code d'appareil inattendus, les adresses IP inhabituelles et les sessions.