Une menace qui gagne en ampleur

Depuis plusieurs mois, les équipes de cybersécurité surveillent de près EvilTokens, un kit de phishing conçu pour cibler les comptes Microsoft 365. Initialement documenté par des chercheurs français au mois de mars 2026, cet outil malveillant se distingue par sa capacité à rendre inopérante l’authentification multifacteur (MFA), pourtant présentée comme un rempart essentiel contre les intrusions.

Un fonctionnement qui détourne un mécanisme légitime

EvilTokens s’appuie sur le flux OAuth dit « Device Code » (code d’appareil). Ce protocole, prévu par Microsoft pour faciliter la connexion sur des terminaux sans navigateur complet, est ici utilisé à des fins frauduleuses. L’attaquant envoie à la victime un courriel l’invitant à se connecter à son compte Microsoft 365 via un lien. La personne est alors redirigée vers une page qui imite l’interface officielle de connexion, où il lui est demandé de saisir un code à plusieurs chiffres. En parallèle, le pirate initie une véritable demande d’authentification Device Code. Lorsque la cible entre le code sur la page frauduleuse, elle valide en réalité la session de l’attaquant, qui récupère aussitôt un jeton d’accès et un jeton d’actualisation (refresh token). Ce dernier permet de maintenir l’accès au compte même après la déconnexion apparente de l’utilisateur.

Des révélations sur l’infrastructure ARToken

Une analyse publiée par des experts de Cisco Talos, consacrée à une plateforme opérateur baptisée ARToken, a mis en lumière une infrastructure bien plus élaborée que les premières descriptions ne le laissaient supposer. ARToken se présente comme un service Phishing-as-a-Service (PhaaS) lié à EvilTokens. Il fournit aux cybercriminels un tableau de bord complet pour générer des pages de phishing, suivre les victimes, gérer les sessions volées et exporter les données collectées. L’étude souligne que les capacités de ce kit dépassent largement ce qui avait été initialement rapporté, avec des options de personnalisation avancées et des mécanismes de contournement de certaines protections.

Des conséquences potentiellement graves

Une fois le compte compromis, l’attaquant peut lire les courriels, accéder aux fichiers stockés sur OneDrive et SharePoint, prendre le contrôle de la boîte aux lettres pour envoyer des messages frauduleux aux contacts, ou encore exploiter les applications connectées à la plateforme Microsoft 365. Les jetons d’actualisation dérobés restent valides même si la victime modifie son mot de passe après l’attaque, ce qui rend la détection tardive particulièrement difficile pour les services informatiques.

Des mesures de protection recommandées

Face à cette menace, les spécialistes préconisent plusieurs actions. La solution la plus efficace consiste à déployer une authentification sans mot de passe reposant sur des clés de sécurité matérielles FIDO2 ou sur Windows Hello for Business, des mécanismes qui ne sont pas vulnérables au détournement par code d’appareil. Il est également conseillé de désactiver, lorsque c’est possible, le flux Device Code pour les utilisateurs standard au sein des locataires Microsoft 365. Les administrateurs peuvent aussi mettre en place des stratégies d’accès conditionnel qui bloquent les connexions inhabituelles ou en provenance de régions non autorisées. Enfin, la formation des collaborateurs reste un pilier essentiel : il importe de leur apprendre à ne jamais saisir de code d’appareil sur un site qui ne leur est pas familier, à vérifier l’URL de connexion et à signaler tout message suspect au service informatique.

Un phénomène en expansion

Les experts estiment que la menace portée par EvilTokens et des kits similaires pourrait encore s’accroître dans les mois à venir, en raison de la démocratisation des offres PhaaS qui abaissent la barrière technique pour les cybercriminels. La collaboration entre éditeurs de sécurité, chercheurs et organisations utilisatrices de Microsoft 365 apparaît plus que jamais nécessaire pour adapter les défenses face à ces techniques d’attaque de plus en plus sophistiquées.