Le kit EvilTokens émerge comme un outil avancé de détournement de compte Microsoft
Des chercheurs en cybersécurité ont découvert un kit malveillant sophistiqué appelé EvilTokens le 1er avril 2026, conçu spécifiquement pour exploiter le flux d'authentification par code de périphérique de Microsoft pour des attaques de prise de contrôle de compte. Le kit représente une évolution significative des techniques de phishing, allant au-delà de la collecte traditionnelle d'identifiants pour abuser des mécanismes d'authentification OAuth légitimes intégrés dans l'écosystème de Microsoft.
Le phishing par code de périphérique exploite le flux de code de périphérique de Microsoft, une méthode d'authentification légitime conçue pour les appareils sans navigateurs web ou capacités d'entrée. L'attaque commence lorsque des acteurs malveillants envoient des e-mails de phishing contenant des liens malveillants qui redirigent les victimes vers de fausses pages de connexion Microsoft. Ces pages incitent les utilisateurs à visiter le portail de connexion de périphérique Microsoft légitime et à entrer un code de périphérique, créant l'illusion d'un processus d'authentification sécurisé.
Le kit EvilTokens automatise toute cette chaîne d'attaque, fournissant aux cybercriminels des modèles de phishing préconstruits, des systèmes de gestion de jetons et des outils post-compromission pour les opérations de compromission de courrier électronique professionnel. Des chercheurs en sécurité de The Hacker News ont documenté comment le kit intègre plusieurs vecteurs d'attaque en une seule plateforme, rendant le détournement sophistiqué de compte Microsoft accessible à des acteurs malveillants moins techniques.
Ce qui rend EvilTokens particulièrement dangereux, c'est sa capacité à contourner les mesures de sécurité traditionnelles. Étant donné que l'authentification se fait via le portail de code de périphérique légitime de Microsoft, le processus semble normal tant pour les utilisateurs que pour les systèmes de surveillance de sécurité. Le kit capture des jetons OAuth qui fournissent un accès persistant aux comptes des victimes, maintenant souvent l'accès même après des changements de mot de passe.
Le kit inclut des fonctionnalités avancées pour les activités post-compromission, y compris des règles de transfert de courrier électronique automatisées, des capacités de recherche de boîte aux lettres et des outils pour mener des attaques convaincantes de compromission de courrier électronique professionnel. Les chercheurs ont noté qu'EvilTokens semble conçu spécifiquement pour les opérations de fraude financière, avec des modèles intégrés pour la fraude à la facture et les escroqueries par virement bancaire ciblant les départements financiers des entreprises.
Les organisations Microsoft 365 font face à un risque d'exposition généralisé
Toutes les organisations utilisant Microsoft 365, Azure Active Directory et les services Office 365 sont potentiellement vulnérables aux attaques EvilTokens. Le kit cible spécifiquement les comptes professionnels plutôt que les comptes personnels Microsoft, se concentrant sur les environnements où une compromission réussie peut entraîner un gain financier significatif grâce à des schémas de compromission de courrier électronique professionnel.
Les clients d'entreprise font face au risque le plus élevé, en particulier les organisations dans les secteurs de la finance, des soins de santé, des services juridiques et de la fabrication qui traitent régulièrement de grandes transactions financières par e-mail. Le flux d'authentification par code de périphérique est activé par défaut sur les plateformes professionnelles de Microsoft, ce qui signifie que pratiquement chaque locataire Microsoft 365 est exposé à ce vecteur d'attaque sans contrôles de sécurité supplémentaires.
Les petites et moyennes entreprises représentent des cibles privilégiées pour les opérateurs EvilTokens en raison d'une formation à la sensibilisation à la sécurité généralement plus faible et de capacités de surveillance de sécurité limitées. Ces organisations manquent souvent des fonctionnalités avancées de protection contre les menaces disponibles dans les offres de sécurité de niveau supérieur de Microsoft, rendant la détection et la prévention plus difficiles.
L'efficacité de l'attaque ne dépend pas de versions logicielles ou de configurations spécifiques, car elle exploite la conception fondamentale du système d'authentification par code de périphérique de Microsoft. Les organisations utilisant l'authentification multi-facteurs ne sont pas à l'abri, car le flux de code de périphérique peut contourner les implémentations traditionnelles de MFA lorsque les utilisateurs sont trompés pour compléter eux-mêmes le processus d'authentification.
Se défendre contre le phishing par code de périphérique et les attaques EvilTokens
Les organisations doivent mettre en œuvre plusieurs couches défensives pour se protéger contre EvilTokens et les attaques de phishing par code de périphérique similaires. La défense principale consiste à désactiver complètement le flux d'authentification par code de périphérique pour les organisations qui n'en ont pas besoin. Les administrateurs Microsoft peuvent désactiver cette fonctionnalité via les politiques d'accès conditionnel d'Azure Active Directory ou en modifiant les paramètres d'enregistrement d'application pour empêcher les types de subvention de code de périphérique.
Pour les organisations qui doivent maintenir l'authentification par code de périphérique, la mise en œuvre de politiques d'accès conditionnel strictes devient cruciale. Ces politiques devraient exiger la conformité des appareils, restreindre l'accès depuis des emplacements inconnus et imposer des étapes de vérification supplémentaires pour les authentifications par code de périphérique. Le catalogue CISA Known Exploited Vulnerabilities de Microsoft fournit des conseils supplémentaires sur la sécurisation des flux d'authentification OAuth.
Les équipes de sécurité devraient surveiller les journaux de connexion Azure AD pour détecter les tentatives d'authentification par code de périphérique suspectes, en particulier celles provenant de lieux géographiques inhabituels ou se produisant en dehors des heures de bureau normales. La plateforme Microsoft Cloud App Security peut détecter des modèles d'authentification anormaux et bloquer automatiquement les demandes de code de périphérique suspectes.
L'éducation des utilisateurs reste cruciale pour prévenir les attaques réussies d'EvilTokens. Les organisations devraient former les employés à reconnaître les tentatives de phishing par code de périphérique et établir des procédures claires pour les scénarios d'authentification de périphérique légitimes. Les programmes de sensibilisation à la sécurité devraient aborder spécifiquement les risques d'entrer des codes de périphérique à partir d'e-mails non sollicités ou de sites web suspects.
Les solutions de sécurité des e-mails doivent être configurées pour détecter et bloquer les e-mails de phishing qui initient des attaques par code de périphérique. Les plateformes de protection avancée contre les menaces peuvent analyser les liens d'e-mail et identifier les redirections vers des sites malveillants conçus pour collecter des codes de périphérique. Les organisations devraient également mettre en œuvre des protocoles d'authentification des e-mails comme DMARC, SPF et DKIM pour prévenir les tentatives de falsification de domaine couramment utilisées dans ces attaques.
