Fin juin 2026, une nouvelle campagne de phishing a visé des comptes Microsoft 365 sans chercher à voler le moindre mot de passe. Repérée par les chercheurs de ZeroBEC, elle s’appuie sur DEBULL, une brique réutilisable qui détourne le flux d’authentification Device Code de Microsoft pour contourner le MFA. Une méthode de plus en plus détournée par les pirates.
Une vraie page Microsoft, un faux consentement
Cette attaque se distingue par l’absence d’une fausse page de connexion, ce qui la rend particulièrement redoutable. Le device code flow est un mécanisme légitime d’OAuth 2.0, conçu pour des appareils sans clavier ni navigateur. Dans ce type d’attaque, l’attaquant génère un code, le transmet à sa cible via un leurre, et lorsque la victime le saisit sur la véritable page d’authentification de Microsoft, elle autorise en réalité la session du pirate. Aucun mot de passe n’est volé, le MFA est contourné, et des jetons de session sont remis à l’attaquant.
D’après ZeroBEC, cette campagne observée entre la dernière semaine de juin et le début du mois de juillet 2026 utilise des prétextes classiques, comme un dossier partagé à consulter. Les pirates exploitent un domaine d’un site de location croate, légitime mais compromis, pour déclencher la demande de code auprès de Microsoft.
« La campagne ne reposait pas sur une fausse page de mot de passe Microsoft. Elle utilisait un leurre malveillant pour pousser les utilisateurs vers l’expérience de connexion légitime de Microsoft, pendant qu’un broker en arrière-plan générait et interrogeait des jetons device-code du Microsoft Authentication Broker. »
Le device code phishing devient un produit sur étagère
ZeroBEC signale que DEBULL est une plateforme de Phishing-as-a-Service (PhaaS), utilisant GraphSpy ou un dérivé pour la post-exploitation sur Microsoft 365 et Entra. Les opérateurs peuvent éditer le HTML, le CSS et le JavaScript de leur page piège à partir de modèles fournis.
DEBULL n’est pas un cas isolé. Cisco Talos a détaillé ARToken, un panneau d’administration PhaaS partageant infrastructure et API avec EvilTokens. Talos évoque plus de 80 points de terminaison d’API couvrant le phishing par device code, la persistance via PRT, l’accès aux e-mails, et l’exfiltration depuis SharePoint.
Ce que les administrateurs peuvent verrouiller
Depuis le 1er juillet 2026, les nouveaux tenants Entra bloquent le device code flow via des paramètres de sécurité par défaut. Une stratégie d’accès conditionnel est également appliquée aux organisations n’ayant pas utilisé ce flux durant les 25 derniers jours. Cependant, un tenant plus ancien, ou dont la stratégie est restée en mode audit, demeure exposé.
- Vérifier l’état réel de la stratégie pour bloquer le device code flow.
- Auditer les usages légitimes dans les journaux de connexion avant de généraliser le blocage.
- Exclure les comptes d’accès d’urgence.
- Déployer un MFA résistant au phishing.
Les jetons volés survivent au changement de mot de passe, il est donc crucial de révoquer les sessions et d’invalider les jetons. Lier chaque accès à un appareil de confiance peut également limiter l’exploitation d’une session détournée.
Source : ZeroBEC
