EvilTokens PhaaS : 340 organisations M365 touchées

EvilTokens : une usine à phishing M365 qui bypasse le MFA par OAuth

Les chercheurs de Huntress ont publié le 25 mars 2026 une analyse détaillée d'une campagne de phishing à grande échelle ciblant Microsoft 365, documentée sous le nom EvilTokens — une plateforme Phishing-as-a-Service (PhaaS) commercialisée depuis mi-février 2026 sur le canal Telegram NOIRLEGACY GROUP. En moins de cinq semaines, la campagne a compromis plus de 340 organisations réparties aux États-Unis, au Canada, en Australie, en Nouvelle-Zélande et en Allemagne, ciblant des secteurs particulièrement sensibles : construction, organisations à but non lucratif, immobilier, industrie manufacturière, services financiers, santé, droit et administration publique. Ce qui rend cette campagne particulièrement dangereuse, c'est qu'elle ne repose pas sur le vol de mots de passe : les attaquants utilisent le flux OAuth Device Code de Microsoft pour capturer des tokens d'accès valides et des tokens de rafraîchissement longue durée, sans que la victime n'ait jamais à saisir son mot de passe sur une page de phishing classique. Le MFA est contourné de manière native, car la victime s'authentifie elle-même via le flux légitime de Microsoft.

EvilTokens propose trois produits distincts : un "B2B Sender" pour des campagnes email ciblées entreprise-à-entreprise, un "Office 365 Capture Link" pour la collecte de tokens OAuth, et un "SMTP Sender" intégrant des workflows IA pour contourner les filtres anti-spam. L'infrastructure de collecte repose sur Cloudflare Workers comme couche de redirection et sur Railway, une plateforme PaaS légitimement utilisée par les développeurs, comme backend de collecte et de relai des sessions volées. Cette exploitation de plateformes cloud légitimes complique considérablement la détection par les outils de sécurité périmétrique traditionnels.

Pourquoi ce type d'attaque OAuth est si difficile à contrer

Le flux OAuth Device Code a été conçu à l'origine pour les appareils sans navigateur (smart TV, consoles de jeu), mais Microsoft l'a étendu à M365. Son détournement à des fins de phishing est connu depuis 2021, mais son industrialisation via des plateformes PhaaS comme EvilTokens marque une nouvelle étape. La victime reçoit un email l'invitant à valider son accès à un document, en entrant un code sur la page officielle microsoft.com/devicelogin. L'authentification est légitime — la victime s'identifie bien auprès de Microsoft — mais le token généré est immédiatement capturé par EvilTokens. Les attaquants peuvent ensuite accéder à Teams, SharePoint, OneDrive et Exchange sans déclencher d'alerte MFA.

Les techniques anti-analyse intégrées illustrent la sophistication : désactivation du clic droit, du copier-coller, blocage des raccourcis d'inspection (F12, Ctrl+Shift+I) et détection des outils développeur via un heuristique de taille de fenêtre déclenchant une boucle debugger infinie. Cette campagne s'inscrit dans la continuité des attaques contre Microsoft, après la compromission des comptes Signal ciblant des officiels observée en début d'année, et rappelle l'importance de surveiller l'ensemble des vecteurs d'authentification au-delà des seuls mots de passe. Les organisations doivent également renforcer la sécurité de leurs environnements M365 après les correctifs du Patch Tuesday.

Ce qu'il faut faire immédiatement

• Auditez vos logs Microsoft Entra ID pour des authentifications provenant d'adresses IP Railway (railway.app / plages Railway).
• Révoquez tous les tokens de rafraîchissement M365 des comptes suspects via PowerShell : Revoke-AzureADUserAllRefreshToken.
• Bloquez le flux OAuth Device Code pour votre tenant si votre organisation ne l'utilise pas via une Conditional Access Policy.
• Sensibilisez vos équipes : aucune demande légitime de Microsoft ne passe par la saisie d'un code sur microsoft.com/devicelogin suite à un email non sollicité.