Phishing par Device Code Authentication via fausse invitation de partage de fichier

🔍 Contexte Publié le 15 mai 2026 par Truesec sur leur blog Threat Insight, cet article décrit une tentative de phishing observée sur un client, exploitant le mécanisme d’authentification Device Code Flow de Microsoft pour détourner des sessions utilisateur. 🎣 Déroulement de l’attaque L’attaque se déroule en plusieurs étapes : La victime reçoit un email de phishing prétendant qu’un expéditeur souhaite partager un document. Un bouton « Open » redirige vers un site malveillant imitant une page légitime. Le site demande à l’utilisateur de copier un code de vérification et de le coller sur la page Microsoft Device Auth (microsoft.com/devicelogin). En cliquant sur « Continue to Microsoft », la victime est redirigée vers une vraie page Microsoft où elle saisit le code et s’authentifie. Ce faisant, la victime autorise involontairement une session contrôlée par l’attaquant, qui obtient un accès complet au compte Entra ID de la victime. ⚙️ Mécanisme technique Le Device Code Authentication Flow est un mécanisme OAuth légitime conçu pour les appareils sans navigateur (ex : Microsoft Teams Room). L’attaquant initie lui-même le flux, génère un code, puis manipule la victime pour qu’elle l’entre sur la page officielle Microsoft — transférant ainsi le token d’accès à l’attaquant sans que la page finale soit frauduleuse.