Device code phishing : quand l'authentification forte se fait contourner par l'astuce

La double authentification (MFA) était jusqu'ici notre meilleure alliée contre le piratage. Mais une nouvelle menace, le device code phishing, vient de prouver que même les protections les plus solides peuvent être contournées — si on ne connaît pas les astuces des attaquants. Comme le révèle Undernews, cette technique exploite les flux d'authentification légitimes d'OAuth et de Microsoft 365 pour siphonner des accès sans même avoir besoin de voler un mot de passe.

Le principe est malin : au lieu de demander directement les identifiants de la victime, l'attaquant lui envoie un lien vers une page Microsoft officielle, où elle est invitée à entrer un « code d'appareil ». En réalité, ce code permet à l'attaquant d'associer son propre appareil au compte de la victime — et d'y accéder comme s'il en était le propriétaire légitime. La MFA ? Contournée. Les logs ? Propres. La victime ne se rend compte de rien, jusqu'à ce qu'il soit trop tard.

Heureusement, des solutions existent. D'abord, méfiez-vous des demandes d'authentification inattendues, même si elles semblent provenir de Microsoft. Ensuite, activez les alertes de connexion inhabituelles dans vos paramètres de sécurité. Enfin, privilégiez les outils qui intègrent des mécanismes de détection avancés, comme ceux proposés par des acteurs européens de la cybersécurité — Sekoia, par exemple, a d'ailleurs publié une analyse détaillée de cette menace sur son blog.

Cette attaque rappelle une vérité simple : la sécurité numérique n'est jamais acquise. Elle se construit chaque jour, avec des outils adaptés et une vigilance constante. Et si vous cherchez à protéger vos données sans sacrifier votre liberté, des alternatives européennes comme Colistor prouvent qu'il est possible de concilier productivité et respect de la vie privée — sans dépendre des géants du secteur.