Cet article s’appuie sur les analyses publiées par Microsoft le 6 avril 2026 et sur la documentation Microsoft Entra associée. L’objectif n’est pas de répéter un rapport de menace, mais de traduire ce sujet en priorités lisibles pour les entreprises qui dépendent chaque jour de l’email, de l’identité et de leurs flux de décision.

Pourquoi ce sujet mérite de l’attention maintenant

Microsoft a documenté une campagne qui détourne le device code flow, un mécanisme OAuth pourtant légitime conçu pour les appareils à interface limitée. Le point important n’est pas seulement la technique : c’est le niveau d’automatisation observé, avec génération dynamique des codes, redirections via des domaines à forte réputation et leurres adaptés au rôle de la victime.

Pour une entreprise, le risque est trompeur : aucun mot de passe n’est nécessairement volé au sens classique, mais l’attaquant peut quand même récupérer un accès valide à la session. Cela rend l’attaque plus discrète, plus crédible pour la victime et souvent moins lisible côté métier dans les premiers instants.

Comment fonctionne le phishing par device code

Le principe du device code flow est simple : l’utilisateur voit un code sur un appareil ou une interface, puis le saisit sur une page Microsoft officielle depuis un autre navigateur. Selon Microsoft Learn, ce code n’est valide que pendant une courte fenêtre, 15 minutes par défaut. Les campagnes récentes contournent cette contrainte en ne générant le code qu’au moment exact où la victime clique.

Le résultat est redoutable : la victime croit suivre un parcours légitime vers microsoft.com/devicelogin, alors qu’elle autorise en réalité une session initialisée côté attaquant. Microsoft décrit aussi des variantes où le code est copié automatiquement dans le presse-papiers pour réduire encore la friction et augmenter le taux de réussite.

Ce que cela change pour les équipes dirigeantes

Le sujet ne relève pas seulement de la cybersécurité au sens abstrait. Ce type d’attaque touche directement les boîtes mail, les échanges commerciaux, la finance et la gouvernance. Microsoft observe des post-compromissions orientées vers les profils à forte valeur, avec création de règles de messagerie et exfiltration de données.

Autrement dit, une seule validation trompeuse peut suffire à exposer des discussions sensibles, retarder des opérations ou faciliter ensuite une fraude plus ciblée. Le coût business se situe moins dans l’incident visible immédiatement que dans la compromission silencieuse des flux de décision.

Les mesures les plus utiles à mettre en place

Le point le plus net dans les recommandations Microsoft est de bloquer le device code flow partout où il n’est pas réellement nécessaire. Microsoft Entra recommande de se rapprocher le plus possible d’un blocage par défaut, puis d’ouvrir uniquement des cas d’usage documentés, sécurisés et réellement compris.

Ensuite, le socle reste classique mais non négociable : protections anti-phishing côté messagerie, MFA résistante au phishing, surveillance des connexions à risque et capacité à révoquer rapidement des sessions. Ce n’est pas une seule brique qui protège ; c’est la cohérence du système d’identité et de réponse.

  • Auditer immédiatement si le device code flow est réellement utilisé dans votre organisation.
  • Passer la règle en report-only, puis en blocage si les usages légitimes sont couverts.
  • Privilégier des méthodes MFA résistantes au phishing, comme FIDO ou les passkeys.
  • Prévoir une procédure simple pour révoquer rapidement les sessions et comptes à risque.

Sources officielles

Microsoft Sécurité Blog, 6 avril 2026

Microsoft Learn, blocage des authentication flows

Microsoft Learn, OAuth 2.0 device authorization grant

Microsoft Support, protection contre le phishing

Source de l’illustration : Microsoft Sécurité Blog.