🔍 Contexte

PubliĂ© le 15 mai 2026 par Truesec sur leur blog Threat Insight, cet article dĂ©crit une tentative de phishing observĂ©e sur un client, exploitant le mĂ©canisme d’authentification Device Code Flow de Microsoft pour dĂ©tourner des sessions utilisateur.

🎣 DĂ©roulement de l’attaque

L’attaque se dĂ©roule en plusieurs Ă©tapes :

  1. La victime reçoit un email de phishing prĂ©tendant qu’un expĂ©diteur souhaite partager un document.
  2. Un bouton « Open » redirige vers un site malveillant imitant une page légitime.
  3. Le site demande Ă  l’utilisateur de copier un code de vĂ©rification et de le coller sur la page Microsoft Device Auth (microsoft.com/devicelogin).
  4. En cliquant sur « Continue to Microsoft », la victime est redirigĂ©e vers une vraie page Microsoft oĂč elle saisit le code et s’authentifie.
  5. Ce faisant, la victime autorise involontairement une session contrĂŽlĂ©e par l’attaquant, qui obtient un accĂšs complet au compte Entra ID de la victime.

⚙ MĂ©canisme technique

Le Device Code Authentication Flow est un mĂ©canisme OAuth lĂ©gitime conçu pour les appareils sans navigateur (ex : Microsoft Teams Room). L’attaquant initie lui-mĂȘme le flux, gĂ©nĂšre un code, puis manipule la victime pour qu’elle l’entre sur la page officielle Microsoft — transfĂ©rant ainsi le token d’accĂšs Ă  l’attaquant sans que la page finale soit frauduleuse.

🔎 Indicateurs de compromission comportementaux

  • Demande de partage de document inattendue par email
  • Redirection via un site intermĂ©diaire non familier
  • Instruction de copier manuellement un code dans un portail d’authentification

đŸ›Ąïž DĂ©tection (KQL)

Microsoft Defender XDR :

E n t w w r h h a e e S r r i e e g n E E I n r n d r L p o o o r g i C s n o t d C e a l = l = = " = 0 " " C m s i : c m s i "

Microsoft Sentinel :

S | i g w n h I e n r L e o g A s u t h e n t i c a t i o n P r o t o c o l = = " d e v i c e C o d e "

📄 Nature de l’article

Il s’agit d’une analyse technique combinĂ©e Ă  une recommandation de sĂ©curitĂ©, visant Ă  documenter une technique de phishing Ă©mergente et Ă  fournir des requĂȘtes de dĂ©tection et des mesures de mitigation via Conditional Access pour les Ă©quipes SOC et les administrateurs Microsoft 365.

🧠 TTPs et IOCs dĂ©tectĂ©s

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1528 — Steal Application Access Token (Credential Access)
  • T1550.001 — Use Alternate Authentication Material: Application Access Token (Lateral Movement)

🟡 Indice de vĂ©rification factuelle : 40/100 (moyenne)

  • ⬜ truesec.com — source non rĂ©fĂ©rencĂ©e (0pts)
  • ✅ 5273 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC Ă  vĂ©rifier (0pts)
  • ✅ 4 TTPs MITRE identifiĂ©es (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommĂ© (0pts)
  • ⬜ pas de CVE Ă  vĂ©rifier (0pts)

🔗 Source originale : https://www.truesec.com/hub/blog/device-code-phishing-via-fake-file-sharing-invitation