EvilTokens : un toolkit PhaaS exploitant l'OAuth 2.0 pour du phishing de tokens à grande échelle

Mon, 01 Jun 2026 00:00:00 +0000

🔍 Contexte

Publié le 27 mai 2026 par Netcraft (auteure : Ginny Spicer), cet article présente une analyse technique d’une vague d’attaques de device code phishing propulsées par le toolkit EvilTokens, ainsi qu’une campagne connexe baptisée GhostPairing ciblant les messageries sécurisées.

⚙️ Mécanisme d’attaque EvilTokens

EvilTokens abuse du flux d’autorisation par code d’appareil OAuth 2.0 :

L’attaquant vérifie l’existence d’un compte cible via l’endpoint GetCredentialType sur login.microsoftonline.com
Une lure est envoyée à la victime contenant une URL ou pièce jointe « nécessitant une authentification »
La page malveillante génère un device code au moment du chargement (réinitialisant le délai d’expiration de 15 minutes de Microsoft)
La victime entre le code sur l’URL de vérification légitime (ex. microsoft.com/devicelogin)
Le client de l’attaquant, en polling sur l’endpoint token, reçoit des access et refresh tokens lui donnant un accès API persistant sous l’identité de la victime

Le toolkit intègre : copie automatique du code dans le presse-papiers, design responsive pour mobile, mécanisme anti-bot (case à cocher), et des mécanismes anti-analyse (désactivation du clic droit, obfuscation JavaScript multi-couches, collecte d’informations via ipinfo.io).

GhostPairing on CyberVeille

EvilTokens : un toolkit PhaaS exploitant l'OAuth 2.0 pour du phishing de tokens à grande échelle

🔍 Contexte

⚙️ Mécanisme d’attaque EvilTokens