https://cyberveille.ch/tags/prt/ Recent content in PRT on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Sun, 31 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-31-device-code-lab-dcl-analyse-approfondie-d-un-kit-de-phishing-oauth-professionnel/ Sun, 31 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-31-device-code-lab-dcl-analyse-approfondie-d-un-kit-de-phishing-oauth-professionnel/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 28 mai 2026 par le chercheur Paul Newton sur son blog de cybersécurité, cet article constitue une analyse technique approfondie de <strong>Device Code Lab (DCL)</strong>, également connu sous le nom <strong>AUTHOV</strong>, une plateforme de phishing-as-a-service (PhaaS) professionnelle découverte lors d&rsquo;activités de threat hunting. L&rsquo;infrastructure initiale a été identifiée sur l&rsquo;IP <code>192.3.225.100</code> avec le titre de panneau « Device Code Lab ».</p> <h2 id="-fonctionnement-général">🎯 Fonctionnement général</h2> <p>DCL est une plateforme centralisée de <strong>vol de tokens OAuth</strong> exploitant le flux d&rsquo;authentification <strong>Device Code Flow</strong> de Microsoft. Elle génère des codes de périphérique via l&rsquo;endpoint <code>/oauth2/v2.0/devicecode</code>, affiche le <code>user_code</code> à la victime via une landing page Cloudflare Workers, puis capture le jeu complet de tokens OAuth (access token ~1h, refresh token ~90 jours) dès que la victime s&rsquo;authentifie.</p>