Device code phishing : quand on vous fait valider la connexion de l'attaquant

Imaginez recevoir une invitation à une réunion Teams. Le message vous demande simplement d’entrer un code à 9 caractères sur la page de connexion Microsoft, la vraie, avec la bonne adresse et le cadenas. Vous tapez le code, vous vous authentifiez comme d’habitude, double authentification comprise. Tout semble normal. Sauf que vous venez d’ouvrir votre compte… à quelqu’un d’autre.

C’est le device code phishing (hameçonnage par code d’appareil), une technique en forte progression : des campagnes d’ampleur ont été documentées par Microsoft début 2025, et elle s’est largement répandue depuis. Sa force : elle ne ressemble à aucun hameçonnage classique.

Le mécanisme, expliqué simplement

Les grands services cloud (Microsoft 365, Google, et d’autres) proposent une connexion dite « par code d’appareil », prévue pour les équipements sans clavier confortable : télévisions, salles de réunion, imprimantes. Le principe : l’appareil affiche un code court, vous l’entrez sur la page de connexion officielle depuis votre téléphone ou votre ordinateur, et l’appareil est connecté.

Le détournement est élégant et redoutable : l’attaquant se fait passer pour l’appareil. Il génère un code de connexion, puis vous l’envoie avec un prétexte crédible. Si vous l’entrez, c’est sa session que vous validez.

Pourquoi elle déjoue les réflexes habituels

Tout ce qu’on vous a appris à vérifier… est authentique :

• L’adresse est la vraie. Vous êtes réellement sur la page de connexion de Microsoft ou de Google. Aucun site contrefait à repérer.
• Vous ne donnez votre mot de passe à personne. Vous le tapez sur le site officiel, comme tous les jours.
• La double authentification ne vous protège pas ici. c’est vous qui la validez, pour la session de l’attaquant.

Une fois la session validée, l’attaquant récupère un accès durable à la messagerie, aux fichiers, parfois à l’ensemble des outils de l’entreprise. Le tout sans déclencher les alertes habituelles de vol de mot de passe.

Le réflexe qui change tout

Il tient en une phrase :

Un code de connexion légitime, c’est un code que VOUS venez de faire apparaître, sur VOTRE écran, il y a quelques secondes.

Si un code arrive par email, par Teams, par SMS ou par téléphone, quelle qu’en soit la raison apparente (réunion, mise à jour, « vérification de sécurité »), ce n’est pas une procédure normale. C’est une attaque. On ne « rejoint » jamais une réunion en entrant un code sur une page de connexion.

Côté entreprise : trois mesures concrètes

1. Restreindre la connexion par code d’appareil. Dans Microsoft 365 (Entra ID), une stratégie d’accès conditionnel permet de bloquer ou de limiter ce mode de connexion aux seuls cas qui en ont réellement besoin. Si personne ne l’utilise chez vous, fermez la porte.
2. Sensibiliser avec ce cas précis. Les formations anti-phishing classiques (« vérifiez l’adresse du site ») ne couvrent pas cette attaque, et c’est justement pour ça qu’elle fonctionne. Le réflexe ci-dessus se partage en une minute en réunion d’équipe.
3. Savoir réagir. En cas de doute après coup : faire révoquer les sessions actives du compte par votre prestataire informatique, changer le mot de passe, et surveiller les connexions récentes.

Et comme toujours, la double authentification reste indispensable : elle arrête la grande majorité des attaques. Celle-ci est précisément l’exception qui confirme la règle : la technologie protège, mais c’est la vigilance qui ferme la dernière porte.

En résumé

Le device code phishing inverse la logique de l’hameçonnage : au lieu de vous attirer sur un faux site, on vous fait utiliser le vrai, au profit de l’attaquant. Aucun indice technique à repérer, donc un seul garde-fou : ne jamais entrer un code de connexion qu’on vous a envoyé.

Vos adresses email exposées publiquement sont la première matière première de ce type de campagne. Demandez un diagnostic d’exposition. Analyse 100 % passive, sans toucher à vos systèmes.