Parce que… c’est l’épisode 0x742!

Préambule

Ma connexion Internet de l’hôtel où j’étais avait une latence insoutenable. J’ai tenté de retirer le awkward des pauses entre les interactions, mais ce n’est pas parfait.

Shameless plug

• 14 au 17 avril 2026 - Botconf 2026
• 20 au 22 avril 2026 - ITSec
  • Code rabais de 15%: Seqcure15
• 28 et 29 avril 2026 - Cybereco Cyberconférence 2026
• 9 au 17 mai 2026 - NorthSec 2026
• 3 au 5 juin 2026 - SSTIC 2026
• 19 septembre 2026 - Bsides Montréal
• 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026
• 24 et 25 février 2027 - SéQCure 2027

Description

Introduction

Dans cet épisode, l’animateur s’entretient avec Quentin Bourgue, chercheur en cybersécurité, au sujet d’un rapport récemment publié sur EvilTokens, un nouveau kit de phishing as a service (PhaaS) qui marque un tournant significatif dans le paysage des cybermenaces. Le sujet est présenté d’emblée comme particulièrement préoccupant, l’animateur confiant avoir eu « froid dans le dos » à la lecture des conclusions de l’analyse.

Qu’est-ce qu’EvilTokens ?

EvilTokens est un service de phishing découvert début mars 2026 lors d’une veille menée sur un canal Telegram spécialisé dans la fraude et le phishing. L’opérateur a développé un kit clé en main qu’il loue à des affiliés selon un modèle de souscription mensuelle — un modèle dit phishing as a service.

Ce qui distingue immédiatement ce kit de ses concurrents, c’est sa technique d’attaque : le phishing par device code, plutôt que le phishing par adversary-in-the-middle (AiTM) qui prédomine dans la majorité des plateformes PhaaS existantes.

Le phishing par device code : une technique jusque-là réservée aux élites

Le phishing par AiTM consiste à s’intercaler entre la victime et le service d’authentification pour récupérer un cookie de session. Le phishing par device code fonctionne différemment : l’attaquant initie lui-même une demande d’autorisation pour un appareil virtuel — une méthode normalement conçue pour les smart TV ou les objets connectés — puis demande à la victime de compléter cette autorisation. Toutes les étapes s’effectuent sur les domaines légitimes de Microsoft, ce qui rend la détection bien plus difficile.

À l’issue du processus, l’attaquant ne récupère pas un simple cookie de session, mais deux jetons Microsoft :

• Un access token, valable 60 à 90 minutes, donnant accès à des services comme Outlook, SharePoint, OneDrive, Microsoft Teams ou l’API Microsoft Graph.
• Un primary refresh token, permettant de maintenir un accès persistant pendant 90 jours.

Avant EvilTokens, cette technique était réservée à des acteurs sophistiqués : groupes étatiques ou cybercriminels avancés. Le fait qu’elle soit désormais packagée dans un service accessible à des attaquants peu qualifiés représente un saut qualitatif majeur dans la menace.

Un modèle économique structuré et professionnel

Le kit est distribué entièrement via Telegram. L’opérateur a mis en place un bot pour automatiser les souscriptions, des canaux pour promouvoir les nouvelles fonctionnalités, et un système de support client. Le paiement s’effectue en cryptomonnaies via un service nommé Payment Now.

La tarification est significativement plus élevée que les offres concurrentes :

• 1 500 dollars pour accéder au panneau d’administration,
• 500 dollars par mois pour les pages de phishing opérationnelles,
• soit 2 000 dollars le premier mois.

Ce prix s’explique par les fonctionnalités avancées de post-compromission, notamment l’automatisation augmentée par l’intelligence artificielle — qui constitue sans doute l’innovation la plus redoutable du kit.

La post-compromission automatisée par l’IA : le vrai saut technologique

Une fois les jetons en main, l’attaquant peut déclencher une phase de reconnaissance automatisée via des requêtes à l’API Microsoft Graph. En quelques clics, il récupère : les emails de la victime, ses contacts, son calendrier, ses dossiers, et même sa position hiérarchique dans l’organisation (manager, subordonnés).

Toutes ces données sont ensuite consolidées sur l’infrastructure d’EvilTokens, puis analysées par deux modèles d’intelligence artificielle via un service nommé Groq (avec un Q, distinct du Grok d’Elon Musk) :

1. Groq Llama 3.8B analyse les emails par lots de 250 pour identifier les activités financières.
2. Groq Llama 3.3 70B consolide les analyses, génère un score de fraude potentielle, et rédige automatiquement trois emails de compromission (BEC) prêts à l’envoi, injectés dans des fils de conversation existants pour maximiser leur crédibilité.

Une fonction de traduction via l’API d’OpenAI permet également de traiter les boîtes mail dans d’autres langues que l’anglais.

Ce qui prenait auparavant plusieurs heures, voire plusieurs jours de reconnaissance manuelle se fait désormais en quelques minutes, avec un niveau de contextualisation bien supérieur à ce qu’un attaquant humain pouvait atteindre seul.

Un code probablement généré par IA

L’analyse du code JavaScript d’EvilTokens a conduit Quentin Bourgue à estimer qu’il a été vibe-codé, c’est-à-dire généré en grande partie par un outil d’IA générative. Plusieurs indices le suggèrent : tout le code tient dans un seul fichier, les commentaires sont très soignés et sans fautes, des emojis apparaissent dans le code, et certaines fonctions semblent mortes ou non fonctionnelles — caractéristiques fréquentes des sorties LLM.

Conséquences et mesures de remédiation

EvilTokens préfigure une évolution rapide de l’ensemble de l’écosystème PhaaS. Déjà, des concurrents comme Kratos et Tycoon ont commencé à intégrer le phishing par device code. Il est probable que les fonctionnalités d’automatisation par IA se répandent dans la majorité des plateformes concurrentes dans les mois à venir.

Pour les entreprises, les recommandations sont les suivantes :

• Bloquer l’autorisation par device code dans les politiques d’accès conditionnel, ou en restreindre l’usage à un sous-ensemble précis d’utilisateurs si des cas métier légitimes l’exigent (salles de réunion connectées, IoT).
• Sensibiliser les employés à risque — particulièrement ceux liés aux activités financières — à ce type de phishing et aux tentatives de fraude par compromission de messagerie professionnelle (BEC).

Conclusion

EvilTokens représente une convergence inédite entre phishing avancé, automatisation et intelligence artificielle, mise à la portée d’attaquants peu expérimentés. La vitesse et la précision des attaques que ce kit permet rendent la détection et la réponse aux incidents encore plus critiques pour les organisations. Une menace à surveiller de très près.

Notes

• New widespread EvilTokens kit: device code phishing as-a-service – Part 1
• EvilTokens: an AI-augmented Phishing-as-a-Service for automating BEC fraud – Part 2

Collaborateurs

• Nicolas-Loïc Fortin
• Quentin Bourgue

Crédits

• Montage par Intrasecure inc
• Locaux virtuels par Riverside.fm

Tags: bec, entraid, ia, m365, malware, phishing