Phishing device code : la menace qui vole vos comptes Microsoft 365

Imaginez : un hacker prend le contrôle total de votre messagerie professionnelle, de vos fichiers partagés et de vos outils collaboratifs Microsoft 365 — sans jamais connaître votre mot de passe, sans même contourner votre double authentification par SMS ou application. C'est exactement ce que permet le phishing par « device code », une technique d'attaque qui a explosé de 37 fois en 2026 selon les dernières analyses de sécurité. Si vous dirigez une PME et que vous utilisez Microsoft 365, cet article vous concerne directement.

C'est quoi exactement le « device code phishing » ?

Pour comprendre l'attaque, il faut d'abord connaître le contexte. Microsoft 365 utilise un système d'autorisation appelé OAuth 2.0 (prononcez « OAuth deux point zéro »). En clair, c'est le mécanisme qui permet à une application — votre téléphone, un outil RH, un logiciel de comptabilité — de se connecter à vos données Microsoft sans que vous saisissiez votre mot de passe à chaque fois. OAuth génère à la place un « jeton d'accès », une sorte de clé numérique temporaire. Le flux « device code » est une variante de ce système, conçue à l'origine pour les appareils sans clavier (télévisions connectées, imprimantes intelligentes). L'utilisateur reçoit un code court, va sur une page web Microsoft officielle, le saisit, et l'appareil est autorisé. L'attaque OAuth 2.0 sur les entreprises consiste pour le hacker à initier lui-même ce flux, puis à vous envoyer le code par e-mail ou message, en se faisant passer pour votre service informatique, un collègue ou Microsoft. Vous pensez activer un outil légitime. En réalité, vous autorisez le pirate à accéder à votre compte, et ce jeton d'accès reste valide pendant des semaines, même si vous changez votre mot de passe.

Pourquoi votre double authentification ne vous protège pas ici

C'est le point qui dérange le plus les dirigeants : « J'ai activé le MFA, je suis protégé. » Le MFA — double authentification — vous protège en effet contre le vol de mot de passe classique. Mais dans cette attaque, il n'y a pas de vol de mot de passe. La procédure d'authentification est légitime de bout en bout, vous la validez vous-même sans le savoir. Quand vous entrez ce code sur la vraie page Microsoft, vous effectuez réellement une authentification complète, avec votre MFA inclus. Microsoft voit une connexion normale, autorisée par l'utilisateur. Le hacker récupère ensuite un jeton d'accès valide, qu'il utilise depuis ses propres serveurs, souvent localisés à l'étranger. Résultat : il lit vos e-mails, télécharge vos fichiers OneDrive, accède à vos contacts et peut même envoyer des messages en votre nom pour attaquer vos clients ou partenaires. Pour les PME, les conséquences sont lourdes : fuite de données confidentielles, fraude au virement, atteinte à la réputation, et dans certains cas, violation du RGPD avec obligation de notification aux autorités.

Comment reconnaître une tentative d'attaque device code ?

La bonne nouvelle : ces attaques suivent des schémas reconnaissables si vous savez quoi chercher. Méfiez-vous de tout e-mail ou message Teams vous demandant de vous rendre sur microsoft.com/devicelogin et d'y saisir un code qu'on vous fournit. La vraie procédure Microsoft fonctionne dans l'autre sens : c'est votre appareil qui génère le code et vous invite à aller le saisir. Si le code vient de l'extérieur, c'est un signal d'alarme. Autre signe révélateur : l'urgence artificielle. « Votre accès va expirer dans 15 minutes », « Action requise immédiatement », « Mise à jour de sécurité obligatoire ». Les hackers savent que la précipitation fait baisser la vigilance. Enfin, vérifiez toujours l'expéditeur réel d'un e-mail, pas seulement le nom affiché. Un message signé « Support Microsoft » peut provenir d'une adresse du type support-ms@domaine-louche.com. Cette vigilance vaut aussi pour vos équipes : la sécurité Microsoft 365 en 2026 repose autant sur les réflexes humains que sur les outils techniques.

Ce que vous pouvez faire dès maintenant

1. Bloquez le flux device code dans votre tenant Microsoft 365. Via le portail Azure Active Directory (aujourd'hui appelé Microsoft Entra ID), votre prestataire informatique peut désactiver ce type d'authentification pour tous vos utilisateurs en quelques clics. C'est la mesure la plus efficace, et elle ne perturbe pas l'usage quotidien de vos équipes.

2. Activez les politiques d'accès conditionnel. Ces règles permettent de bloquer les connexions depuis des pays où vous n'opérez pas, ou depuis des appareils non reconnus. Si votre compte est utilisé depuis la Russie ou le Nigeria à 3h du matin, la connexion est automatiquement refusée.

3. Sensibilisez vos équipes en 10 minutes. Partagez une règle simple : « Si quelqu'un vous envoie un code à saisir sur une page Microsoft, c'est une attaque. On ne saisit jamais un code reçu de l'extérieur. » Une règle courte, mémorisable, efficace.

4. Auditez les applications autorisées sur votre compte. Dans les paramètres de votre compte Microsoft, une section liste toutes les applications ayant un accès à vos données. Révoquez celles que vous ne reconnaissez pas. Votre prestataire peut faire cet audit pour l'ensemble de votre organisation.

5. Mettez en place une alerte sur les connexions suspectes. Microsoft 365 propose des alertes natives en cas de connexion depuis un nouvel emplacement géographique ou un nouvel appareil. Activez-les pour être prévenu immédiatement en cas d'intrusion, même réussie.