Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Hameçonnage par code d’appareil M365 : la chaîne d’attaque assistée par l’IA qui compromet chaque jour des centaines d’organisations

Hameçonnage par code d’appareil M365 : la chaîne d’attaque assistée par l’IA qui compromet chaque jour des centaines d’organisations

par Uri Kedem updated mai 20, 2026 Email sécurisé
temps de lecture: 9 minutes

Principaux enseignements

  1. Compromissions massives quotidiennes. Des centaines de locataires M365 sont compromis chaque jour via une campagne de phishing automatisée, dopée à l’IA, exploitant l’authentification par code d’appareil.
  2. Exploitation d’un flux légitime. Les attaquants détournent le protocole de code d’appareil de Microsoft pour voler des jetons de session valides sans recourir à des malwares, des exploits ou des identifiants invalides.
  3. Kill chain accélérée par l’IA. L’IA gère la validation des cibles, la création de leurres adaptés à chaque rôle et l’exfiltration rapide des boîtes mail, réduisant la durée des attaques de plusieurs semaines à quelques heures.
  4. Évasion des défenses. Les contrôles traditionnels passent à côté de l’attaque, car elle utilise une authentification légitime, l’exfiltration via Graph API et ne génère aucune signature de malware.

Imaginez un contrôleur financier qui reçoit un message Teams d’un prétendu responsable conformité interne. Le message fait référence à un audit précis — qui existe réellement — et demande au contrôleur de valider un document via un lien de code d’appareil. Le contrôleur s’exécute. En moins de 90 secondes, l’attaquant obtient un jeton de session valide, un accès complet à la boîte mail du contrôleur et exporte toutes les pièces jointes des 18 derniers mois.

L’attaque qui ressemble à une activité normale

Ce scénario n’a rien de théorique. Selon un avis Microsoft publié en avril 2026, des centaines d’organisations sont compromises chaque jour via une campagne de phishing exploitant le flux d’authentification par code d’appareil dans Microsoft 365. La campagne utilise l’IA pour générer des leurres hautement personnalisés, puis enchaîne des étapes automatisées sur toute la kill chain — de la validation des cibles à l’exfiltration des données.

Le CrowdStrike Global Threat Report 2026 a constaté une augmentation de 89 % des attaques menées par des adversaires utilisant l’IA d’une année sur l’autre, et a révélé que 82 % des détections en 2025 ne comportaient aucun malware. Cette attaque illustre ce changement : pas de malware, pas d’exploit, pas de vulnérabilité. Juste un flux d’authentification légitime, détourné de son usage initial.

5 enseignements clés

1. Des centaines de locataires M365 sont compromis chaque jour.

Une campagne de phishing à grande échelle détourne le flux d’authentification par code d’appareil de Microsoft, utilisant des leurres générés par l’IA pour voler des identifiants et exfiltrer des données de boîtes mail à l’échelle industrielle. Selon un avis Microsoft d’avril 2026, il ne s’agit pas d’une attaque ciblée contre quelques organisations — c’est une opération automatisée, pilotée par l’IA, qui vise en continu les locataires M365 tous secteurs et zones géographiques confondus.

2. L’attaque exploite un mécanisme d’authentification Microsoft légitime.

Le flux de code d’appareil a été conçu pour les appareils à saisie limitée. Les attaquants l’ont transformé en l’une des techniques de vol d’identifiants les plus efficaces du moment, en exploitant une caractéristique fondamentale du protocole : rien ne valide l’identité de l’initiateur du flux. La victime s’authentifie sur l’infrastructure Microsoft avec son propre jeton MFA — et l’attaquant reçoit le jeton de session.

3. L’IA accélère chaque étape de la kill chain.

De la validation des cibles via GetCredentialType à la génération de leurres adaptés aux rôles et à l’exfiltration automatisée des boîtes mail, l’IA réduit ce qui prenait des semaines à quelques heures. Le risque lié à l’IA n’est pas hypothétique — le rapport CrowdStrike 2026 a constaté une hausse de 89 % des attaques d’adversaires utilisant l’IA, et cette campagne en est l’illustration parfaite.

4. Les contrôles de sécurité traditionnels ne détectent pas cette attaque.

La campagne utilise des flux d’authentification légitimes, ne génère aucune signature de malware et exfiltre les données via la Graph API de Microsoft. Le rapport CrowdStrike 2026 a révélé que 82 % des détections étaient déjà sans malware — cette attaque s’inscrit pleinement dans cette tendance. Les solutions de sécurité email et endpoint classiques n’ont pas été conçues pour détecter les abus au niveau de l’authentification.

5. La gouvernance des plateformes collaboratives devient un enjeu stratégique.

Lorsque des données sensibles — mises sous séquestre, documents de fusion-acquisition, dossiers financiers — résident sur une plateforme dont les mécanismes d’authentification sont détournés, la question n’est plus de patcher, mais de repenser l’architecture. Le déficit de gouvernance des données dans M365 devient un déficit de conformité : HIPAA, RGPD, règles SEC et CMMC exigent tous des contrôles que l’audit natif de M365 ne permet pas d’assurer de façon cohérente.

De quelle sécurité email avez-vous besoin pour protéger la messagerie de votre entreprise ?

Pour en savoir plus :

Comment le flux de code d’appareil devient une arme

L’authentification par code d’appareil a été conçue pour les appareils dépourvus de navigateur ou de clavier complet — comme les smart TV, objets connectés et outils en ligne de commande. Le processus affiche un code sur l’appareil et invite l’utilisateur à le saisir dans un navigateur séparé. Une fois le code validé, l’appareil reçoit un jeton d’accès.

Le problème : rien dans le protocole ne valide l’identité de l’initiateur du flux. Un attaquant peut générer une demande de code d’appareil, l’intégrer dans un leurre de phishing et attendre que la victime s’authentifie à sa place. La victime voit une page de connexion Microsoft légitime, saisit ses identifiants, complète la MFA. Mais c’est l’attaquant — et non la victime — qui reçoit le jeton de session.

Il ne s’agit pas d’une vulnérabilité au sens classique. Microsoft a conçu le flux de code d’appareil pour fonctionner ainsi. L’exploitation réside dans le détournement du modèle de confiance : la victime s’authentifie sur l’infrastructure Microsoft, avec ses propres identifiants et son propre jeton MFA. Tous les contrôles de sécurité voient un événement d’authentification légitime.

L’IA transforme l’ingénierie sociale en chaîne de production

Ce qui distingue cette campagne, c’est le rôle de l’IA à chaque étape. L’attaque commence par un appel à l’API GetCredentialType de Microsoft pour valider les adresses email cibles — vérifier quels comptes existent, lesquels sont protégés par MFA et quels modes d’authentification sont configurés. Cette phase de reconnaissance, autrefois manuelle, s’effectue désormais à la vitesse machine.

Ensuite, l’IA génère des leurres adaptés aux rôles. Un CFO reçoit un message sur la relecture d’un board deck. Un juriste reçoit une question sur un avenant contractuel. Un chef de projet voit une demande liée à un projet réellement actif. Le Thales Data Threat Report 2026 révèle que l’erreur humaine reste la première cause de brèche à 28 % — et l’ingénierie sociale générée par l’IA vise précisément à exploiter la confiance humaine à grande échelle.

Une fois la victime authentifiée, l’exfiltration automatisée démarre. Les outils de l’attaquant se connectent à la boîte mail compromise via Microsoft Graph API, identifient le contenu à forte valeur — pièces jointes, rendez-vous, fichiers partagés — et l’exportent en masse. Le rapport CrowdStrike 2026 a documenté des attaques de phishing adversary-in-the-middle contre Microsoft 365/Entra ID, qui volent cookies et jetons pour contourner la MFA et accéder directement aux mails, à SharePoint et à d’autres services riches en données. Cette campagne suit le même schéma, à l’échelle industrielle.

Pourquoi les défenses existantes passent à côté

Si cette attaque échappe à la plupart des solutions de sécurité, c’est pour des raisons structurelles, non techniques. La campagne ne génère aucun malware détectable par les endpoints. L’événement d’authentification est légitime, donc les outils d’analyse d’identité voient une connexion normale. L’exfiltration des données utilise la Graph API de Microsoft, donc les outils DLP voient une activité API autorisée.

Le Thales Data Threat Report 2026 indique que seulement 33 % des organisations savent précisément où sont stockées leurs données, et seulement 39 % peuvent classifier toutes leurs données. Quand une organisation ne sait pas localiser ses données sensibles, détecter un accès non autorisé devient quasi impossible — et les lacunes de classification se traduisent par des angles morts lors des investigations post-incident.

Le rapport CrowdStrike souligne que 35 % des incidents cloud impliquent l’abus de comptes valides. Les défenses périmétriques traditionnelles n’ont jamais été conçues pour une attaque qui s’authentifie par la porte d’entrée. Et les règles d’accès conditionnel — bien que précieuses — autorisent souvent par défaut le flux de code d’appareil, car la plupart des organisations n’ont jamais audité les flux d’authentification réellement activés sur leurs locataires.

La plateforme collaborative, nouvelle surface d’attaque

Cette campagne met en lumière un problème d’architecture plus profond : la plateforme collaborative sur laquelle les organisations s’appuient pour leurs workflows les plus sensibles est aussi celle que les attaquants ciblent le plus agressivement.

Les sites SharePoint hébergent des mises sous séquestre, des data rooms M&A et des référentiels de politiques. Exchange Online transporte des communications privilégiées entre dirigeants, juristes et membres du conseil. OneDrive stocke des modèles financiers, des dossiers clients et des plans stratégiques. Il ne s’agit pas seulement d’outils de productivité — ce sont des référentiels de données réglementées, soumis à des obligations de conformité (HIPAA, RGPD, règles SEC, et de plus en plus CMMC 2.0).

La mise à jour Patch Tuesday d’avril 2026 l’a confirmé, corrigeant une faille zero-day SharePoint déjà exploitée pour modifier du contenu dans des espaces collaboratifs de confiance. Combinée à la campagne de phishing par code d’appareil, le message est clair : les locataires M365 font face à des menaces simultanées sur la confidentialité et l’intégrité de leurs données.

Selon le Kiteworks Data Security, Compliance and Risk Forecast 2026, 46 % des organisations citent le manque de visibilité comme principale préoccupation en matière de sécurité des données. Lorsque l’échange de données sensibles passe par des plateformes dont les journaux d’audit peuvent être ralentis lors des pics d’activité, retardés jusqu’à 72 heures et nécessitent des licences premium pour une capture complète, le déficit de gouvernance devient un déficit de conformité.

Le problème des traces d’audit que la plupart des organisations ignorent

Quand une organisation découvre qu’une boîte mail a été compromise via du phishing par code d’appareil, la première question est toujours : quelles données ont été consultées ? Répondre à cette question dans M365 exige de corréler des journaux issus de plusieurs sources — logs de connexion Entra ID, journaux d’audit Exchange, logs d’activité Microsoft Graph, et parfois logs d’accès SharePoint. Ces journaux ont des durées de rétention, des niveaux de complétude et des exigences de licence différents.

Pour les organisations soumises à l’obligation de notification sous 72 heures du RGPD, aux obligations de déclaration de brèche HIPAA ou aux règles de divulgation d’incident de la SEC, une trace d’audit incomplète n’est pas qu’un inconvénient opérationnel — c’est une exposition réglementaire. Le plan de réponse à incident ne fonctionne plus dès que la base de preuves forensiques est incomplète.

Comment Kiteworks comble le déficit de gouvernance M365

Le Réseau de données privé Kiteworks aborde ce problème par l’architecture, et non par réaction. Plutôt que d’ajouter des couches de gouvernance sur une plateforme de productivité, Kiteworks propose un plan de contrôle dédié à l’échange de données sensibles — messagerie électronique, partage de fichiers, SFTP, MFT, API et formulaires web — avec la sécurité intégrée au niveau de la plateforme, et non ajoutée en option premium.

Chaque échange de données sensibles via Kiteworks est journalisé dans une trace d’audit unifiée, transmise en temps réel aux systèmes SIEM — sans limitation de débit, sans délai de 72 heures, sans licence premium pour une capture complète. La plateforme se déploie sous forme d’appliance virtuelle durcie avec contrôles de sécurité intégrés — pare-feu réseau, WAF, détection d’intrusion — sans configuration client requise.

Pour les organisations qui utilisent M365 pour la productivité interne mais ont besoin de canaux gouvernés et auditables pour l’échange externe de données sensibles — avec partenaires, régulateurs, contreparties juridiques, clients — Kiteworks fournit l’architecture de protection des données Zéro trust que M365 n’a pas été conçu pour offrir. Même en cas de compromission d’un mécanisme d’authentification, le périmètre d’exposition des données sensibles reste limité.

Ce que les organisations doivent faire avant la prochaine vague

Premièrement, auditez immédiatement votre locataire M365 pour le flux de code d’appareil. La plupart des organisations n’ont jamais examiné les flux d’authentification activés. Désactivez le flux de code d’appareil pour tous les utilisateurs sauf ceux ayant un besoin métier documenté, et restreignez-le via des règles d’accès conditionnel exigeant des appareils et emplacements conformes.

Deuxièmement, déployez des règles d’accès conditionnel bloquant les méthodes d’authentification obsolètes ou inutiles. Le rapport CrowdStrike 2026 indique que le temps moyen de breakout eCrime est désormais de 29 minutes — le record étant de 27 secondes. Réduire les vecteurs d’authentification exploitables réduit la fenêtre dont disposent les attaquants pour mener la kill chain à son terme.

Troisièmement, mettez en place une surveillance en temps réel des consentements anormaux, des déplacements impossibles et des exportations massives de boîtes mail. Ce sont les signatures comportementales d’une compromission par phishing de code d’appareil — et elles exigent des analyses que la surveillance native de M365 ne fournit pas toujours à la vitesse requise.

Quatrièmement, séparez l’échange de données sensibles de la collaboration généraliste. Le rapport Thales révèle que les organisations utilisent en moyenne 89 applications SaaS. Quand les données sensibles transitent sur la même plateforme que la collaboration informelle, toute compromission d’authentification devient un incident réglementaire potentiel. Une plateforme dédiée et contrôlée réduit ce périmètre d’exposition.

Cinquièmement, prévoyez des workflows de réponse à incident tenant compte des limites forensiques de M365. Sachez quels logs vous possédez, leur durée de rétention, ceux nécessitant une licence premium, et le délai maximal avant leur disponibilité. Le délai de notification RGPD de 72 heures ne s’arrête pas pendant que vous attendez la génération des logs.

La vitesse des attaques assistées par l’IA s’accélère. La question n’est plus de savoir si votre locataire M365 sera ciblé par ce type de campagne — mais si votre architecture garantit qu’une compromission d’authentification ne se transforme pas en compromission de vos données.

Pour en savoir plus sur la fermeture du déficit de gouvernance M365, réservez votre démo sans attendre !

Foire aux questions

Defender for Office 365 est efficace contre les malwares et le phishing traditionnel, mais n’a pas été conçu pour bloquer l’abus du flux de code d’appareil, car l’attaque exploite un mécanisme d’authentification Microsoft légitime — et non une charge malveillante. La protection nécessite des règles d’accès conditionnel restreignant le flux de code d’appareil. Avec 82 % des détections 2025 sans malware selon CrowdStrike, les contrôles au niveau de l’identité sont essentiels en complément des outils endpoint.

Un phishing par code d’appareil donnant accès à une boîte mail contenant des informations médicales protégées déclenche immédiatement une évaluation de notification de brèche HIPAA. L’attaquant s’authentifiant légitimement, les logs d’accès peuvent ne pas signaler l’intrusion — la détermination du périmètre dépend donc d’une infrastructure de traces d’audit complète, que M365 seul ne fournit pas forcément sans licence premium et corrélation manuelle des logs.

Le flux de code d’appareil est activé par défaut sur la plupart des locataires M365. Vérifiez les politiques d’authentification dans le portail Entra ID sous Accès conditionnel, puis créez des règles bloquant ce flux pour tous les utilisateurs sauf ceux ayant un besoin métier documenté. Vérifiez également les failles MFA — le rapport prévisionnel Kiteworks 2026 indique que 46 % des organisations citent le manque de visibilité comme préoccupation majeure, et l’audit des flux d’authentification fait partie des angles morts les plus fréquents.

Les organisations qui partagent des données sensibles avec l’externe doivent utiliser une plateforme dédiée d’échange sécurisé de données, indépendante de l’infrastructure d’authentification M365. Le Réseau de données privé Kiteworks propose un plan de contrôle dédié avec journalisation d’audit unifiée, architecture d’appliance virtuelle durcie et application des politiques sans dépendre des identifiants M365 — garantissant un échange gouverné et traçable même en cas de compromission de l’authentification M365.

Le CMMC Niveau 2 exige des contrôles NIST SP 800-171 couvrant le contrôle d’accès (AC.L2-3.1.1), la journalisation d’audit (AU.L2-3.3.1) et l’identification/authentification (IA.L2-3.5.1). Le phishing par code d’appareil contourne la MFA via un flux légitime, pouvant violer simultanément les contrôles AC et IA. Si des CUI sont accédées, l’incident déclenche à la fois un événement de sécurité et un déficit de conformité CMMC à documenter et corriger avant la certification.

Ressources complémentaires

  • Article de blog Protégez vos contenus sensibles avec la sécurité email
  • Article de blog Brief Comment optimiser la gouvernance, la conformité et la protection des contenus email
  • Brief Développez la visibilité et automatisez la protection de tous vos emails sensibles
  • Brief Améliorez Kiteworks Secure Email avec la passerelle de protection email (EPG)

Foire aux questions

Le flux de code d’appareil a été conçu pour les appareils à saisie limitée comme les smart TV et objets connectés. Les attaquants génèrent un code d’appareil, l’intègrent dans un leurre de phishing et attendent que la victime s’authentifie à leur place. La victime effectue une connexion Microsoft et une MFA légitimes, mais l’attaquant reçoit le jeton de session, obtenant ainsi l’accès aux boîtes mail et aux données sans déclencher d’alerte de sécurité classique.

L’IA valide les cibles via l’API GetCredentialType de Microsoft, génère des leurres adaptés à chaque rôle en se référant à de vrais audits ou projets, et automatise l’exfiltration des boîtes mail via la Graph API. Cela réduit la reconnaissance, l’ingénierie sociale et le vol de données de plusieurs semaines à quelques heures, permettant des centaines de compromissions quotidiennes sur les locataires M365.

L’attaque utilise des flux d’authentification légitimes, sans charge malveillante, ne génère aucune signature et exfiltre les données via la Graph API de Microsoft. Résultat : l’analyse d’identité voit des connexions normales, les outils DLP détectent une activité autorisée et les défenses classiques passent complètement à côté de l’abus au niveau de l’authentification.

Auditez vos locataires pour désactiver le flux de code d’appareil sauf pour les besoins métiers documentés, appliquez des règles d’accès conditionnel bloquant les méthodes obsolètes, surveillez les consentements anormaux et les exports massifs de boîtes mail, et séparez l’échange externe de données sensibles sur une plateforme dédiée et gouvernée afin de limiter le périmètre d’exposition en cas de compromission d’authentification.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks