Si l’étude de Cisco Talos a été publiée le 1er juillet 2026, la menace cyber qu’elle décrit est apparue un peu plus tôt.
Les premières traces remontent à mars 2026. À cette époque, la société de cybersécurité française Sekoia met au jour EvilTokens, un service de « phishing-as-a-service », comprenez un kit clé en main loué à des criminels, à la manière d’un logiciel en abonnement.
Son but principal ? Permettre aux hackers de détourner une fonctionnalité légitime de Microsoft, le « code d’appareil », un système normalement destiné à connecter un périphérique externe, mais qui permet ici de récupérer les accès d’une victime sans jamais avoir besoin de son mot de passe ni de la double authentification.
En avril, Microsoft confirme l’ampleur du problème : « 10 à 15 campagnes distinctes » sont lancées chaque jour. Elles visent des centaines d’organisations et reposent toutes sur EvilTokens.
L’étude de Talos montre que l’outil dépasse désormais le cadre d’un simple kit d’hameçonnage et s’inscrit dans un ensemble plus structuré, avec ses propres outils et modes d’organisation.

Ce que Talos a trouvé
En enquêtant sur une intrusion, les chercheurs expliquent être remontés jusqu’à « ARToken », une véritable interface de gestion pour cybercriminels, avec plus de 80 fonctions accessibles. Elle partage un code technique identique à celui d’EvilTokens, preuve qu’il s’agit du même écosystème.
Deux éléments inquiètent particulièrement. D’abord, le vol ne s’arrête pas à la connexion initiale : le kit peut renouveler indéfiniment les accès volés grâce à un mécanisme appelé PRT (Primary Refresh Token), une sorte de clé maîtresse qui survit même si la victime change son mot de passe. Ensuite, une fois dans la boîte mail, l’outil permet de lire les messages, d’en envoyer à la place de la personne ciblée, et surtout de créer des règles invisibles pour supprimer ou masquer les traces de l’attaque, rendant la fraude beaucoup plus difficile à repérer.
Talos a aussi retrouvé un exemple concret de mail piège, daté du 20 avril 2026 : une fausse relance de facture usurpant un vrai fournisseur, avec un lien qui affiche une adresse SharePoint légitime mais qui redirige, une fois cliqué, vers une copie contrôlée par les attaquants.

Ce que l’on sait, et comment se protéger
La menace rôde donc toujours et Sekoia avait recensé, dès avril 2026, environ 500 domaines et plus de 1 000 pages de phishing actives sous l’ombrelle EvilTokens. Talos ne donne pas de nouveau chiffre propre à ARToken.
Pour s’en prémunir, les entreprises peuvent désactiver la connexion par code d’appareil si elle n’est pas utilisée, restreindre son usage via des règles d’accès conditionnel, et surveiller les connexions inhabituelles. Côté utilisateurs, le réflexe reste le même que pour toute campagne de phishing, à savoir, vérifier la véritable destination d’un lien avant de cliquer, plutôt que de se fier au texte affiché.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Anticipez le futur en vous inscrivant gratuitement à ToujoursPlus, la newsletter tech de référence.












