Ma connexion Internet de l’hôtel où j’étais avait une latence insoutenable. J’ai tenté de retirer le awkward des pauses entre les interactions, mais ce n’est pas parfait.
Dans cet épisode, l’animateur s’entretient avec Quentin Bourgue, chercheur en cybersécurité, au sujet d’un rapport récemment publié sur EvilTokens, un nouveau kit de phishing as a service (PhaaS) qui marque un tournant significatif dans le paysage des cybermenaces. Le sujet est présenté d’emblée comme particulièrement préoccupant, l’animateur confiant avoir eu « froid dans le dos » à la lecture des conclusions de l’analyse.
EvilTokens est un service de phishing découvert début mars 2026 lors d’une veille menée sur un canal Telegram spécialisé dans la fraude et le phishing. L’opérateur a développé un kit clé en main qu’il loue à des affiliés selon un modèle de souscription mensuelle — un modèle dit phishing as a service.
Ce qui distingue immédiatement ce kit de ses concurrents, c’est sa technique d’attaque : le phishing par device code, plutôt que le phishing par adversary-in-the-middle (AiTM) qui prédomine dans la majorité des plateformes PhaaS existantes.
Le phishing par AiTM consiste à s’intercaler entre la victime et le service d’authentification pour récupérer un cookie de session. Le phishing par device code fonctionne différemment : l’attaquant initie lui-même une demande d’autorisation pour un appareil virtuel — une méthode normalement conçue pour les smart TV ou les objets connectés — puis demande à la victime de compléter cette autorisation. Toutes les étapes s’effectuent sur les domaines légitimes de Microsoft, ce qui rend la détection bien plus difficile.
À l’issue du processus, l’attaquant ne récupère pas un simple cookie de session, mais deux jetons Microsoft :
Avant EvilTokens, cette technique était réservée à des acteurs sophistiqués : groupes étatiques ou cybercriminels avancés. Le fait qu’elle soit désormais packagée dans un service accessible à des attaquants peu qualifiés représente un saut qualitatif majeur dans la menace.
Le kit est distribué entièrement via Telegram. L’opérateur a mis en place un bot pour automatiser les souscriptions, des canaux pour promouvoir les nouvelles fonctionnalités, et un système de support client. Le paiement s’effectue en cryptomonnaies via un service nommé Payment Now.
La tarification est significativement plus élevée que les offres concurrentes :
Ce prix s’explique par les fonctionnalités avancées de post-compromission, notamment l’automatisation augmentée par l’intelligence artificielle — qui constitue sans doute l’innovation la plus redoutable du kit.
Une fois les jetons en main, l’attaquant peut déclencher une phase de reconnaissance automatisée via des requêtes à l’API Microsoft Graph. En quelques clics, il récupère : les emails de la victime, ses contacts, son calendrier, ses dossiers, et même sa position hiérarchique dans l’organisation (manager, subordonnés).
Toutes ces données sont ensuite consolidées sur l’infrastructure d’EvilTokens, puis analysées par deux modèles d’intelligence artificielle via un service nommé Groq (avec un Q, distinct du Grok d’Elon Musk) :
Une fonction de traduction via l’API d’OpenAI permet également de traiter les boîtes mail dans d’autres langues que l’anglais.
Ce qui prenait auparavant plusieurs heures, voire plusieurs jours de reconnaissance manuelle se fait désormais en quelques minutes, avec un niveau de contextualisation bien supérieur à ce qu’un attaquant humain pouvait atteindre seul.
L’analyse du code JavaScript d’EvilTokens a conduit Quentin Bourgue à estimer qu’il a été vibe-codé, c’est-à-dire généré en grande partie par un outil d’IA générative. Plusieurs indices le suggèrent : tout le code tient dans un seul fichier, les commentaires sont très soignés et sans fautes, des emojis apparaissent dans le code, et certaines fonctions semblent mortes ou non fonctionnelles — caractéristiques fréquentes des sorties LLM.
EvilTokens préfigure une évolution rapide de l’ensemble de l’écosystème PhaaS. Déjà, des concurrents comme Kratos et Tycoon ont commencé à intégrer le phishing par device code. Il est probable que les fonctionnalités d’automatisation par IA se répandent dans la majorité des plateformes concurrentes dans les mois à venir.
Pour les entreprises, les recommandations sont les suivantes :
EvilTokens représente une convergence inédite entre phishing avancé, automatisation et intelligence artificielle, mise à la portée d’attaquants peu expérimentés. La vitesse et la précision des attaques que ce kit permet rendent la détection et la réponse aux incidents encore plus critiques pour les organisations. Une menace à surveiller de très près.
