EvilTokens : l’IA au service de la compromission de messageries professionnelles (BEC)
avril 15, 2026
2 minutes de lecture
On parle beaucoup d’intelligence artificielle côté défense. Mais dans cette campagne, elle est utilisée pour automatiser une fraude très concrète : le BEC. Tout commence par une compromission via le device code phishing. La victime s’authentifie sur une page Microsoft légitime sans se douter que cette action donne en réalité à l’attaquant un token OAuth valide. À partir de là, aucun besoin de mot de passe ni de contournement : l’attaquant est connecté, comme un utilisateur légitime. Mais c’est après que tout s’accélère.
Une fois dans la boîte mail, EvilTokens automatise la phase de reconnaissance en s’appuyant sur Microsoft Graph. Les emails, les contacts, les habitudes d’échange : tout est collecté et analysé à grande échelle. Là où un attaquant humain mettrait des heures à comprendre le contexte, la plateforme est capable de traiter des milliers de messages en quelques instants.
C’est ici que l’IA joue un rôle décisif. Elle ne se contente pas d’assister, elle structure l’attaque. Elle identifie les conversations liées à des transactions financières, cartographie les relations entre interlocuteurs, et comprend les dynamiques internes de l’entreprise. Ensuite, elle génère des messages frauduleux qui s’insèrent parfaitement dans les échanges existants, en reprenant le ton, le style et le contexte métier.
On ne parle plus d’un simple phishing, mais d’une fraude contextualisée, crédible, et surtout scalable.
Ce qui rend la menace encore plus préoccupante, c’est son industrialisation. La plateforme fonctionne comme un véritable service : interface d’administration, automatisation des campagnes, bots Telegram pour piloter les opérations, et infrastructure cloud flexible. Même des attaquants peu expérimentés peuvent ainsi mener des campagnes sophistiquées.
Le risque est clair : des attaques plus crédibles et beaucoup plus difficiles à détecter. Car tout repose sur des accès légitimes et des comportements qui, en apparence, ne déclenchent aucune alerte.
Face à cela, les approches traditionnelles montrent leurs limites. Le MFA, à lui seul, ne suffit plus. La compromission ne se voit pas au moment de la connexion, mais dans l’usage qui en est fait ensuite.
La défense doit donc évoluer.
Il devient essentiel de surveiller les comportements post-authentification, notamment l’utilisation des API comme Microsoft Graph ou les accès massifs aux boîtes mail. Les tokens OAuth doivent être considérés comme des actifs sensibles, au même titre que les identifiants. En parallèle, les processus métiers critiques, notamment financiers, doivent intégrer des mécanismes de validation hors bande pour limiter l’impact d’une compromission.
Partager :