Lecture Zen Résumer l'article L'étude de Cisco Talos révèle ARToken comme une interface de gestion sophistiquée pour les cybercriminels, démontrant la structuration complexe de l'écosystème EvilTokens. EvilTokens, identifié initialement par Sekoia, utilise des méthodes avancées pour dérober des identifiants en contournant les mesures de sécurité habituelles, ciblant quotidiennement des centaines d'organisations. Les entreprises sont exhortées à renforcer leurs mesures de sécurité, notamment en désactivant les connexions par code d'appareil et en surveillant les accès atypiques pour contrer ces menaces sophistiquées.
L'étude de Cisco Talos révèle ARToken comme une interface de gestion sophistiquée pour les cybercriminels, démontrant la structuration complexe de l'écosystème EvilTokens. EvilTokens, identifié initialement par Sekoia, utilise des méthodes avancées pour dérober des identifiants en contournant les mesures de sécurité habituelles, ciblant quotidiennement des centaines d'organisations. Les entreprises sont exhortées à renforcer leurs mesures de sécurité, notamment en désactivant les connexions par code d'appareil et en surveillant les accès atypiques pour contrer ces menaces sophistiquées.
Recevez tous les soirs un résumé de l’actu importante avec Le Récap’ Une étude de Cisco Talos publiée le 1er juillet 2026 met en lumière ARToken, un panneau de gestion associé à la campagne de phishing EvilTokens. Un élément qui suggère un niveau de structuration plus avancé de cet écosystème malveillant. Si l’étude de Cisco Talos a été publiée le 1er juillet 2026, la menace cyber qu’elle décrit est apparue un peu plus tôt.
Les premières traces remontent à mars 2026. À cette époque, la société de cybersécurité française Sekoia met au jour EvilTokens, un service de « phishing-as-a-service », comprenez un kit clé en main loué à des criminels, à la manière d’un logiciel en abonnement. Son but principal ?
Permettre aux hackers de détourner une fonctionnalité légitime de Microsoft, le « code d’appareil », un système normalement destiné à connecter un périphérique externe, mais qui permet ici de récupérer les accès d’une victime sans jamais avoir besoin de son mot de passe ni de la double authentification. En avril, Microsoft confirme l’ampleur du problème : « 10 à 15 campagnes distinctes » sont lancées chaque jour. Elles visent des centaines d’organisations et reposent toutes sur EvilTokens.
L’étude de Talos montre que l’outil dépasse désormais le cadre d’un simple kit d’hameçonnage et s’inscrit dans un ensemble plus structuré, avec ses propres outils et modes d’organisation. Page de connexion vers le portail ARToken // Source : Talos Intelligence Ce que Talos a trouvé En enquêtant sur une intrusion, les chercheurs expliquent être remontés jusqu’à « ARToken », une véritable interface de gestion pour cybercriminels, avec plus de 80 fonctions accessibles. Elle partage un code technique identique à celui d’EvilTokens, preuve qu’il s’agit du même écosystème.
Deux éléments inquiètent particulièrement. D’abord, le vol ne s’arrête pas à la connexion initiale : le kit peut renouveler indéfiniment les accès volés grâce à un mécanisme appelé PRT (Primary Refresh Token), une sorte de clé maîtresse qui survit même si la victime change son mot de passe. Ensuite, une fois dans la boîte mail, l’outil permet de lire les messages, d’en envoyer à la place de la personne ciblée, et surtout de créer des règles invisibles pour supprimer ou masquer les traces de l’attaque, rendant la fraude beaucoup plus difficile à repérer.
Talos a aussi retrouvé un exemple concret de mail piège, daté du 20 avril 2026 : une fausse relance de facture usurpant un vrai fournisseur, avec un lien qui affiche une adresse SharePoint légitime mais qui redirige, une fois cliqué, vers une copie contrôlée par les attaquants. Exemple de mail issu de la campagne EvilTokens // Source : Talos Intelligence Ce que l’on sait, et comment se protéger La menace rôde donc toujours et Sekoia avait recensé, dès avril 2026, environ 500 domaines et plus de 1 000 pages de phishing actives sous l’ombrelle EvilTokens. Talos ne donne pas de nouveau chiffre propre à ARToken.
Pour s’en prémunir, les entreprises peuvent désactiver la connexion par code d’appareil si elle n’est pas utilisée, restreindre son usage via des règles d’accès conditionnel, et surveiller les connexions inhabituelles. Côté utilisateurs, le réflexe reste le même que pour toute campagne de phishing, à savoir, vérifier la véritable destination d’un lien avant de cliquer, plutôt que de se fier au texte affiché. Quel est le meilleur Gestionnaire de mots de passe ?
Meilleur Gestionnaire de Mots de Passe : Comparatif 2026 par Numerama Retrouvez nos tests complets Toute l'actu tech en un clin d'œil Ajoutez Numerama à votre écran d'accueil et restez connectés au futur ! Installer Numerama Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer ! Crédit photo de la une : montage Numerama Signaler une erreur dans le texte Cybercriminalité Entreprise Sécurité informatique B2B Ne plus voir cette pub Ne plus voir cette pub