Ce qui s'est passé
En février 2026, une plateforme d'arnaque appelée EvilTokens a commencé à fonctionner. En seulement cinq semaines, elle a réussi à pirater plus de 340 organisations qui utilisent Microsoft 365 (Outlook, Teams, OneDrive, etc.) dans cinq pays différents.
Voici comment ça marche : l'attaquant envoie à tes collaborateurs un email qui semble venir de Microsoft. Le message demande d'entrer un code court sur un faux site qui ressemble trait pour trait à microsoft.com. Quand ton employé clique et entre le code, il autorise accidentellement l'attaquant à accéder à tous ses fichiers, emails et données — et ce, même s'il a activé la double authentification (le code par SMS).
C'est particulièrement dangereux parce que la technique contourne la protection la plus populaire : le deuxième code de sécurité. L'attaquant n'a pas besoin de deviner le mot de passe, il passe directement par la porte déverrouillée que le collaborateur lui-même ouvre.
Est-ce que ça me concerne ?
Oui, si tu utilises Microsoft 365 avec tes collaborateurs (Outlook, Teams, OneDrive, SharePoint). Même si tu as configuré la double authentification, tu restes exposé à cette technique.
Les petites entreprises et artisans sont particulièrement ciblés parce que tu as moins de ressources pour former tes équipes à reconnaître les faux emails. Un seul collaborateur qui clique sur le lien suffit pour que l'attaquant accède à toute ta messagerie, tes devis, tes factures, tes données clients.
Que faire maintenant ?
- Forme tes collaborateurs immédiatement. Envoie-leur un message clair : "Si tu reçois un email de Microsoft te demandant un code, ne clique pas. Appelle le support IT directement." Fais-le cette semaine, pas le mois prochain.
- Active les protections avancées dans Microsoft 365. Demande à ton responsable IT (ou à ton hébergeur) d'activer les alertes de connexion suspecte. Microsoft a des outils pour bloquer ces tentatives — ils doivent être configurés.
- Configure une liste blanche d'applications. Dis à Microsoft 365 quelles applications tes collaborateurs peuvent utiliser légalement. Cela rend beaucoup plus difficile pour l'attaquant d'accéder à tes données même s'il a volé les identifiants.
- Mets en place une authentification par application mobile. C'est plus sûr qu'un code par SMS. Quand quelqu'un essaie de se connecter, une notification apparaît sur le téléphone du collaborateur — impossible de tricher.
- Demande à tes collaborateurs de signaler les emails suspects. Crée un processus simple : s'ils reçoivent quelque chose de suspect, ils te l'envoient avant de cliquer.
Et si je ne suis pas sûr ?
Ces réglages peuvent sembler compliqués si tu n'es pas technicien. Contacte ton prestataire IT ou ton hébergeur pour qu'il vérifie que ta configuration Microsoft 365 a toutes les protections nécessaires. C'est un investissement petit (quelques heures de travail) pour éviter un piratage massif.
Si tu veux vérifier rapidement que tes collaborateurs ne sont pas encore piratés, demande-leur de vérifier dans Microsoft 365 les "appareils connectés" et les "applications avec accès". Les applications bizarres n'auraient pas dû être là.