Une nouvelle plateforme de phishing baptisée Kali365 menace les utilisateurs de Microsoft 365 en contournant les protections habituelles sans voler directement leurs mots de passe. Signalée par le FBI en avril 2026, elle exploite un mécanisme légitime d’authentification pour récupérer des tokens d’accès. Le risque concerne aussi bien les entreprises que les particuliers, avec des campagnes déjà observées à grande échelle.
Kali365 rend les attaques plus faciles à lancer
Kali365 appartient à la catégorie du phishing comme service, ou PhaaS. Ce modèle permet à des cybercriminels d’utiliser des outils prêts à l’emploi pour lancer des attaques, même sans compétences techniques avancées.
Selon l’alerte du FBI, la plateforme circule via des canaux Telegram. Elle propose des modèles automatisés et des messages de phishing générés avec l’aide de l’intelligence artificielle.
Le danger vient de cette industrialisation. Les campagnes peuvent être déployées plus vite, toucher davantage de victimes et cibler plus facilement les environnements Microsoft 365.
Les pirates ne cherchent pas forcément le mot de passe
Kali365 ne repose pas d’abord sur le vol classique d’identifiants. La plateforme abuse d’un protocole officiel de Microsoft : OAuth 2.0 Device Authorization.
Ce mécanisme a été conçu pour connecter des appareils qui ne disposent pas toujours d’un clavier, comme des téléviseurs connectés ou des imprimantes. L’utilisateur reçoit un code court, puis le saisit sur une page officielle de connexion Microsoft.
Les attaquants détournent ce fonctionnement. Ils lancent à distance une demande d’autorisation, génèrent un code de liaison, puis incitent la victime à saisir ce code via un e-mail ou un message frauduleux.
Une vraie page Microsoft peut rendre le piège crédible
Le scénario est difficile à repérer, car la victime peut être envoyée vers une véritable page de connexion Microsoft. Elle saisit le code fourni par les attaquants, puis valide l’authentification, y compris la double vérification si elle est demandée.
Une fois cette étape terminée, Microsoft émet un token d’accès OAuth. Kali365 le récupère automatiquement.
Ce token permet ensuite aux cybercriminels d’accéder au compte Microsoft 365 de la victime sans nouvelle demande de mot de passe. L’opération peut donc ressembler à une connexion normale, puisqu’elle passe par les canaux officiels d’authentification.
Arctic Wolf signale deux méthodes d’attaque
La société de cybersécurité Arctic Wolf a détecté des campagnes visant des entreprises dans plusieurs pays. D’après son analyse, Kali365 repose sur une structure sophistiquée et propose deux modes opératoires particulièrement efficaces.
Le premier est le phishing par code d’appareil. Il consiste à manipuler le flux OAuth pour voler les tokens d’identité de l’utilisateur.
Le second est appelé Cookie Link. Il s’agit d’une attaque de type Adversary-in-the-Middle, dans laquelle un serveur proxy contrôlé par les attaquants intercepte les cookies de session du navigateur après une authentification légitime.
Dans les deux cas, l’objectif reste le même : prendre le contrôle d’un compte à distance et contourner des protections de sécurité classiques.
Le FBI recommande de bloquer certains flux d’authentification
Face à cette menace, le FBI appelle les administrateurs système et les responsables de sécurité à revoir leurs réglages Microsoft 365.
L’agence recommande de restreindre ou de bloquer les flux d’authentification par code d’appareil à l’aide de politiques d’Accès conditionnel. Elle conseille aussi d’auditer l’usage actuel de ces codes dans les environnements d’entreprise.
Le FBI invite également à refuser les directives de transfert permettant à une session active de passer d’un appareil à un autre.
Microsoft 365 reste exposé à des attaques plus discrètes
Kali365 ne casse pas directement les mots de passe Microsoft 365. La plateforme exploite plutôt la confiance accordée à des mécanismes créés pour simplifier la connexion entre appareils.
C’est ce qui rend l’attaque plus discrète. Un utilisateur peut croire suivre une procédure normale, alors qu’il permet aux attaquants de récupérer un token valide.
Pour les entreprises, le risque ne se limite donc pas aux mots de passe faibles ou aux comptes mal protégés. Les codes d’appareil, les sessions actives et les accès OAuth doivent aussi faire l’objet d’une surveillance renforcée.
Je m’appelle Samuel Le Goff. À 38 ans, je suis l’actualité du numérique depuis plus de 14 ans. Aujourd’hui, je m’intéresse particulièrement aux smartphones et aux usages concrets de l’intelligence artificielle, que je traite à travers des contenus clairs et accessibles sur Menow.fr.
