Depuis avril 2026, une plateforme de piratage, baptisée Kali365, est devenue de plus en plus populaire dans le milieu de la cybercriminalité. Mise en avant sur des canaux Telegram, la plateforme est vendue par le biais d’un abonnement, à partir de 250 dollars par mois ou 2 000 dollars à l’année. L’outil s’inscrit dans la tendance des PhaaS (Phishing-as-a-Service) ces kits de phishing clés en main qui facilitent la vie des cybercriminels.
À lire aussi : Microsoft démasque une cyberattaque qui se cache dans les résultats Google et les réponses de l’IA
Des centaines d’attaques en quelques semaines
En souscrivant à un abonnement, n’importe quel cybercriminel, même sans la moindre compétence technique, peut lancer des attaques phishing redoutables destinées à prendre le contrôle de comptes Microsoft 365. La boîte à outils de Kali365 comprend notamment des mails de phishing générés par l’intelligence artificielle, des modèles de campagnes automatisés, des tableaux de bord en temps réel et surtout, un système de capture de jetons de connexion.
Selon l’avertissement publié par le FBI, des centaines d’attaques ont déjà été documentées depuis avril 2026. Parmi les cibles, on trouve de nombreuses organisations en Amérique du Nord et en Europe qui utilisent Microsoft 365 dans le cadre de leurs activités. Comme le soulignent les chercheurs de MalwareBytes, qui relaient l’avertissement du FBI, le kit est surtout taillé pour pirater des entreprises, mais il représente aussi une sérieuse menace pour les « utilisateurs individuels de Microsoft 365 ».
À lire aussi : Pourquoi Microsoft enterre la double authentification par SMS
Un mécanisme officiel exploité par les pirates
L’offensive commence par un e-mail frauduleux. Le courriel est déguisé en notification provenant d’un service cloud, comme un partage de document Teams, une alerte OneDrive, ou encore une invitation à une réunion. Le mail contient un code à usage unique. Le message demande à l’utilisateur de se rendre sur « microsoft.com/devicelogin » pour y entrer le code. Il s’agit bien d’un domaine officiel Microsoft, sans la moindre faute d’orthographe dans l’URL. C’est là que Kali365 se montre particulièrement redoutable et vicieux. En effet, le kit n’utilise pas de copies factices du site officiel de Microsoft. La plateforme de piratage exploite plutôt un mécanisme officiel et légitime du groupe.
Lorsque l’utilisateur entre le code sur la vraie page Microsoft, il ne se connecte pas à son propre compte. En fait, il va sans s’en rendre compte autoriser l’appareil du pirate à se connecter à son compte Microsoft. L’astuce s’appuie sur le flux d’authentification par code d’appareil. C’est un système utilisé par Microsoft pour connecter des appareils qui n’ont pas de clavier, comme une smart TV ou une imprimante connectée, à un compte en ligne. L’appareil en question affiche un code, l’utilisateur le saisit sur son téléphone ou son PC, et la connexion est établie.
En l’occurrence, les hackers récupèrent ce code et l’envoient par mail à l’utilisateur, glissé dans une fausse notification. De son côté, Microsoft ne voit rien d’anormal à la connexion. Aux yeux des serveurs de l’entreprise, la démarche est parfaitement légitime et montre simplement qu’un utilisateur a connecté un appareil à son compte Microsoft 365. En se servant des outils intégrés à Kali365, l’attaquant va alors s’emparer d’un jeton OAuth, c’est-à-dire un jeton d’accès de session, qui va lui ouvrir les portes d’Outlook, de Teams et de OneDrive. Toutes les applications cloud connectées au compte se retrouvent potentiellement entre les mains des cybercriminels. L’attaquant peut en profiter pour « envoyer des e-mails de hameçonnage à des collègues, des clients, des amis ou des proches depuis le compte de la victime », ce qui accroît la portée de l’attaque, met en garde MalwareBytes.
Une double authentification inutile
Dans le cas de ce type de cyberattaque, la présence d’un système d’authentification multifactorielle ne sert absolument à rien. Cette protection est en effet prévue pour empêcher un attaquant de se connecter à votre place à votre compte. Or, aux yeux de Microsoft, c’est vous-même qui avez accordé l’accès de l’appareil à votre compte Microsoft 365. Sur le papier, il n’y a donc aucune raison pour que Microsoft exige un code de connexion supplémentaire. Les codes supplémentaires ou les applications d’authentification « ne servent plus à rien une fois que le jeton a été compromis », explique MalwareBytes.
Comment se protéger contre Kali365 ?
Dans leur avertissement du mois dernier, les agents du FBI recommandent aux utilisateurs Microsoft 365 de prendre des mesures fortes pour se protéger contre Kali365. Le FBI conseille de bloquer le flux d’authentification par code d’appareil dans l’administration Microsoft, en se rendant dans les politiques d’accès conditionnel de la section Entra ID. Cette option permet de désactiver ou de restreindre le mécanisme exploité par Kali365 pour orchestrer des cyberattaques.
De leur côté, les chercheurs de MalwareBytes de ne jamais saisir un « code sur une page de connexion Microsoft simplement parce qu’un e-mail ou un message vous y invite ». Si un e-mail ou un message vous demande d’en entrer un sans que vous ayez rien fait en amont, il s’agit très probablement d’une tentative de piratage. Avant de valider quoi que ce soit, il faut toujours lire scrupuleusement chaque instruction. Par ailleurs, il est recommandé de surveiller régulièrement les appareils connectés à votre compte sur « account.microsoft.com/devices ». Si un appareil ou une session vous semble inconnu, il faut le supprimer immédiatement, et changer le mot de passe du compte de toute urgence.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
