Kali365, une plateforme de phishing-as-a-service (PhaaS) découverte en avril 2026, est devenue une menace importante pour les utilisateurs de Microsoft 365. L’alerte a été lancée le 21 mai 2026 par le Federal Bureau of Investigation (FBI).
Vendue à 250 dollars par mois sur Telegram, cette plateforme permet aux cybercriminels de lancer des campagnes de phishing sophistiquées. Les victimes sont des utilisateurs des comptes professionnels Microsoft 365, notamment Outlook, Teams ou OneDrive.
Selon Microsoft et plusieurs cabinets de cybersécurité, des centaines d’organisations ont déjà été compromises seulement en avril 2026. Le géant de Redmond confirme observer des centaines de comptes piégés chaque jour, avec une préférence marquée pour les profils liés à la paie et à la comptabilité, la santé, l’éducation ou encore les administrations publiques
Contourner la double authentification : le cœur de Kali365
En effet, Kali365 ne fonctionne pas comme les attaques de phishing classiques qui cherchent à voler les identifiants et mots de passe. Elle cible directement les jetons OAuth aussi appelés “tokens de session”. Ce sont ces jetons qui permettent à un navigateur de rester connecté à Microsoft 365 sans ressaisir le mot de passe à chaque action. Ainsi, en récupérant ces accès temporaires, les pirates peuvent entrer dans un compte Microsoft 365 comme s’ils étaient l’utilisateur légitime. Ils arrivent ainsi à contourner même l’authentification multifacteur (MFA), souvent considérée comme une couche de sécurité supplémentaire efficace.
Le mode opératoire repose sur une technique appelée “device code phishing”. Et il fonctionne en 4 étapes. D’abord, l’attaquant envoie un courriel se faisant passer pour un service Microsoft ou un outil de partage de documents. Le message contient un code de vérification et invite la victime à le saisir sur une véritable page Microsoft. Pensant sécuriser son compte ou accéder à un document, l’utilisateur entre le code sur la page officielle.
Ce geste autorise en réalité l’appareil du pirate à accéder au compte Microsoft 365 de la victime. Une fois les jetons OAuth récupérés, l’attaquant a un accès libre aux informations de la victime. Il peut consulter les courriels Outlook, accéder aux fichiers OneDrive ou encore lire les conversations Teams. Et ceci, sans avoir besoin du mot de passe ni d’un nouveau code d’authentification multifacteurs.
Le FBI indique qu’avec Kali365, même des individus ayant peu de compétences techniques peuvent lancer des campagnes grâce à des modèles prêts à l’emploi.
Les recommandations du FBI
Face à cette menace, le FBI recommande plusieurs mesures de protection aux entreprises et aux particuliers.
Pour les particuliers, l’agence américaine recommande d’abord de toujours vérifier que l’URL de connexion commence par login.microsoftonline.com. Ensuite, il ne faut jamais cliquer sur un lien de connexion reçu par e-mail et accéder directement au site ou à l’application. Si vous recevez un code de vérification Microsoft sans vous connecter, signalez immédiatement le courriel comme spam. Enfin, vérifiez régulièrement les sessions actives de votre compte.
Pour les entreprises, les administrateurs IT doivent auditer l’utilisation du flux « code de l’appareil ». L’objectif étant d’identifier les dépendances métier légitimes et déployer des politiques d’accès conditionnel visant à bloquer ce flux, sauf pour les processus essentiels. Le FBI recommande également de bloquer les politiques de transfert d’authentification entre appareils et d’exclure les comptes d’accès d’urgence de ces restrictions afin d’éviter tout blocage critique.
Un autre réflexe important : si un code de vérification Microsoft est demandé alors qu’aucune connexion n’a été initiée, il faut immédiatement interrompre l’opération et signaler le message comme suspect.
Enfin, si vous avez été victime de Kali365, il faudra déposer une plainte auprès de l’Internet Crime Complaint Center (IC3) sur www.ic3.gov.
Consultez le communiqué officiel du FBI sur le site : https://www.ic3.gov/PSA/2026/PSA260521
%20d%C3%A9couverte%20en%20avril%202026,%20est%20devenue%20une%20menace%20importante%20pour%20les%20utilisateurs){kind=link}