Le FBI a publié un article warning sur une plateforme de phishing en pleine expansion appelée Kali365, utilisée pour compromettre les comptes Microsoft 365 tout en contournant les protections d’authentification multifacteur.
Selon une nouvelle annonce de service public du FBI publiée via l’Internet Crime Complaint Center (IC3), Kali365 est apparu pour la première fois en avril 2026 et est principalement distribué via les canaux Telegram utilisés par les cybercriminels. La plateforme permet aux attaquants de voler des jetons d’accès Microsoft 365 OAuth sans capturer directement de mots de passe ou de codes MFA.
Le FBI a indiqué que Kali365 abaisse la barrière pour les cybercriminels moins qualifiés en fournissant une infrastructure de phishing prête à l’emploi, des appâts générés par IA, des modèles de campagnes automatisés, des tableaux de bord de suivi des victimes et des outils de capture de jetons.
Contrairement aux attaques de phishing traditionnelles qui reposent sur de fausses pages de connexion, Kali365 abuse du processus légitime d’authentification des appareils de Microsoft. Dans une attaque typique, les victimes reçoivent des e-mails se faisant passer pour des services cloud ou de partage de documents de confiance. Les messages contiennent des instructions dirigeant les utilisateurs vers la vraie page de vérification de Microsoft et leur demandant d’entrer un code de dispositif fourni.
Une fois le code saisi par la saisie, les victimes autorisent sans le savoir l’appareil de l’attaquant à accéder à leur environnement Microsoft 365. Les attaquants capturent ensuite les jetons d’accès OAuth et de rafraîchissement, permettant un accès persistant à des services comme Outlook, Teams et OneDrive sans déclencher d’autres invites MFA.
Les chercheurs en sécurité décrivent cette technique comme le « phishing par code de périphérique », une méthode d’attaque en pleine expansion ciblant les systèmes d’authentification cloud. Parce que la connexion se fait via une infrastructure Microsoft légitime, les outils traditionnels de détection du phishing peinent souvent à identifier l’activité comme malveillante.
Des chercheurs d’Arctic Wolf ont auparavant lié Kali365 à des campagnes à grande échelle impactant des organisations dans les secteurs de la fabrication, de la santé, de la finance, du gouvernement et de l’éducation en Amérique du Nord et en Europe. L’entreprise a indiqué que les attaquants utilisaient des leurres de phishing réalistes combinés au flux légitime de connexion des appareils de Microsoft pour obtenir des jetons d’accès persistants.
Les experts en cybersécurité avertissent que les jetons volés peuvent offrir un accès à long terme aux environnements d’entreprise et peuvent être utilisés pour la compromission des e-mails professionnelles, la reconnaissance interne, le vol de données, la fraude financière et le déploiement de ransomwares.
Le FBI a recommandé aux organisations de restreindre ou de désactiver les flux d’authentification des codes des appareils lorsque possible et de mettre en place des politiques d’accès conditionnel qui bloquent les tentatives de connexion risquées. L’agence a également conseillé aux entreprises de surveiller les autorisations d’application OAuth, d’examiner les événements d’authentification suspects et de révoquer immédiatement les jetons non autorisés après avoir détecté une activité de compromission.
L’agence a également averti les utilisateurs de rester prudents face aux courriels non sollicités demandant des actions d’authentification, même lorsque des liens pointent vers des domaines Microsoft légitimes.
Kali365 rejoint un écosystème croissant d’opérations de phishing en tant que service qui regroupent des techniques d’attaque avancées sur des plateformes par abonnement vendues via Telegram et des communautés cybercriminelles souterraines. Les chercheurs affirment que ces services rendent les attaques sophistiquées de prise de contrôle de comptes de plus en plus accessibles aux acteurs inexpérimentés.