Internet évolue comme une surface d’attaque plus rapide que la plupart des playbooks de sécurité ne parviennent à être actualisés. Par conséquent, suivre des alertes comme celles du FBI et les traduire rapidement en configurations concrètes devient essentiel. Dans l’environnement opérationnel, c’est ce qui distingue une équipe réactive d’une équipe qui anticipe.
Le FBI a publié en mai 2026 une alerte urgente concernant une plateforme de phishing en tant que service nommée Kali365, et ce qu’elle fait est techniquement perturbant: elle contourne l’authentification multifactorielle (MFA) sans nécessiter votre mot de passe. Si vous travaillez avec des environnements Microsoft 365, lisez attentivement.
Internet: Le Phishing-as-a-Service n’Est pas une Nouvelle Idée, Mais Kali365 a Changé la Donne
Des plateformes de Phishing-as-a-Service existent depuis des années. Toutefois, Kali365 apporte une dimension nouvelle: il ne cherche pas à voler des identifiants. Au contraire, il capture des jetons OAuth, qui sont les clés de session utilisées par Microsoft 365 pour maintenir un appareil authentifié. En d’autres termes, alors que vous activez le MFA en pensant être protégé, l’attaquant bénéficie déjà d’un accès persistant à votre compte.
La plateforme a été détectée pour la première fois en avril 2026 et, depuis lors, elle est principalement distribuée via Telegram. Toute personne disposant d’un abonnement au service, même sans compétences techniques avancées, peut lancer des campagnes complètes avec des tableaux de bord en temps réel et des modèles automatisés.
Comprendre l’Attaque sur Internet: Le Device Code Flow comme Vecteur d’Entrée
Pour comprendre Kali365, il est essentiel de saisir le Device Code Flow, un mécanisme légitime d’OAuth 2.0. Il a été conçu pour authentifier des dispositifs sans navigateur, tels que les téléviseurs intelligents et les CLI. Le problème survient lorsque mal configuré: cela devient une porte d’entrée ouverte.
Voyons comment l’attaque se déroule concrètement:
Étape 1 : Le leurre arrive par courrier électronique
L’attaquant envoie un courriel se faisant passer pour un service de productivité en nuage. Il ressemble donc à une notification habituelle provenant de SharePoint, OneDrive ou d’un outil de collaboration. Dans le message, il y a un code dispositif accompagné d’instructions pour accéder à une page légitime de Microsoft et y saisir le code.
Étape 2 : La victime s’authentifie au bon endroit… mais de la mauvaise manière
La page vers laquelle la victime est dirigée est réelle. Il s’agit de microsoft.com, sans redirections suspectes. En saisissant le code, toutefois, l’utilisateur autorise involontairement le dispositif de l’attaquant à accéder à son compte. À ce stade, aucune donnée de mot de passe n’est transmise.
Étape 3 : Le jeton est capturé
Kali365 récupère l’access token et le refresh token générés lors de cette authentification. Ainsi, l’attaquant obtient un accès continu à l’environnement Microsoft 365 de la victime, y compris Outlook, Teams et OneDrive, sans mot de passe ni étape MFA supplémentaire.
Étape 4 : Persistance sans traces évidentes
Comme l’accès se fait par le biais de jetons valides, les journaux de sécurité traditionnels n’identifient souvent pas la session comme anormale. Par conséquent, l’attaquant peut rester dans l’environnement pendant des jours ou des semaines sans déclencher d’alertes.
Pourquoi le MFA n’a Pas Résolu le Problème ?
C’est le point qui dérange le plus les équipes de sécurité: le MFA est activé, l’utilisateur suit le flux correctement, et pourtant l’attaque réussit.
La raison est que le Device Code Flow authentifie le dispositif avant que la session MFA ne soit liée à un utilisateur précis. Par conséquent, en saisissant le code, la victime complète le MFA sur l’appareil de l’attaquant sans s’en rendre compte. En d’autres termes, le MFA a été contourné non par une vulnérabilité technique, mais par une faille de conception de l’expérience utilisateur, qui est l’absence de contexte visuel clair sur ce que représente le code.
Le Rôle de l’IA dans l’Escalade du Kali365 sur Internet
Ce qui distingue Kali365 des kits plus anciens est l’utilisation de l’IA pour générer les leurres sur Internet. Ainsi, les e-mails de phishing produits par la plateforme sont plus convaincants car ils s’ajustent au contexte de la victime, au secteur de l’entreprise et même au ton de communication attendu au sein de l’organisation.
Cela signifie que les filtres basés sur des motifs textuels ou l’analyse de l’expéditeur deviennent moins efficaces. De plus, la plateforme offre un suivi en temps réel, si bien que l’attaquant sait exactement quand la victime a ouvert l’e-mail, accédé à la page et quand le jeton a été capturé.
Comment Bloquer l’Attaque dans Votre Environnement Microsoft 365
Le FBI recommande des actions spécifiques pour les équipes de sécurité et les administrateurs système. Ci-dessous les principales, avec un contexte technique :
Établir une politique d’accès conditionnel qui bloque le Device Code Flow
Dans Azure AD, il est possible de créer une politique d’accès conditionnel qui bloque explicitement le grant type « device_code ». Cependant, avant de l’appliquer, il faut auditer quels processus légitimes dépendent de ce flux, comme les intégrations avec des CLI, des bots ou des dispositifs sans navigateur.
Bloquer le transfert d’authentification entre appareils
Kali365 peut également utiliser le transfert d’authentification pour déplacer la session d’un ordinateur vers un appareil mobile. Par conséquent, activer la politique qui bloque ce comportement dans Entra ID constitue une couche de protection supplémentaire.
Maintenir les comptes d’accès d’urgence en dehors des politiques restrictives
Si vous bloquez le Device Code Flow globalement, prévoyez des exemptions pour les comptes « break-glass ». Sinon, un incident pourrait entraîner un verrouillage complet de l’environnement.
Réviser les sessions actives et les dispositifs enregistrés
Après avoir configuré les politiques, auditez les journaux de connexion dans Microsoft Entra pour repérer les authentifications via device code déjà réalisées. En effet, l’attaque peut être active avant que les politiques ne soient mises en place.
Ce Qu’il Faut Signaler et Où
Si votre environnement a été compromis ou si vous avez identifié des tentatives d’attaque selon le modèle Kali365, le FBI recommande d’ouvrir une plainte auprès de IC3 sur www.ic3.gov. Incluez dans le rapport les en-têtes des e-mails de phishing, les journaux de connexion avec IP, l’heure et la localisation, et tout appareil ou session non reconnu qui apparaît sur le tableau de bord de Microsoft 365.
De plus, la CISA a publié un guide intitulé « Phishing Guidance: Stopping the Attack Cycle at Phase One » avec des pratiques de mitigation spécifiques à ce vecteur. À lire pour les équipes de sécurité qui souhaitent structurer une réponse plus complète.
Le Jeton est le Nouveau Mot de Passe de l’Internet
Kali365 montre clairement que l’idée selon laquelle « protéger le mot de passe suffit » est dépassée. Aujourd’hui, c’est le jeton qui compte, et celui qui contrôle le jeton contrôle la session. Par conséquent, les équipes de développement et de sécurité doivent revoir comment le Device Code Flow est configuré dans leurs environnements avant d’en découvrir les effets les plus graves.
Suivez notre profil sur Instagram !
