Kali365 permet à n'importe qui l'achète de voler vos jetons de session Microsoft 365. Cette infrastructure de Phishing-as-a-Service cible aujourd'hui les entreprises du monde entier. Les agents du FBI diffusent une alerte de sécurité urgente pour la juguler.

Selon le FBI, Kali365 abaisse la barrière à l'entrée, offrant aux attaquants moins techniques un accès à des leurres de phishing générés par l'IA, à des modèles de campagnes automatisés, à des tableaux de bord de suivi ciblés en temps réel des individus/entités et à des capacités de capture de jetons OAuth - ©Piotr Swat / Shutterstock
Selon le FBI, Kali365 abaisse la barrière à l'entrée, offrant aux attaquants moins techniques un accès à des leurres de phishing générés par l'IA, à des modèles de campagnes automatisés, à des tableaux de bord de suivi ciblés en temps réel des individus/entités et à des capacités de capture de jetons OAuth - ©Piotr Swat / Shutterstock

Le piratage des comptes professionnels est monnaie courante avec le détournement des protocoles d'authentification. Aujourd'hui, la validation multifacteur classique n'est plus assez robuste contre les intrusions réseau. Les méthodes traditionnelles de détection échouent devant l'utilisation détournée de fonctionnalités officielles et légitimes.

Les entreprises équipées de Microsoft 365 doivent donc bétonner son accès. Avec un e-mail piégé, un hacker est capable de contourner les barrières de sécurité sans déclencher d'alerte. C'est souvent par là que Kali365 perce le bouclier MFA.

BitdefenderBitdefender
8.4/10

Offre partenaire

La solution tout-en-un pour protéger votre entreprise

Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !

Protégez votre entreprise

Offre partenaire

Un piratage malin qui utilise les outils officiels de Microsoft

Le FBI explique le mécanisme en quatre temps de cette campagne de Phising-as-a-Service dans son alerte.

D'abord, la victime reçoi un e-mail piégé. Le message imite une simple alerte de partage pour un fichier OneDrive ou SharePoint. Pas de lien suspect à l'horizon, mais un texte court avec un code à huit caractères. L'expéditeur vous demande alors de visiter la page de validation officielle de Microsoft pour taper ce code. C'est la technique du device code phishing. L'employé va sur le vrai site de l'éditeur, entre les chiffres et valide son identité. Sans le savoir, cette approbation connecte l'appareil du pirate au compte de l'entreprise. Avec le kit Kali365, les clients du service interceptent immédiatement le jeton de connexion OAuth. Un air de déjà-vu puisque Microsoft 365 avait déjà été victime de ce genre de campagne en décembre dernier.

L'intrus accède alors à Outlook ou Teams sans jamais avoir saisi de mot de passe.

Les créateurs du kit louent cette solution clé en mains sur Telegram à n'importe quel apprenti hacker. Un simple abonnement donne accès à un panneau de contrôle pour suivre les comptes piratés en temps réel. En arrière-plan, des options automatisées créent tout de suite des règles de transfert discret pour les e-mails reçus. Les filtres de sécurité classiques ne voient rien. Pourquoi ? Parce que tout le flux transite par les serveurs et les protocoles légitimes de Microsoft.

À l'origine, Microsoft a créé ce système de code pour connecter les appareils sans clavier, comme les télévisions ou les consoles. Les pirates profitent de cette solution pratique pour piéger les utilisateurs.

À l'origine, Microsoft a créé ce système de code pour connecter les appareils sans clavier, comme les télévisions ou les consoles. Les pirates profitent de cette solution pratique pour piéger les utilisateurs - ©Koshiro K / Shutterstock

Des équipes techniques débordées et des assureurs qui ferment le robinet

À cause de cette méthode, les centres de surveillance informatique se retrouvent débordés. Des milliers d'alertes quotidiennes saturent les consoles des analystes. Pour débusquer Kali365, il faut vérifier manuellement chaque connexion et chaque changement d'adresse IP sur Azure Active Directory. Cela revietn à comparer l'emplacement géographique de la demande avec les habitudes de l'employé, soit des heures d'analyse, qui ralentissent d'autant le temps de réaction aux autres attaques.

Sur le plan financier, ce piratage bloque l'indemnisation des assurances cyber. Pour couvrir un sinistre, les compagnies imposent l'activation de la double authentification. En revanche, le vol de jetons OAuth contourne cette barrière sans la briser. Après un détournement de fonds, les experts examinent la configuration des accès cloud. Sans un blocage strict de ces protocoles pour les postes de bureau, l'assureur refuse le remboursement. Les pertes directes se chiffrent parfois en millions d'euros pour les structures piégées.

Pour contrer Kali365, les responsables informatiques doivent couper l'option dans le panneau d'administration cloud. Le FBI recommande de limiter cette méthode de connexion aux seuls terminaux de l'entreprise. Dans les infrastructures critiques, il vaut mieux renforcer avec des clés de sécurité physiques. On conseille aussi de réduire la durée de vie des sessions pour déconnecter les intrus plus vite. Et en cas de doute, une révocation globale de tous les jetons actifs élimine les accès frauduleux.

Source : The Register

À découvrir
Meilleur antivirus : le comparatif en 2026
Comparatifs services