Kali365 : le kit de phishing qui contourne le MFA Microsoft 365 (alerte FBI)
Le FBI a publie une alerte urgente concernant Kali365, un kit de Phishing-as-a-Service qui contourne l’authentification multifacteur (MFA) de Microsoft 365. En volant les jetons de session OAuth, ce service permet a n’importe quel cybercriminel d’acceder a des comptes professionnels sans jamais toucher au mot de passe. Voici ce qu’il faut savoir.
Kali365 : Kit de Phishing-as-a-Service vendue sur Telegram. Abonnement pour cybercriminels.
Technique : Device code phishing. Vol de jetons OAuth via la vraie page Microsoft.
Impact : Contourne le MFA sans le briser. Bloque l’indemnisation assurance cyber.
FBI alerte : Limitez l’auth par code appareil aux terminaux de l’entreprise.
Protection : Cles de securite physiques, sessions courtes, revocation des jetons.
Kali365 : qu’est-ce que c’est
Kali365 est une infrastructure de Phishing-as-a-Service (PaaS) vendue sur Telegram par abonnement. Elle exploite une technique appelee device code phishing pour voler les jetons d’authentification Microsoft 365, sans jamais avoir besoin du mot de passe de la victime.
Le modele est simple : les createurs du kit le louent a des cybercriminels qui n’ont aucune competence technique. Un abonnement donne acces a un panneau de controle pour suivre les comptes pirater en temps reel, avec des options automatisees de transfert d’emails et de regles de filtration.
Cette methode est particulierement efficace car elle utilise les protocoles legitimes de Microsoft. Les centres de detection ne voient aucune anomalie : la connexion passe par les serveurs officiels, avec un jeton OAuth valide.
Etape
Action
Vecteur
1. Email piege
Code a 8 caracteres imitant OneDrive/SharePoint
Email professionnel
2. Validation
Victime entre le code sur le VRAI site Microsoft
Navigateur
3. Interception
Kali365 vole le jeton OAuth en temps reel
Infrastructure PaaS
4. Acces
Pirate connecte au compte, sans mot de passe
Session legitime
Comment fonctionne le device code phishing
L’attaque se deroule en 4 etapes, toutes basees sur des fonctionnalites officielles de Microsoft 365 :
Etape 1 : L’email piege. La victime recoit un email imitant une alerte de partage OneDrive ou SharePoint. Pas de lien suspect, mais un court texte avec un code a 8 caracteres et une instruction : « Visitez la page de validation Microsoft et entrez ce code. »
Etape 2 : La victime s’authentifie. L’employe va sur la vraie page Microsoft, entre le code et valide. Il ne sait pas que cette approbation connecte l’appareil du pirate a son compte professionnel.
Etape 3 : Interception du jeton OAuth. Le kit Kali365 intercepte immediatement le jeton de connexion. Le pirate a desormais acces au compte, sans mot de passe, sans declencher d’alerte MFA.
🔴 Pourquoi Kali365 est dangereux
Contourne le MFA : Vol de jetons OAuth sans briser l’authentification.
Assurance : Indemnisation refusee car MFA techniquement respecte.
Indetectable : Tout passe par les serveurs legitimes de Microsoft.
✅ Mesures de protection recommandees
Azure AD : Limitez l’auth par code appareil aux terminaux de l’entreprise.
Cles physiques : YubiKey/Titan Key pour les comptes sensibles.
Sessions courtes : Reduisez la duree de vie pour deconnecter les intrus.
Pourquoi le MFA classique ne suffit plus
Kali365 demontre une limite fondamentale de l’authentification multifacteur traditionnelle : le MFA verifie l’identite, pas l’intention. Si la victime entre volontairement le code de validation sur le vrai site Microsoft, le MFA considere la connexion comme legitime.
Sur le plan financier, ce piratage bloque l’indemnisation des assurances cyber. Les compagnies exigent l’activation du MFA pour couvrir un sinistre. Or le vol de jetons OAuth contourne cette barriere sans la briser. Apres un detournement de fonds, l’assureur refuse le remboursement car le MFA etait techniquement respecte.
Le FBI recommande de limiter l’authentification par code appareil aux seuls terminaux de l’entreprise, dans le panneau d’administration Azure Active Directory.
🔍 Supply chain attacks : les précédents récents
Premiers device code phishing2022-2023
Technique identifiee mais peu pratiquee. Cible principale : developpeurs et administrateurs.
Kali365 lance2025
Technique identifiee mais peu pratiquee. Cible principale : developpeurs et administrateurs.
Campagne massiveDec. 2025
Technique identifiee mais peu pratiquee. Cible principale : developpeurs et administrateurs.
Alerte FBIMai 2026
Technique identifiee mais peu pratiquee. Cible principale : developpeurs et administrateurs.
Comment proteger votre organisation
Les mesures de protection contre Kali365 sont concretes et applicables immediatement :
1. Desactivez l’authentification par code appareil dans Azure AD pour les postes non-manages. Limitez cette methode aux seuls equipements de l’entreprise.
2. Installez des cles de securite physiques (YubiKey, Titan Security Key) pour les comptes sensibles. Les cles physiques ne peuvent pas etre interceptees par du device code phishing.
3. Reduisez la duree de vie des sessions pour deconnecter les intrus plus rapidement. Une session courte limite la fenetre d’acces du pirate.
⚠️ Le MFA classique ne suffit plus contre Kali365
Le vol de jetons OAuth contourne le MFA sans le briser. Si votre assurance cyber exige le MFA, vous risquez de ne pas etre indemnise.
Si vous êtes responsable d’équipe, envisagez des solutions de protection spécifiques pour les postes de développement (Aikido Device Protection, blocage des paquets récents <48h, validation manuelle des extensions).
Questions frequentes
Qu’est-ce que le device code phishing ? ▼
C’est une technique ou la victime entre un code de validation sur le VRAI site Microsoft, connectant ainsi l’appareil du pirate a son compte sans que le pirate n’ait besoin du mot de passe.
Pourquoi le MFA ne bloque pas Kali365 ? ▼
Kali365 n’essaie pas de deviner le mot de passe. Il fait entrer la victime sur le vrai site Microsoft. Le MFA valide la connexion, mais la victime ne sait pas qu’elle autorise le pirate.
Comment limiter l’authentification par code appareil ? ▼
Dans Azure Active Directory : Appareils > Parametres > Authentifier les appareils. Limitez aux seuls terminaux geres par l’entreprise.
Qu’est-ce qu’une cle de securite physique ? ▼
Un dispositif materiel (YubiKey, Titan Security Key) que vous branchez sur votre ordinateur ou utilisez en NFC. Impossible a intercepter a distance.
Que faire en cas de doute ? ▼
Revoquez TOUS les jetons OAuth actifs dans Azure AD. Cela deconnecte immediatement toutes les sessions, y compris les intrus.
Quiz : Comprenez-vous Kali365
🧠 Testez vos connaissances sur la sécurité supply chain
Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site et pour soutenir le travail de notre équipe. En acceptant les cookies, vous nous aidez à continuer à créer du contenu de qualité qui vous est utile. L’utilisation de ces cookies n’entraîne aucun coût supplémentaire pour vous. C’est une simple action de votre part, mais qui a un grand impact pour nous tous. Vous pouvez changer d'avis ou retirer votre consentement à tout moment via la Politique de confidentialité. Merci pour votre soutien et votre confiance.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
