Kali365 : le kit de phishing qui contourne le MFA Microsoft 365 (alerte FBI)

Le FBI a publié une alerte urgente concernant Kali365, un kit de Phishing-as-a-Service qui contourne l’authentification multifacteur (MFA) de Microsoft 365. En volant les jetons de session OAuth, ce service permet à n’importe quel cybercriminel d’accéder à des comptes professionnels sans jamais toucher au mot de passe. Voici ce qu’il faut savoir.

🚨

L’essentiel en 30 secondes

  • Kali365 : Kit de Phishing-as-a-Service vendue sur Telegram. Abonnement pour cybercriminels.
  • Technique : Device code phishing. Vol de jetons OAuth via la vraie page Microsoft.
  • Impact : Contourne le MFA sans le briser. Bloque l’indemnisation assurance cyber.
  • FBI alerte : Limitez l’auth par code appareil aux terminaux de l’entreprise.
  • Protection : Clés de sécurité physiques, sessions courtes, révocation des jetons.

Kali365 : qu’est-ce que c’est

Kali365 est une infrastructure de Phishing-as-a-Service (PaaS) vendue sur Telegram par abonnement. Elle exploite une technique appelée device code phishing pour voler les jetons d’authentification Microsoft 365, sans jamais avoir besoin du mot de passe de la victime.

Le modèle est simple : les créateurs du kit le louent à des cybercriminels qui n’ont aucune compétence technique. Un abonnement donne accès à un panneau de contrôle pour suivre les comptes piratés en temps réel, avec des options automatisées de transfert d’emails et de règles de filtration.

Cette méthode est particulièrement efficace car elle utilisé les protocoles légitimes de Microsoft. Les centres de détection ne voient aucune anomalie : la connexion passe par les serveurs officiels, avec un jeton OAuth valide.

Etape Action Vecteur
1. Email piège Code à 8 caractères imitant OneDrive/SharePoint Email professionnel
2. Validation Victime entre le code sur le VRAI site Microsoft Navigateur
3. Interception Kali365 vole le jeton OAuth en temps réel Infrastructure PaaS
4. Accès Pirate connecté au compte, sans mot de passe Session légitime

Comment fonctionne le device code phishing

L’attaque se déroule en 4 étapes, toutes basées sur des fonctionnalités officielles de Microsoft 365 :

Étape 1 : L’email piège. La victime reçoit un email imitant une alerte de partage OneDrive ou SharePoint. Pas de lien suspect, mais un court texte avec un code à 8 caractères et une instruction : « Visitez la page de validation Microsoft et entrez ce code. »

Étape 2 : La victime s’authentifie. L’employé va sur la vraie page Microsoft, entre le code et valide. Il ne sait pas que cette approbation connecte l’appareil du pirate à son compte professionnel.

Étape 3 : Interception du jeton OAuth. Le kit Kali365 intercepte immédiatement le jeton de connexion. Le pirate à désormais accès au compte, sans mot de passe, sans déclencher d’alerte MFA.

🔴 Pourquoi Kali365 est dangereux

  • Contourne le MFA : Vol de jetons OAuth sans briser l’authentification.
  • Assurance : Indemnisation refusée car MFA techniquement respecté.
  • Indétectable : Tout passe par les serveurs légitimes de Microsoft.

✅ Mesures de protection recommandées

  • Azure AD : Limitez l’auth par code appareil aux terminaux de l’entreprise.
  • Clés physiques : YubiKey/Titan Key pour les comptes sensibles.
  • Sessions courtes : Reduisez la durée de vie pour déconnecter les intrus.

Pourquoi le MFA classique ne suffit plus

Kali365 démontre une limite fondamentale de l’authentification multifacteur traditionnelle : le MFA vérifié l’identité, pas l’intention. Si la victime entre volontairement le code de validation sur le vrai site Microsoft, le MFA considère la connexion comme légitime.

Sur le plan financier, ce piratage bloque l’indemnisation des assurances cyber. Les compagnies exigent l’activation du MFA pour couvrir un sinistre. Or le vol de jetons OAuth contourne cette barrière sans la briser. Après un détournement de fonds, l’assureur refusé le remboursement car le MFA était techniquement respecté.

Le FBI recommandé de limiter l’authentification par code appareil aux seuls terminaux de l’entreprise, dans le panneau d’administration Azure Active Directory.

🔍 Supply chain attacks : les précédents récents

Premiers device code phishing 2022-2023

Technique identifiée mais peu pratiquée. Cible principale : développeurs et administrateurs.

Kali365 lance 2025

Technique identifiée mais peu pratiquée. Cible principale : développeurs et administrateurs.

Campagne massive Dec. 2025

Technique identifiée mais peu pratiquée. Cible principale : développeurs et administrateurs.

Alerte FBI Mai 2026

Technique identifiée mais peu pratiquée. Cible principale : développeurs et administrateurs.

Comment protéger votre organisation

Les mesures de protection contre Kali365 sont concrètes et applicables immédiatement :

1. Desactivez l’authentification par code appareil dans Azure AD pour les postes non-manages. Limitez cette méthode aux seuls équipements de l’entreprise.

2. Installez des clés de sécurité physiques (YubiKey, Titan Security Key) pour les comptes sensibles. Les clés physiques ne peuvent pas être interceptees par du device code phishing.

3. Reduisez la durée de vie des sessions pour déconnecter les intrus plus rapidement. Une session courte limite la fenêtre d’accès du pirate.

⚠️ Le MFA classique ne suffit plus contre Kali365

Le vol de jetons OAuth contourne le MFA sans le briser. Si votre assurance cyber exige le MFA, vous risquez de ne pas être indemnisé.

Si vous êtes responsable d’équipe, envisagez des solutions de protection spécifiques pour les postes de développement (Aikido Device Protection, blocage des paquets récents <48h, validation manuelle des extensions).

Questions fréquentes

Qu’est-ce que le device code phishing ?

C’est une technique où la victime entre un code de validation sur le VRAI site Microsoft, connectant ainsi l’appareil du pirate à son compte sans que le pirate n’ait besoin du mot de passe.

Pourquoi le MFA ne bloque pas Kali365 ?

Kali365 n’essaie pas de deviner le mot de passe. Il fait entrer la victime sur le vrai site Microsoft. Le MFA valide la connexion, mais la victime ne sait pas qu’elle autorise le pirate.

Comment limiter l’authentification par code appareil ?

Dans Azure Active Directory : Appareils > Paramètres > Authentifier les appareils. Limitez aux seuls terminaux gérés par l’entreprise.

Qu’est-ce qu’une clé de sécurité physique ?

Un dispositif matériel (YubiKey, Titan Security Key) que vous branchez sur votre ordinateur ou utiliséz en NFC. Impossible a intercepter a distance.

Que faire en cas de doute ?

Revoquez TOUS les jetons OAuth actifs dans Azure AD. Cela déconnecte immédiatement toutes les sessions, y compris les intrus.

Quiz : Comprenez-vous Kali365

🧠 Testez vos connaissances sur la sécurité supply chain

Qu’est-ce que Kali365 ?

Alexi Tauzin
Alexi Tauzin 🛡️ Éditeur & Expert Cyber

Fondateur d'alexitauzin.com, entrepreneur digital et spécialiste des technologies connectées. Il décrypte les enjeux de la souveraineté numérique, de la protection des données et de la sécurité informatique pour rendre la cyber-vigilance accessible à tous.

En savoir plus ➜

Avez-vous déjà lu ces articles ?

Les jeux de casino en ligne préférés des joueurs français en 2026

First VPN démantelé par Europol : le VPN des groupes ransomware saisi

Laisser un commentaire

Contactez la rédaction pour toute demande

Partenariat, rédaction et publication d'articles sponsorisés

NOUS CONTACTER

COPYRIGHT ALEXITAUZIN.COM 2026

Mentions légales - Politique de confidentialité - Affiliation