Actualités, Arnaques

Le kit de phishing Kali365 contourne l'authentification multifactorielle et vole les identifiants Microsoft

par Pieter Arntz | 27 mai 2026
hameçonnage à grande échelle

Lorsque le Federal Bureau of Investigation (FBI) publie un message d'intérêt public consacré à un nouveau kit de phishing, cela mérite qu'on y prête attention.

L'agence met désormais en garde contre « Kali365 », une plateforme de phishing-as-a-service (PhaaS) qui permet même aux pirates peu expérimentés de pirater des comptes Microsoft 365 en volant des jetons d'accès plutôt que des mots de passe.

Bien que les premiers rapports mettent l'accent sur les attaques visant des organisations, la technique sous-jacente fonctionne tout aussi bien contre des utilisateurs individuels de Microsoft 365 qui sont amenés à saisir un code court sur un site web Microsoft authentique. En d'autres termes, il ne s'agit pas uniquement d'un problème touchant les entreprises ou les services informatiques. Cela pourrait concerner toute personne disposant d'un abonnement Outlook, OneDrive ou Microsoft 365.

Pour les cybercriminels qui utilisent ce kit, celui-ci présente trois avantages évidents :

  • Elle contourne l'authentification multifactorielle (MFA) en volant les jetons d'accès ; ainsi, les codes supplémentaires ou les applications ne servent plus à rien une fois que le jeton a été compromis.
  • Kali365 offre un accès continu. Les pirates peuvent continuer à utiliser Outlook, Teams et OneDrive sans avoir à se reconnecter à chaque fois, tant que le jeton de rafraîchissement volé reste valide.
  • Peu de compétences techniques sont requises. Les cybercriminels peuvent s'abonner à Kali365 et lancer immédiatement des campagnes de vol de jetons à grande échelle.

À quoi ressemble cette attaque ?

Les victimes reçoivent un message de hameçonnage qui semble provenir d'un service cloud ou d'un outil de collaboration, par exemple une notification de partage de document ou une Teams . Le message contient un court « code d'appareil » et des instructions telles que : « Rendez-vous sur la page de vérification de Microsoft et saisissez ce code pour consulter le document. »

Arnaque ou site fiable ? Scam Guard le sait.

Contrairement à de nombreux e-mails de hameçonnage, celui-ci vous redirige vers une véritable URL Microsoft utilisée pour les procédures de connexion aux appareils. Pour l'utilisateur, la page semble familière et tout à fait légitime, ce qui atténue la méfiance.

Les victimes voient alors s'afficher les écrans de connexion et de consentement habituels de Microsoft et peuvent penser qu'elles ne font que passer un contrôle de sécurité normal. Elles ne voient jamais de page frauduleuse, ne saisissent jamais leur mot de passe dans un formulaire suspect et peuvent même voir le logo de leur entreprise.

Mais ce qu'ils ne se rendent pas compte, c'est qu'ils ont ainsi donné accès à l'attaquant.

Une fois que la victime a approuvé la demande, l'appareil de l'attaquant reçoit des jetons d'accès et de rafraîchissement OAuth liés au compte Microsoft 365 de la victime. Ces jetons permettent à Microsoft de « se souvenir » que vous êtes déjà connecté, et ils peuvent être réutilisés pour accéder à Outlook, OneDrive, Teams et d'autres services Microsoft sans avoir à saisir à nouveau votre mot de passe.

Grâce à des jetons de rafraîchissement valides, les pirates peuvent conserver un accès à long terme jusqu’à ce que ces jetons soient révoqués ou expirent, en se fondant souvent dans l’activité normale du compte.

Cet accès peut permettre aux cybercriminels de :

  • Lire les e-mails Outlook, y compris les messages de réinitialisation de mot de passe
  • Accéder aux fichiers stockés dans OneDrive ou SharePoint
  • Envoyer des e-mails de hameçonnage à des collègues, des clients, des amis ou des proches depuis le compte de la victime

Comment se protéger

Une fois dans Outlook, les pirates peuvent non seulement lire vos messages, mais aussi en envoyer de nouveaux, très convaincants, depuis votre adresse, en utilisant votre identité pour compromettre d'autres comptes et contacts.

Quelques conseils pour éviter ce piège :

  • Ne saisissez jamais de code sur une page de connexion Microsoft simplement parce qu'un e-mail ou un message vous y invite. Vous ne devez le faire que lorsque vous avez vous-même lancé la procédure de connexion sur votre propre appareil.
  • Prenez le temps de lire attentivement les instructions. Se précipiter lors de la validation des connexions sans les lire attentivement peut vous coûter cher.
  • Méfiez-vous des partages de documents, Teams ou des demandes de connexion inattendus, même s'ils utilisent des pages Microsoft officielles.
  • Vérifiez quels appareils sont connectés à votre compte sur https://account.microsoft.com/devices/. Si vous remarquez des appareils ou des connexions qui vous semblent inconnus, supprimez-les, modifiez le mot de passe de votre compte Microsoft et vérifiez vos paramètres de sécurité.

Conseil de pro : Malwarebytes Guardpeut vous aider à déterminer si un message est une arnaque.

Soyons réalistes, une fenêtre de navigation privée a ses limites.

Fuites de données, commerce sur le dark web, fraude à la carte de crédit. Malwarebytes Identity Theft surveille tous ces risques, vous alerte rapidement et inclut une assurance contre l'usurpation d'identité. 

À propos de l'auteur

Pieter Arntz

Pieter Arntz

Chercheur en intelligence malveillante

A été un Microsoft MVP dans le domaine de la sécurité des consommateurs pendant 12 années consécutives. Parle quatre langues. Sente l'acajou et les livres reliés en cuir.

DERNIERS ARTICLES

Actualités
Le téléphone sur la table

L'entreprise se vantait que les micros des téléphones pouvaient capter les conversations. Ce n'était pas le cas.

Mai 27, 2026

Cox Media a déclaré qu'elle pouvait espionner les utilisateurs via leurs appareils et utiliser ces informations à des fins de publicité ciblée, mais ce n'était pas vrai.

Confidentialité
LinkedIn

LinkedIn faux LinkedIn exploitent une faille d'Adobe pour suivre leurs victimes

Mai 27, 2026

Les hameçonneurs dérobent LinkedIn tout en exploitant Adobe Target pour suivre leurs victimes et les rediriger vers LinkedIn véritables LinkedIn .

Insectes
ClickFix imite Windows

Plus de 700 sites web consacrés à l'éducation et aux technologies ont été piratés dans le cadre d'une vaste campagne de malware ClickFix

Mai 26, 2026

Hackers une faille du CMS Ghost pour afficher de fausses pages de vérification Cloudflare qui poussent les utilisateurs à infecter leur propre ordinateur.

Articles connexes

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries