← AI War Room
Cybersécurité

Le FBI prévient les utilisateur Microsoft : le kit de phishing Kali365 cible vos comptes Microsoft365 en temps réel

Tech4B2B · · 3 min (mis à jour le )
Illustration : Le FBI prévient les utilisateur Microsoft : le kit de phishing Kali365 cible vos comptes Microsoft365 en temps réel
  • Sujet: Le FBI prévient les utilisateur Microsoft : le kit de phishing Kali365 cible vos comptes Microsoft365 en temps réel
  • Date:
Le FBI a émis une alerte formelle concernant "Kali365", un service de phishing-as-a-service sophistiqué qui s'attaque directement aux comptes Microsoft 365 en contournant l'authentification multifacteur (MFA). En interceptant les tokens OAuth en temps réel grâce à une technique de type adversary-in-the-middle (AiTM), ce kit met en danger des millions d'entreprises qui croyaient leur parc applicatif M365 protégé par le MFA.

Depuis plusieurs années, le MFA s'est imposé comme le standard minimal de sécurité pour les accès aux systèmes d'information en entreprise. La majorité des grandes organisations, et notamment celles déployées sur Microsoft 365, ont investi dans ces mécanismes à la suite d'innombrables incidents liés à des compromissions de mots de passe. Or, l'émergence de kits de phishing de type "proxy inverse" — dont Kali365 est la dernière incarnation publiquement documentée — vient structurellement remettre en cause cette hypothèse de sécurité. Ces outils, vendus en mode SaaS sur des forums clandestins, ne cassent pas le MFA : ils le contournent en se positionnant entre l'utilisateur et le service légitime, capturant la session authentifiée au moment précis où le token est émis.

1. Mécanisme d'attaque AiTM : comment Kali365 fonctionne

Kali365 opère comme un proxy inverse transparent. Lorsqu'une victime clique sur un lien de phishing, elle est dirigée vers une page qui relaie en temps réel l'ensemble de la session d'authentification vers Microsoft. L'utilisateur complète son MFA normalement — SMS, application Authenticator ou clé FIDO — et Kali365 intercepte le cookie de session et le token OAuth au moment où ils sont émis par Microsoft. L'attaquant dispose alors d'un accès valide à la boîte mail, aux fichiers SharePoint, aux équipes Teams et à l'ensemble des applications connectées, sans jamais avoir eu connaissance du mot de passe ni du second facteur.

2. La "phishing-as-a-service" industrialise la menace

Kali365 s'inscrit dans une tendance de fond : la transformation des cyberattaques en services clés en main. Des acteurs peu qualifiés techniquement peuvent désormais louer l'infrastructure, les templates de pages de phishing imitant à la perfection les portails Microsoft, et les tableaux de bord de récupération de credentials, pour quelques centaines de dollars par mois. Cela démocratise l'accès à des techniques auparavant réservées à des groupes APT.

3. Microsoft 365 : une surface d'attaque critique pour les entreprises

Avec plus de 400 millions d'utilisateurs professionnels actifs, Microsoft 365 représente la colonne vertébrale numérique de la majorité des organisations mondiales. La compromission d'un seul compte — a fortiori un compte admin ou C-suite — ouvre un vecteur de mouvement latéral considérable : accès aux mails sensibles, usurpation d'identité pour des fraudes au virement, exfiltration de données confidentielles, compromission de la chaîne d'approvisionnement via les contacts partenaires.

4. Les limites structurelles du MFA classique

L'alerte FBI confirme ce que la communauté sécurité souligne depuis 2022 : le MFA basé sur des facteurs téléphoniques (SMS, TOTP, push notification) n'est pas résistant au phishing. Seuls les mécanismes FIDO2/WebAuthn avec clés physiques ou passkeys liées à l'origine du domaine offrent une protection structurelle contre les attaques AiTM, car le token d'authentification est cryptographiquement lié au domaine légitime et ne peut être rejoué sur un proxy.

5. Recommandations opérationnelles immédiates

Les DSI doivent auditer leurs politiques d'accès conditionnel (Conditional Access Policies) dans Azure AD / Entra ID, en privilégiant les politiques de type "Token Protection" (actuellement en préversion chez Microsoft), migrer vers des solutions FIDO2/passkeys pour les comptes critiques, activer la détection d'anomalies de session dans Microsoft Defender for Identity, et renforcer la formation anti-phishing des collaborateurs en simulant des attaques AiTM.

Implications

Sur le plan business, les compromissions de comptes Microsoft 365 via ce vecteur sont directement liées à des incidents de fraude au virement (BEC — Business Email Compromise), dont le coût moyen par incident dépasse 125 000 dollars selon l'IC3 du FBI. Pour les ETI et grandes entreprises françaises, l'impact peut être systémique : la compromission de comptes d'un prestataire peut contaminer toute la chaîne de confiance fournisseurs.

Sur le plan concurrentiel, les éditeurs de solutions de sécurité — CrowdStrike, Proofpoint, Microsoft lui-même avec Entra ID Protection, Zscaler — vont accélérer leurs investissements sur la détection de sessions AiTM. Les RSSI disposent d'un argument fort pour accelerer les projets de déploiement FIDO2 souvent bloqués pour des raisons d'expérience utilisateur.

Sur le plan géopolitique, Kali365 s'inscrit dans un écosystème cybercriminel qui opère majoritairement depuis des juridictions peu coopératives avec l'Occident, rendant les poursuites judiciaires difficiles.


L'alerte FBI sur Kali365 marque un point d'inflexion : le MFA, longtemps vendu comme la solution miracle contre les compromissions de comptes, doit désormais être considéré comme une couche de sécurité nécessaire mais insuffisante face aux attaques AiTM industrialisées. Les DSI qui n'ont pas encore engagé leur migration vers FIDO2/passkeys pour les comptes à privilèges ont une fenêtre d'action étroite avant que ce type d'attaque ne devienne aussi banal que le phishing classique.

TL;DR

Accroche : Le FBI alerte sur Kali365, un kit de phishing-as-a-service qui contourne le MFA de Microsoft 365 en volant les tokens OAuth en temps réel.

  • Kali365 est un service criminel clé en main qui se positionne comme proxy entre la victime et Microsoft pour capturer la session authentifiée, MFA compris.
  • Tous les comptes Microsoft 365 protégés par SMS, TOTP ou push notification sont vulnérables ; seuls les mécanismes FIDO2/passkeys résistent structurellement.
  • Les DSI doivent auditer immédiatement leurs Conditional Access Policies, activer la Token Protection Entra ID et engager la migration FIDO2 pour les comptes critiques.

Questions fréquentes

Mon organisation utilise Microsoft Authenticator (push notification). Sommes-nous protégés contre Kali365 ?

Non. Les notifications push, les codes TOTP et les SMS sont tous vulnérables aux attaques AiTM car ils produisent des tokens que le proxy peut capturer et rejouer. La seule protection structurelle est FIDO2/WebAuthn (clés physiques de type YubiKey ou passkeys natives), où le token est cryptographiquement lié au domaine de destination et ne peut pas être utilisé par un proxy sur un domaine différent.

Comment détecter qu'un compte Microsoft 365 a été compromis via ce type d'attaque ?

Les signaux d'alerte incluent : des connexions depuis des géolocalisations inhabituelles immédiatement après une authentification MFA réussie, des modifications de règles de transfert de mails, des connexions depuis des adresses IP d'hébergeurs cloud peu courants (proxy), des anomalies dans les logs Entra ID Sign-in. Microsoft Defender for Identity et Microsoft Sentinel disposent de règles de détection spécifiques aux attaques AiTM.

Kali365 vise-t-il uniquement Microsoft 365 ou d'autres services SaaS sont-ils concernés ?

L'alerte FBI porte sur Microsoft 365, mais la technique AiTM est applicable à tout service SaaS utilisant OAuth/SAML. Des kits similaires ciblent Google Workspace, Salesforce, et des plateformes bancaires. La vigilance doit s'étendre à l'ensemble du portefeuille SaaS de l'entreprise.

Article rédigé par Hamadi Lanouar
Le brief tech qui compte
Chaque matin à 7h, les 5 signaux tech B2B à ne pas manquer.