Kali365 : l'outil de phishing à 250 $/mois qui contourne la double authentification Microsoft

Le FBI tire la sonnette d'alarme

Le 21 mai 2026, le FBI a publié une alerte officielle (PSA260521) via l'Internet Crime Complaint Center (IC3) concernant un nouvel outil de phishing baptisé Kali365. Ce kit, vendu 250 dollars par mois sur Telegram, permet à des cybercriminels — même sans compétences techniques — de pirater des comptes Microsoft 365 en contournant la double authentification.

Ce n'est pas une menace théorique : des centaines d'organisations ont déjà été compromises depuis avril 2026, principalement dans la finance, la comptabilité, la santé, l'éducation et le secteur public.

Comment fonctionne Kali365 ?

Le vol de tokens, pas de mots de passe

Contrairement aux attaques de phishing classiques qui cherchent à voler votre mot de passe, Kali365 utilise une technique bien plus sophistiquée : il vole directement vos tokens OAuth — les jetons de session que Microsoft utilise pour "se souvenir" que vous êtes connecté.

Concrètement, une fois le token volé, l'attaquant peut accéder à votre Outlook, Teams, OneDrive et SharePoint sans jamais avoir besoin de votre mot de passe ni de votre code MFA. Et ce, de façon permanente, tant que le token n'est pas révoqué.

Deux modes d'attaque

Kali365 propose deux techniques distinctes :

1. Le "Device Code Phishing"

L'attaquant vous envoie un email qui vous demande d'entrer un code sur une vraie page Microsoft (microsoft.com/devicelogin). La page est légitime, le processus semble normal. Vous complétez le MFA vous-même — sauf que vous authentifiez en réalité l'appareil de l'attaquant, pas le vôtre.

C'est ce qui rend cette attaque si dangereuse : vous ne voyez jamais de faux site. Tout se passe sur les vrais serveurs Microsoft.

2. Le "Cookie Link" (Adversary-in-the-Middle)

La seconde technique fait passer votre connexion à travers un serveur contrôlé par l'attaquant. Vous vous connectez normalement, vous entrez votre MFA, et le serveur intermédiaire capture vos cookies de session et vos tokens en temps réel.

Ce que Kali365 inclut pour 250 $/mois

Le kit est vendu comme un véritable service commercial, avec :

• Emails de phishing générés par IA — personnalisés et convaincants
• Templates de campagnes automatisées — prêts à l'emploi
• Dashboard de suivi en temps réel — pour voir qui clique et qui se connecte
• Capture automatique des tokens OAuth — sans intervention technique
• Support technique via Telegram

C'est du Phishing-as-a-Service (PhaaS) — l'équivalent criminel d'un abonnement SaaS.

Pourquoi la double authentification ne suffit plus

Le MFA classique est contourné

Si vous utilisez un code SMS, une application d'authentification (Google Authenticator, Microsoft Authenticator) ou même une notification push, Kali365 les contourne tous. Pourquoi ? Parce que c'est vous qui complétez l'authentification — l'attaquant n'a pas besoin de votre code.

Le MFA protège contre le vol de mot de passe. Mais quand l'attaque capture le résultat de votre authentification (le token), le MFA ne sert à rien.

Les seules protections MFA qui résistent

Seules les méthodes d'authentification résistantes au phishing bloquent Kali365 :

• Clés FIDO2 (YubiKey, Google Titan) — elles vérifient que vous êtes sur le vrai site Microsoft
• Passkeys (Windows Hello, Touch ID) — liées à votre appareil physique
• Accès conditionnel — qui bloque les connexions depuis des appareils ou emplacements non reconnus

Qui est visé ?

Secteurs les plus touchés

Selon l'alerte du FBI, les organisations les plus ciblées sont :

• Finance et comptabilité — accès aux données bancaires et financières
• Santé — dossiers médicaux et données sensibles
• Éducation — universités et écoles avec des milliers de comptes
• Secteur public — administrations et collectivités
• PME — souvent sans équipe IT dédiée

L'Afrique n'est pas épargnée

Si votre entreprise utilise Microsoft 365 (Outlook, Teams, OneDrive), vous êtes une cible potentielle, que vous soyez à Dakar, Abidjan ou Casablanca. Les campagnes de phishing Kali365 sont automatisées et massives — elles ne ciblent pas un pays en particulier, mais tout le monde.

Comment se protéger : plan d'action immédiat

Pour les utilisateurs individuels

1. Ne cliquez JAMAIS sur un lien de connexion reçu par email

Même si l'email semble venir de Microsoft, de votre entreprise ou de votre IT. Tapez toujours manuellement login.microsoftonline.com dans votre navigateur.

2. Méfiez-vous des "device code" non sollicités

Si quelqu'un vous demande d'entrer un code sur microsoft.com/devicelogin et que vous n'avez pas initié cette demande, c'est une attaque. Ne le faites pas.

3. Vérifiez vos sessions actives régulièrement

Allez dans myaccount.microsoft.com → Activité de connexion récente. Si vous voyez des connexions depuis des appareils ou des lieux inconnus, révoquez-les immédiatement.

4. Alerte rouge : code MFA non sollicité

Si vous recevez un code de vérification Microsoft ou une notification push sans avoir essayé de vous connecter, quelqu'un tente d'accéder à votre compte. Ne validez pas et changez votre mot de passe immédiatement.

Pour les administrateurs IT et les entreprises

5. Désactivez le "Device Code Flow"

Si votre entreprise n'utilise pas cette fonctionnalité, désactivez-la dans Azure AD via les stratégies d'accès conditionnel. C'est le vecteur principal de Kali365.

6. Activez l'accès conditionnel (Conditional Access)

Configurez des règles qui :

• Bloquent les connexions depuis des appareils non conformes
• Exigent des emplacements réseau connus pour certaines opérations
• Forcent la ré-authentification pour les actions sensibles
• Détectent les connexions à risque (comportement inhabituel)

7. Passez aux clés FIDO2 ou aux passkeys

C'est la seule méthode MFA qui résiste à Kali365 et aux attaques de type adversary-in-the-middle. Microsoft, Google et Apple supportent tous les passkeys en 2026.

8. Surveillez les tokens OAuth

Utilisez les journaux d'audit Azure AD pour détecter les créations de tokens suspectes. Configurez des alertes automatiques pour les connexions inhabituelles.

9. Formez vos équipes

Vos employés doivent savoir que :

• Un email avec un lien de connexion Microsoft est suspect par défaut
• Un "device code" non sollicité est une attaque en cours
• La double authentification n'est pas infaillible

Que faire si vous pensez être compromis ?

1. Révoquez immédiatement tous les tokens — dans Azure AD, forcez une révocation de toutes les sessions de l'utilisateur concerné
2. Changez le mot de passe du compte compromis
3. Vérifiez les règles de transfert email — les attaquants ajoutent souvent des règles qui redirigent vos emails vers leur adresse
4. Auditez les accès récents — vérifiez quels fichiers OneDrive/SharePoint ont été consultés ou téléchargés
5. Signalez l'incident — au FBI (ic3.gov) si vous êtes aux US, ou à votre autorité nationale de cybersécurité

Ce que cette alerte nous apprend

Kali365 marque un tournant dans le paysage des cybermenaces :

• Le phishing devient un service clé en main accessible à tous pour 250 $/mois
• La double authentification classique (SMS, apps) ne suffit plus
• Les attaques utilisent des pages légitimes de Microsoft, ce qui les rend quasi indétectables
• L'IA génère des emails de phishing de plus en plus convaincants

La cybersécurité n'est plus une question de technologie seule — c'est une question de vigilance humaine. Un simple clic peut compromettre toute une organisation.

Conclusion

Kali365 est la preuve que les cybercriminels innovent plus vite que les défenses traditionnelles. Mais les parades existent : accès conditionnel, clés FIDO2, formation des équipes, et surtout, le réflexe de ne jamais cliquer sur un lien de connexion reçu par email.

Votre entreprise utilise Microsoft 365 ? Chez Rostel High-Tech, nous auditons votre configuration de sécurité et formons vos équipes contre les nouvelles menaces. Contactez-nous pour un diagnostic.

Sources : FBI IC3 — Alerte PSA260521 (21 mai 2026), Bleeping Computer, Malwarebytes, The Register, Infosecurity Magazine.