Kali365 est un kit de phishing-as-a-service qui, selon le FBI, peut détourner les jetons OAuth de Microsoft 365 et conserver l’accès à Outlook, Teams et OneDrive même lorsque la MFA est activée. La solution pratique n’est pas de « mieux former les utilisateurs ». Vous devez restreindre le flux de code d’appareil, auditer les endroits où il est utilisé et renforcer l’accès conditionnel avant qu’une fausse invite Microsoft ne devienne une véritable compromission du tenant.
Avertissement Kali365 : ce que le FBI a réellement dit
Le 21 May 2026, l’Internet Crime Complaint Center du FBI a publié l’alerte I-052126-PSA, intitulée « Kali365 Phishing-as-a-Service Kit Hijacks Microsoft 365 Access Tokens ». L’agence a indiqué que Kali365 est apparu pour la première fois en April 2026 et qu’il est principalement distribué via Telegram.
L’avertissement est important parce que Kali365 n’a pas besoin de voler votre mot de passe à l’ancienne. Selon le FBI, le kit capture des jetons d’accès et d’actualisation OAuth, ce qui peut donner aux attaquants un accès persistant aux environnements Microsoft 365 après qu’une victime a effectué une étape d’autorisation Microsoft en apparence légitime.
Outlook, Teams et OneDrive sont spécifiquement cités comme services affectés. C’est un trio douloureux : l’e-mail pour les réinitialisations d’identité et les factures, Teams pour la confiance interne, et OneDrive pour les fichiers qui contiennent souvent des contrats, des feuilles de calcul, des listes de clients et des identifiants enregistrés là où ils ne devraient pas l’être.
Si votre vision du phishing est encore « quelqu’un saisit un mot de passe sur une fausse page », mettez-la à jour. Pour un rappel utile sur la différence entre les tentatives de devinette de mots de passe et les attaques par réutilisation d’identifiants, consultez ce guide en anglais clair sur les attaques par force brute versus credential stuffing. Kali365 se situe sur un autre terrain : il cible l’autorisation, pas seulement les identifiants.
Comment fonctionne la chaîne d’attaque de Kali365
Le FBI décrit un parcours d’attaque assez propre : e-mail de phishing, page de vérification Microsoft légitime ou saisie d’un code d’appareil, autorisation de l’appareil de l’attaquant, vol de jeton OAuth, puis accès persistant à Microsoft 365. Propre ne veut pas dire inoffensif. Cela veut dire reproductible.
Une victime peut croire qu’elle approuve une connexion Microsoft normale, en particulier si l’appât fait référence à une réunion Teams, un fichier OneDrive partagé, un message vocal ou une vérification de compte. Une fois l’autorisation effectuée, l’attaquant peut obtenir des jetons qui peuvent lui permettre d’interagir avec les services Microsoft 365 sans avoir besoin d’intercepter le mot de passe de l’utilisateur ou son invite MFA à usage unique.
Voici l’écueil que beaucoup d’avertissements génériques passent sous silence : une « MFA réussie » dans vos journaux peut faire partie de l’attaque, et non prouver que tout va bien. Le phishing par code d’appareil abuse d’un flux d’authentification légitime ; ainsi, les équipes de sécurité qui ne recherchent que les connexions échouées, les déplacements impossibles ou les schémas de password spray peuvent passer à côté du signal le plus intéressant.
Kali365 abaisse aussi la barrière de compétence. Le FBI indique qu’il inclut des appâts de phishing générés par l’IA, des modèles de campagne automatisés, des tableaux de bord de suivi des cibles en temps réel et des capacités de capture de jetons OAuth. SafeBrowz a rapporté le 28 May 2026 que les opérateurs paient environ $199 par mois pour des pages d’atterrissage hébergées, l’acheminement automatisé des victimes et une console, bien que ce tarif provienne d’un rapport secondaire plutôt que de l’alerte du FBI.
Pourquoi la MFA seule ne sauvera pas Outlook, Teams et OneDrive
La MFA reste utile. Aucun défenseur sérieux ne devrait vous dire le contraire. Mais Kali365 rappelle que la MFA est un contrôle, pas un champ de force.
Dans ce cas, l’objectif de l’attaquant est d’amener l’utilisateur à autoriser l’accès via un flux Microsoft légitime. Si la victime termine le processus, l’attaquant peut recevoir des jetons OAuth qui permettent un accès continu. Les jetons d’actualisation sont la partie la plus problématique, car ils peuvent prolonger une session au-delà du moment initial de la compromission, selon les politiques du tenant et les contrôles de durée de vie des jetons.
Pensez à l’impact métier en chiffres. Si une boîte mail compromise contient 18 mois d’e-mails et que l’utilisateur reçoit 60 messages par jour, cela représente environ 32,400 messages exposés dans un seul compte en 2026. Ajoutez les dossiers de synchronisation OneDrive et les conversations Teams, et l’attaquant n’a peut-être même pas besoin de se déplacer latéralement immédiatement ; le premier compte peut déjà être suffisamment riche.
L’activité d’Arctic Wolf citée par BleepingComputer et rapportée par TechRepublic le 26 May 2026 impliquait l’accès aux boîtes mail, des règles de boîte de réception malveillantes et de nouveaux enregistrements d’appareils dans les environnements des victimes. Considérez cela comme une observation rapportée, pas comme un schéma universel. Malgré cela, les règles de boîte de réception sont une manœuvre classique et discrète : transférer les factures, masquer les avis de sécurité et maintenir la victime dans l’ignorance.
Le personnel à distance est particulièrement exposé parce que les invites de connexion Microsoft sont routinières dans le travail distribué. Si votre effectif vit dans les navigateurs, les appels Teams et les fichiers cloud, les bases d’une checklist de cybersécurité 2026 pour les télétravailleurs s’accordent bien avec les contrôles au niveau du locataire, mais ne les remplacent pas.
Des contrôles qui réduisent rapidement le risque
Les recommandations d’atténuation du FBI sont exceptionnellement pratiques. Elles consistent à restreindre ou bloquer le flux de code d’appareil, à utiliser une stratégie d’accès conditionnel, à auditer l’utilisation existante du flux de code d’appareil, à bloquer les stratégies de transfert d’authentification et à exclure les comptes d’accès d’urgence lorsqu’une restriction complète n’est pas possible.
La documentation Microsoft Learn indexée en juin 2026 confirme que l’accès conditionnel peut restreindre le flux de code d’appareil pour les appareils Teams et peut être utilisé pour bloquer le flux de code d’appareil avec des exclusions limitées. Cette dernière formulation est importante. Certaines organisations dépendent réellement du flux de code d’appareil pour les appareils partagés, les équipements de salles de réunion, les appareils Teams ou le matériel à saisie limitée.
- Identifiez où le flux de code d’appareil est réellement utilisé dans votre locataire avant de le désactiver globalement.
- Créez une stratégie d’accès conditionnel qui bloque ou restreint le flux de code d’appareil pour les comptes utilisateurs normaux.
- Mettez en place des exclusions ciblées uniquement pour des classes d’appareils ou des flux de travail validés, pas pour des services entiers.
- Excluez les comptes d’accès d’urgence lorsque les recommandations de Microsoft et du FBI rendent un blocage complet impraticable.
- Auditez les connexions, les nouvelles inscriptions d’appareils, les règles de boîte aux lettres et les autorisations OAuth inhabituelles après les changements de stratégie.
Honnêtement, un blocage global sans inventaire est un bon moyen de perturber une salle de conseil, un flux de travail de scanner d’entrepôt ou une installation Teams Rooms cinq minutes avant une réunion de direction. La démarche la plus intelligente consiste à faire rapidement l’inventaire, à appliquer un refus par défaut strict, puis à documenter les exceptions avec des responsables et des dates de révision.
Les entreprises qui passent d’une informatique informelle à une sécurité formelle ont souvent du mal ici, car l’ancienne règle était « ne bloquez pas la productivité ». Cela cesse de fonctionner une fois que les attaquants louent des outils professionnels. Si cela vous semble familier, cet article sur l’évolution des priorités de sécurité à mesure que les organisations grandissent donne un contexte utile pour passer de décisions ad hoc à des contrôles fondés sur des stratégies.
Quels signaux les équipes de sécurité devraient-elles rechercher en priorité ?
Commencez par les flux d’authentification et l’activité liée aux jetons, puis élargissez l’analyse. Kali365 n’est pas seulement un problème d’e-mail, alors n’enfermez pas l’enquête dans la passerelle de messagerie.
Les signaux utiles incluent les événements d’authentification par code d’appareil, les connexions réussies inattendues depuis des appareils inconnus, les nouvelles inscriptions d’appareils, les activités inhabituelles de consentement OAuth, les règles de boîte de réception suspectes et l’accès à Teams ou à OneDrive depuis des emplacements ou des agents utilisateurs qui ne correspondent pas au schéma normal de la personne. Un signal isolé peut s’expliquer. Un groupe de signaux, non.
| Élément à vérifier | Pourquoi c’est important en 2026 | Réponse pratique |
|---|---|---|
| Connexions avec flux de code d’appareil | Le FBI affirme que Kali365 abuse des étapes légitimes de vérification Microsoft et d’autorisation d’appareil | Restreindre ou bloquer via l’accès conditionnel après avoir audité l’usage réel |
| Jetons d’accès et d’actualisation OAuth | Le FBI affirme que la capture de jetons peut permettre un accès persistant à Microsoft 365 | Révoquez les sessions des utilisateurs suspects et examinez les autorisations des applications |
| Règles de boîte aux lettres | TechRepublic a signalé une activité liée à Kali365 impliquant des règles de boîte de réception malveillantes | Recherchez les règles de transfert, de suppression et de masquage créées après des connexions suspectes |
| Nouveaux enregistrements d’appareils | L’activité signalée chez les victimes comprenait de nouveaux enregistrements d’appareils | Validez la propriété des appareils et supprimez les appareils inconnus |
| Accès à Teams et OneDrive | Le FBI désigne Teams, Outlook et OneDrive comme services affectés | Examinez l’accès aux fichiers, les modifications de partage et l’activité inhabituelle dans les discussions |
Les équipes de sécurité utilisant un SOC ou une plateforme d’automatisation devraient les encoder comme des détections enchaînées, et non comme des alertes isolées. Une connexion via le flux de code d’appareil suivie d’une nouvelle règle de boîte de réception et d’un accès massif à OneDrive mérite une priorité plus élevée que n’importe lequel de ces événements pris isolément. Pour les équipes qui repensent l’automatisation de la réponse, cette vue d’ensemble d’une approche de plateforme SOC IA en 2026 constitue un contexte pertinent.
Un plan de réponse réaliste en cas de suspicion d’attaque Kali365
La rapidité compte, mais la panique crée des angles morts. Si vous soupçonnez un vol de jetons Kali365, conservez les journaux tout en coupant l’accès de l’attaquant. Ne vous contentez pas de réinitialiser le mot de passe et de considérer l’incident comme clos.
Révoquez les sessions actives du compte concerné, examinez l’exposition des jetons d’actualisation, supprimez les appareils suspects, inspectez les autorisations des applications OAuth et vérifiez les règles de boîte aux lettres. Ensuite, examinez l’activité dans Teams et OneDrive concernant l’accès aux fichiers, les modifications de partage et les messages envoyés depuis l’identité compromise.
Ensuite, élargissez la recherche aux personnes ayant reçu des leurres similaires. Les kits de phishing-as-a-service sont conçus pour des campagnes, pas pour des farces isolées. Le FBI indique que Kali365 comprend des modèles de campagne automatisés et des tableaux de bord de suivi des cibles, ce qui signifie qu’une victime confirmée peut n’être que la partie visible d’une opération plus large visant votre tenant.
Les communications méritent d’être traitées avec soin. Dites aux utilisateurs ce qui s’est passé en termes concrets : « Vous pourriez voir une invite de code d’appareil Microsoft que vous n’avez pas initiée ; n’entrez pas de codes provenant de liens dans des e-mails ou de messages de chat. » Des avertissements vagues apprennent aux gens à vous ignorer.
Il existe aussi un cas particulier pour les intervenants en réponse aux incidents : les comptes d’accès d’urgence. Les directives du FBI reconnaissent que, lorsqu’une restriction totale n’est pas possible, des exclusions peuvent être nécessaires pour les comptes d’urgence. Ces comptes devraient être peu nombreux, surveillés, physiquement protégés lorsque c’est approprié, et testés, car un compte d’urgence que personne ne peut utiliser pendant une panne n’est qu’une illusion.
Que penser de la couverture médiatique plus large
Plusieurs médias ont couvert l’avertissement du FBI à la fin mai 2026. TechRadar a mis en avant la capture de jetons OAuth et les e-mails de phishing qui dirigent les utilisateurs vers des pages légitimes de vérification Microsoft. ITPro a insisté sur les restrictions du flux de code d’appareil et l’audit des dépendances légitimes, et a rapporté le 26 mai 2026 que Microsoft n’avait pas répondu à sa demande de commentaire sur les attaques.
TechRepublic a identifié Outlook, Teams et OneDrive comme des services accessibles après le vol de jetons et a cité des informations sur les observations d’Arctic Wolf. The Cyber Signal a également évoqué Kali365 aux côtés d’EvilTokens et a affirmé que Microsoft avait signalé des centaines de compromissions de Microsoft 365 par jour dans les environnements touchés, mais ce chiffre n’a pas été trouvé dans les documents principaux du FBI ou de Microsoft fournis ici, vous ne devriez donc pas le considérer comme confirmé.
Mon avis : l’avertissement vérifié du FBI suffit pour agir sans exagérer l’histoire. Vous n’avez pas besoin d’un nombre mondial spectaculaire de compromissions pour justifier le blocage d’un flux d’authentification risqué. Une seule boîte mail financière avec un accès persistant par jeton peut ruiner un trimestre.
Pour une planification plus large des risques, rappelez-vous que Kali365 n’est pas un exploit zero-day au sens classique. Il abuse de flux d’identité légitimes et de la confiance humaine. Si vous voulez faire la distinction, cet explicatif sur ce qu’est un exploit zero-day en 2026 aide à distinguer les failles logicielles des abus d’identité.
FAQ
Qu’est-ce que Kali365 ?
Kali365 est une plateforme de phishing en tant que service qui, selon le FBI, est apparue en avril 2026 et cible les jetons OAuth de Microsoft 365. Elle est principalement distribuée via Telegram, selon le FBI.
Kali365 contourne-t-il l’authentification multifacteur Microsoft ?
Le FBI affirme que Kali365 peut contourner la MFA sans intercepter les identifiants des utilisateurs, en capturant les jetons d’accès et d’actualisation OAuth via un flux d’autorisation Microsoft légitime. La MFA reste utile contre de nombreuses attaques, mais elle ne suffit pas à elle seule ici.
Quelles applications Microsoft 365 sont affectées par Kali365 ?
Le FBI cite Outlook, Teams et OneDrive parmi les services Microsoft 365 concernés. Après le vol de jetons, des attaquants pourraient être en mesure d’accéder aux e-mails, aux discussions, aux fichiers et aux données de compte associées.
Faut-il bloquer complètement le flux de code de l’appareil ?
Pour de nombreux comptes d’utilisateurs normaux, bloquer ou restreindre le flux de code d’appareil est judicieux. Vérifiez d’abord l’utilisation légitime, car les appareils Teams, le matériel partagé ou les appareils à saisie limitée peuvent nécessiter des exclusions d’accès conditionnel ciblées.
Quelle est la première chose à faire après un soupçon de vol de token ?
Révoquez les sessions, supprimez les appareils suspects, inspectez les autorisations OAuth et vérifiez les règles de la boîte mail. Une simple réinitialisation du mot de passe peut ne pas supprimer l’accès persistant créé à l’aide de jetons volés.
FR 
EN 
ES