Le 21 mai 2026, le FBI, par la voix de sa cellule cybercriminalité (IC3), a tiré la sonnette d’alarme. L’objet de l’inquiétude porte un nom presque anodin — Kali365 — et se monnaie quelque deux cent cinquante dollars par mois sur les canaux discrets de Telegram.
Pour cette somme dérisoire, n’importe quel apprenti malfaiteur, fût-il dépourvu du moindre savoir technique, peut désormais s’offrir une plateforme de phishing clé en main : interface soignée, fausses pages de connexion Microsoft d’un réalisme troublant, et un tableau de bord pour contempler, en direct, ses victimes tomber dans le piège. j’aurai presque envie de l’essayer 😉
Une rupture dans l’art de la fraude
Là où le phishing traditionnel s’obstinait à dérober identifiants et mots de passe, Kali365 vise plus haut, et plus subtil. L’outil capture le jeton OAuth — ce sésame invisible qui maintient une session ouverte sans réclamer sans cesse vos justifications. Or ce jeton, une fois en main, vaut toutes les clés du royaume : la double authentification, érigée depuis des années en rempart inviolable, se voit purement et simplement contournée. L’intrus s’installe alors dans la boîte mail, parcourt les fichiers OneDrive, fréquente les conversations Teams, sans qu’aucune alarme ne s’émeuve de sa présence.
Une moisson déjà considérable
Le bilan, en quelques semaines à peine, donne le vertige. Plusieurs centaines d’organisations frappées au seul mois d’avril, en Europe comme en Amérique du Nord. Industrie, éducation, administrations, banques, hôpitaux : aucun secteur ne semble épargné. Microsoft, de son côté, reconnaît voir tomber des centaines de comptes chaque jour, avec une prédilection marquée des assaillants pour les services de paie et de comptabilité — là où circulent les virements, et donc l’argent.
Le scénario est d’une élégante perversité : un courriel parfaitement crédible vous parvient, porteur d’un code de vérification et d’un lien menant à une vraie page Microsoft. Confiant, vous saisissez le code en croyant protéger votre compte ; ce geste-même, en réalité, vient d’ouvrir la porte. Too late.
Les gestes qui sauvent
Le FBI insiste sur quelques réflexes simples, presque triviaux, mais qu’on a tort de négliger. Avant toute saisie, jetez un œil à la barre d’adresse : si elle ne commence pas exactement par login.microsoftonline.com, refermez la page sans hésitation. Ne suivez jamais un lien de connexion reçu par messagerie — fût-il signé Microsoft ou estampillé du service informatique maison — mais rejoignez toujours le service par ses voies habituelles. Si un code de vérification surgit alors que vous n’avez rien demandé, c’est qu’on tente d’entrer en votre nom : ne saisissez rien, signalez le message.
Pour les administrateurs, l’enjeu se déplace vers les politiques d’accès conditionnel — ces garde-fous qui interrogent l’appareil, la géographie et le comportement avant d’accorder le passage. Et, plus largement, l’épisode vient confirmer ce que les voix les plus avisées de la cybersécurité répètent depuis longtemps : le mot de passe accompagné d’un code SMS n’est plus une protection, mais une illusion confortable. L’avenir appartient aux authentifications résistantes au phishing — Windows Hello for Business, FIDO2, passkeys — qui ne se laissent pas voler aussi aisément ce qu’elles n’ont, à proprement parler, jamais transmis.
voici ce que vous pouvez faire coté regles d’accés conditionnels
Restreindre le device code flow en limitant ou en bloquant les codes d’authentification par appareil peut contribuer à prévenir ou à atténuer ce type d’attaque.
- Créer une stratégie d’accès conditionnel bloquant le device code flow pour l’ensemble des utilisateurs, avec des exceptions limitées aux processus métier qui l’exigent.
- Auditer l’utilisation actuelle du device code flow afin d’identifier les dépendances légitimes avant de mettre en place la stratégie d’accès conditionnel.
- Bloquer les stratégies de transfert d’authentification (authentication transfer) pour empêcher les utilisateurs de transférer une authentification depuis un ordinateur vers un terminal mobile.
- S’il n’est pas possible de restreindre totalement l’usage du device code flow, exclure les comptes d’accès d’urgence (emergency access accounts) afin d’éviter tout verrouillage.
Laurent TERUIN
Travailler ensemble 