En bref

  • Le FBI Atlanta et la police nationale indonésienne ont démantelé la plateforme W3LLSTORE, annonce publiée le 13 avril 2026.
  • Vendu environ 500 $, ce kit de phishing Microsoft 365 aurait permis plus de 20 millions de dollars de tentatives de fraude.
  • Le développeur présumé, désigné par les initiales G.L., a été interpellé en Indonésie et les domaines C2 ont été saisis.

Ce qui s'est passé

Le bureau d'Atlanta du FBI a annoncé, conjointement avec la police nationale indonésienne, le démantèlement de W3LLSTORE, une place de marché clandestine qui distribuait depuis 2019 un kit de phishing conçu pour dérober des identifiants Microsoft 365 et contourner l'authentification multifacteur. Selon le communiqué officiel du FBI, il s'agit de la première action conjointe de lutte contre la cybercriminalité entre les États-Unis et l'Indonésie ciblant spécifiquement un développeur de kit de phishing.

W3LL, vendu environ 500 dollars à la pièce, fournissait à ses clients des pages de connexion factices imitant fidèlement l'interface Microsoft. Le kit capturait non seulement les mots de passe, mais aussi les cookies de session, permettant aux attaquants de rejouer une session MFA déjà validée et de maintenir l'accès pendant plusieurs jours. Entre 2023 et 2024, l'outil aurait été utilisé contre plus de 17 000 victimes, et la marketplace aurait facilité la vente de plus de 25 000 comptes compromis entre 2019 et 2023.

Après la fermeture publique de W3LLSTORE en 2023, l'opération avait continué via des canaux chiffrés, le produit étant rebaptisé et revendu sous d'autres noms. L'enquête, menée par le bureau d'Atlanta avec l'appui d'Europol et de partenaires privés, a finalement permis d'identifier le développeur présumé, désigné par les initiales G.L., ainsi que les domaines de contrôle toujours actifs.

Pourquoi c'est important

Les kits « Phishing-as-a-Service » comme W3LL sont responsables d'une part croissante des compromissions Microsoft 365, notamment parce qu'ils abaissent dramatiquement la barrière technique. Pour 500 $, un acteur sans compétences offensives peut monter une campagne de contournement MFA fonctionnelle. Frapper le développeur — plutôt que les seuls acheteurs — attaque la racine économique du problème et devrait retirer au moins temporairement un outil majeur du marché.

Pour les entreprises, cette opération rappelle deux évidences : le vol de cookie de session reste le vecteur dominant de contournement MFA, et les contrôles centrés sur la géographie ou le type d'appareil (Conditional Access, Token Protection) sont indispensables pour bloquer ces sessions rejouées. L'activation du MFA seule ne suffit plus depuis des années.

Ce qu'il faut retenir

  • Le PhaaS n'est pas un risque théorique : W3LL, à lui seul, a facilité 20 M$ de tentatives de fraude et compromis au moins 17 000 comptes.
  • Les contrôles MFA classiques ne suffisent plus face au vol de session — activer Conditional Access avec liaison appareil et Token Protection dans Entra ID.
  • Surveiller les connexions réussies suivies immédiatement d'une règle Outlook d'auto-transfert ou de délégation : signature typique d'un kit de type W3LL post-authentification.

Le démantèlement de W3LL suffit-il à faire baisser le phishing MFA-bypass ?

Non. Plusieurs kits concurrents (EvilProxy, Tycoon 2FA, Storm-1575) occupent le même créneau. Ce type d'opération crée surtout un vide temporaire, le temps qu'un concurrent récupère les clients W3LL. La vraie parade côté défense reste le Token Protection d'Entra et la liaison d'appareil, qui invalident la session volée quel que soit le kit utilisé.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact