Une nouvelle plateforme PhaaS baptisée Forg365 cible les comptes Microsoft 365 en combinant intelligence artificielle, attaques AiTM et abus du flux OAuth device code pour contourner le MFA. Distribuée via Telegram à partir de 400 $/mois, elle automatise des campagnes de phishing avancées.
En bref
- Forg365, nouvelle plateforme de phishing-as-a-service (PhaaS), combine l'intelligence artificielle, l'attaque adversary-in-the-middle (AiTM) et l'abus du flux OAuth 2.0 de codes device Microsoft pour compromettre des comptes Microsoft 365 d'entreprise.
- Distribuée via Telegram selon un modèle SaaS (400 $/mois, 3 800 $/an), la plateforme cible les organisations dans tous les secteurs et contourne nativement l'authentification multifacteur (MFA).
- Les équipes de sécurité doivent désactiver l'authentification par code device Microsoft lorsqu'elle n'est pas opérationnellement indispensable et surveiller les journaux Microsoft Entra pour détecter des activités suspectes.
Une plateforme PhaaS professionnelle au service de l'attaque Microsoft 365
Les chercheurs en sécurité de ZeroBEC ont publié le 9 juillet 2026 l'analyse détaillée d'une nouvelle plateforme de phishing-as-a-service baptisée Forg365. Entièrement distribuée via Telegram, cette infrastructure clé en main adopte un modèle économique calqué sur celui d'un éditeur SaaS légitime : essai gratuit de cinq jours, abonnement mensuel à 400 dollars et formule annuelle à 3 800 dollars. Son objectif est précis — compromettre des comptes Microsoft 365 professionnels en contournant systématiquement l'authentification multifacteur. Selon BleepingComputer, la plateforme était déjà actionnée contre des organisations des secteurs financier, juridique, santé et gouvernemental en Europe et en Amérique du Nord au moment de sa divulgation.
Ce qui distingue Forg365 de ses prédécesseurs dans l'écosystème PhaaS, c'est l'intégration de trois capacités d'attaque combinées dans un seul panneau de contrôle : l'adversary-in-the-middle (AiTM), le détournement du flux OAuth 2.0 de code device, et la génération automatique de leurres par intelligence artificielle. Les opérateurs de la plateforme n'ont plus besoin de compétences techniques avancées pour conduire des campagnes sophistiquées — Forg365 automatise l'essentiel du travail offensif, de la génération du leurre à la capture du token de session.
Le premier vecteur d'attaque exploite le flux d'authentification par code device de Microsoft, un mécanisme légitime conçu à l'origine pour les appareils aux interfaces limitées (télévisions connectées, terminaux industriels, consoles). Dans ce flux, l'utilisateur saisit un code court sur une page Microsoft officielle pour autoriser un appareil à accéder à son compte. Forg365 abuse de ce mécanisme en générant un code d'appareil contrôlé par l'attaquant, puis en envoyant à la victime une fausse page de vérification Microsoft parfaitement répliquée. Si la victime saisit le code, l'attaquant obtient immédiatement un token d'accès Microsoft valide lié au compte cible — sans jamais avoir eu besoin du mot de passe ni du second facteur d'authentification.
Le second vecteur repose sur l'AiTM classique : Forg365 déploie un proxy transparent entre la victime et l'infrastructure Microsoft d'authentification. Toutes les requêtes transitent par ce proxy, qui intercepte au passage les cookies de session et les tokens OAuth en temps réel. Contrairement au phishing traditionnel qui ne capture que les identifiants statiques, l'AiTM saisit la session active post-MFA, permettant à l'attaquant de rejouer cette session sans rencontrer aucun nouveau défi d'authentification. La victime peut avoir répondu correctement à son application d'authentification — sa session est néanmoins compromise.
L'intégration de l'IA dans la génération de leurres représente une évolution majeure. Forg365 utilise des modèles de langage pour produire des emails de phishing contextualisés et personnalisés selon le secteur d'activité ciblé, le rôle présumé de la victime et les événements récents de l'organisation. L'analyse de ZeroBEC souligne que cette automatisation réduit drastiquement le temps de préparation d'une campagne et améliore les taux de clic en produisant des contenus dépourvus des marqueurs classiques du phishing (fautes d'orthographe, formulations génériques, expéditeurs suspects). Face à ces leurres sur mesure, la détection humaine seule devient inefficace.
Une fois l'accès obtenu, Forg365 inclut une extension de navigateur permettant à l'attaquant de maintenir un accès persistant aux services Microsoft liés au compte compromis, sans nécessité de réauthentification. L'extension se greffe sur les sessions actives et peut exfiltrer des emails, des fichiers SharePoint et OneDrive, des conversations Teams et des données de calendrier. Le panneau de contrôle intègre également des modules post-compromission : création de règles de redirection d'emails, ajout de nouveaux appareils à l'inventaire Microsoft Entra, modification des politiques d'accès conditionnel depuis le compte compromis.
La gestion des tokens et cookies capturés est centralisée dans le tableau de bord, où les opérateurs visualisent en temps réel les sessions actives, leur durée de validité résiduelle et les permissions associées. L'interface propose des fonctionnalités de tri par organisation cible, par rôle utilisateur et par niveau d'accès aux ressources cloud — trahissant une orientation claire vers les comptes à hauts privilèges : administrateurs Microsoft 365, responsables financiers, directeurs des ressources humaines.
L'infrastructure de Forg365 est conçue pour la résilience et l'évasion des systèmes de détection. La plateforme s'appuie sur un réseau de proxies résidentiels pour masquer l'origine des sessions frauduleuses, des domaines typosquattés renouvelés quotidiennement, et un système de rotation d'adresses IP pour contourner les listes de blocage. Cette architecture rend la détection fondée sur des indicateurs statiques (adresses IP, noms de domaine) particulièrement inefficace, imposant aux défenseurs de miser sur des signaux comportementaux et contextuels plutôt que sur des indicateurs de compromission classiques.
La plateforme propose également un module de gestion de campagnes multi-cibles permettant aux opérateurs de suivre en temps réel le statut de centaines de cibles simultanées. Ce niveau d'industrialisation opérationnelle rapproche Forg365 des offres des groupes cybercriminels les plus organisés, tout en la rendant accessible à des acteurs moins expérimentés. D'après les données de ZeroBEC, plusieurs dizaines de campagnes actives utilisant Forg365 ont été détectées dans les semaines précédant la divulgation, ciblant principalement des PME et des organisations de taille intermédiaire déployant M365 sans politiques d'accès conditionnel avancées.
La démocratisation des attaques contre l'identité cloud : un seuil critique franchi
L'émergence de Forg365 s'inscrit dans une tendance lourde documentée par de nombreux acteurs de la recherche en sécurité : la commoditisation des attaques contre les identités cloud. Il y a cinq ans, une attaque AiTM ciblant Microsoft 365 nécessitait des compétences offensives avancées, une infrastructure personnalisée et un temps de développement significatif. Aujourd'hui, Forg365 compresse cette barrière à l'entrée jusqu'à un simple abonnement Telegram et quelques centaines de dollars par mois. Cette évolution ne représente pas seulement un changement de degré — c'est un changement de nature dans le paysage des menaces.
L'abus du flux OAuth device code n'est pas nouveau — Microsoft a publié plusieurs avertissements sur ce vecteur depuis 2021, et le groupe Midnight Blizzard (anciennement Nobelium) l'exploitait dès 2023 — mais son intégration dans une plateforme PhaaS commerciale à bas coût marque un saut qualitatif. Les équipes de sécurité qui avaient implémenté le MFA comme seule barrière de protection se retrouvent exposées : Forg365 contourne nativement le MFA par conception, que ce soit via l'interception de session post-MFA (AiTM) ou via le flux device code qui, par nature, ne génère pas de défi MFA classique.
L'intégration de l'IA pour la personnalisation des leurres soulève une question structurelle pour les programmes de sensibilisation. Les formations anti-phishing traditionnelles apprennent aux employés à détecter des indicateurs statiques : fautes d'orthographe, adresses d'expéditeurs suspectes, mises en forme inhabituelles. Les leurres générés par IA sur mesure éliminent précisément ces marqueurs, rendant caduques les approches fondées uniquement sur la vigilance individuelle. La réponse efficace doit reposer sur des contrôles techniques — politiques d'accès conditionnel Entra, restriction du flux device code, Continuous Access Evaluation — plutôt que sur la seule formation.
Du point de vue réglementaire, la compromission de comptes M365 via des plateformes comme Forg365 expose les organisations à des obligations RGPD significatives. L'accès non autorisé à des boîtes emails, des documents SharePoint ou des conversations Teams constitue une violation de données personnelles au sens de l'article 4 du RGPD, imposant une notification à l'autorité de protection des données compétente dans les 72 heures suivant la prise de connaissance. Les organisations des secteurs financier et des infrastructures critiques font face à des obligations supplémentaires sous DORA et la directive NIS2, avec des exigences de notification et de remédiation encore plus strictes.
Ce qu'il faut retenir
- Désactiver l'authentification par code device Microsoft via les politiques d'accès conditionnel Entra, sauf besoin opérationnel documenté et approuvé.
- Déployer une surveillance continue des journaux Entra pour détecter les authentifications device code anormales, les nouvelles inscriptions d'appareils et les activités OAuth inhabituelles.
- Auditer régulièrement les règles de messagerie, les délégations d'accès et les applications OAuth autorisées dans tous les tenants Microsoft 365 de l'organisation.
Le MFA protège-t-il contre Forg365 ?
Non. Forg365 contourne nativement le MFA par deux méthodes distinctes : l'AiTM intercepte la session complète après que l'utilisateur légitime a validé son MFA, tandis que le flux device code ne génère pas de défi MFA classique puisqu'il repose sur l'autorisation d'un code via une page Microsoft officielle. Seules des politiques d'accès conditionnel restrictives — exigence de conformité des appareils, restriction ou désactivation du flux device code, politiques de risque d'identité Entra ID Protection, et Continuous Access Evaluation — offrent une protection réellement efficace.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
81 millions d'attaques credential spray visant M365
La firme Huntress a documenté une campagne de credential spray sans précédent : 81 millions de tentatives de connexion en 14 jours sur des environnements Microsoft 365, avec 78 comptes compromis dans 64 organisations. L'infrastructure LSHIY LLC et l'abus d'Azure CLI sont au cœur de l'opération.
Ubiquiti : 11 failles critiques corrigées dans UniFi OS
Ubiquiti a patché 11 vulnérabilités critiques dans son écosystème UniFi OS, dont CVE-2026-50746 noté CVSS 10.0, permettant l'exécution de commandes arbitraires sans authentification dans UniFi Connect. Plus de 100 000 instances sont exposées en ligne selon Censys.
Meta Muse Spark 1.1 : le modèle IA agentique low-cost qui défie OpenAI et Anthropic
Meta a lancé Muse Spark 1.1 le 9 juillet 2026, un modèle IA multimodal conçu pour les agents autonomes et le coding, avec une fenêtre contextuelle d'un million de tokens et une tarification agressive.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire