Kali365 : alerte FBI sur le PhaaS qui contourne le MFA M365

Un service clé en main pour détourner les tokens OAuth de Microsoft 365

Le 21 mai 2026, l'IC3 (Internet Crime Complaint Center) du FBI a publié une alerte de sécurité (PSA260521) mettant en garde contre Kali365, une plateforme de Phishing-as-a-Service (PhaaS) apparue pour la première fois en avril 2026. En quelques semaines à peine, ce service a démontré une capacité redoutable à neutraliser l'une des défenses les plus largement déployées en entreprise : l'authentification multi-facteurs de Microsoft 365.

Ce qui distingue Kali365 des kits de phishing classiques, c'est sa méthode d'attaque. Plutôt que d'intercepter un code OTP ou de mettre en place un proxy de type Adversary-in-the-Middle entre la victime et Microsoft, Kali365 exploite le flux OAuth Device Code Flow — une fonctionnalité légitime de Microsoft conçue pour connecter des appareils sans navigateur (imprimantes intelligentes, terminaux de télévision, équipements industriels) à des services cloud. Ce vecteur d'attaque est d'autant plus dangereux qu'il utilise l'infrastructure authentique de Microsoft, rendant la détection côté client quasiment impossible.

Le scénario d'attaque est particulièrement insidieux. La victime reçoit un email de phishing usurpant l'identité d'un service de partage de documents ou d'une application cloud de confiance. Le message l'invite à confirmer son identité en saisissant un code court sur la page légitime microsoft.com/devicelogin. Ce que la victime ignore, c'est que ce code a été généré par l'attaquant. En le saisissant sur la vraie page Microsoft, elle autorise silencieusement l'appareil de l'attaquant à accéder à son compte, sans qu'aucun mot de passe ni code MFA ne soit jamais transmis à un tiers malveillant.

Une fois ce consentement OAuth obtenu, Kali365 récupère automatiquement les tokens d'accès et de rafraîchissement. Ces tokens permettent ensuite d'accéder à l'intégralité des services Microsoft 365 de la victime — Outlook, Teams, SharePoint, OneDrive, Exchange — sans déclencher la moindre alerte d'authentification suspecte dans les systèmes de détection classiques, puisque la connexion initiale s'est déroulée sur les serveurs authentiques de Microsoft avec le consentement explicite de l'utilisateur (même involontaire).

Le kit est distribué sur Telegram et se distingue par sa simplicité d'utilisation. Pour 250 dollars par mois ou 2 000 dollars par an par tenant ciblé, les acteurs malveillants sans compétence technique avancée accèdent à des leurres de phishing générés par intelligence artificielle, des modèles de campagnes automatisées, un tableau de bord de suivi en temps réel, et des mécanismes automatisés de capture de tokens OAuth. Selon les analyses de Help Net Security et de The Register, la plateforme propose également une documentation complète et un support client accessible 24h/24 via Telegram, à l'image d'un véritable service SaaS commercial.

La première vague d'attaques documentée remonte à avril 2026, lorsque plusieurs organisations américaines ont signalé des compromissions de comptes Microsoft 365 après des campagnes de phishing ciblées. L'analyse forensique a mis en évidence le recours systématique au device code flow dans les journaux d'authentification Azure Active Directory, conduisant les équipes de Microsoft et du FBI à identifier Kali365 comme la source commune de ces incidents. Plusieurs victimes dans les secteurs de la finance et de la santé ont subi des pertes de données significatives avant de détecter la compromission.

D'après les données collectées par le FBI, les secteurs les plus ciblés sont la finance, la santé, les cabinets juridiques et les administrations publiques — des environnements où Microsoft 365 est omniprésent et où la valeur des données accessibles via les boîtes Outlook et les espaces SharePoint est considérable. Des compromissions de boîtes mail ont été utilisées pour lancer des attaques de type Business Email Compromise depuis les comptes légitimes des victimes, contournant ainsi les filtres anti-spam puisque l'email provient d'un expéditeur de confiance connu des destinataires.

Le FBI souligne que Kali365 s'appuie sur des leurres de phishing générés par IA particulièrement convaincants, personnalisés selon les informations publiques disponibles sur la cible (LinkedIn, sites web d'entreprise, annuaires professionnels). Cette personnalisation à grande échelle représente une rupture technologique : chaque email semble écrit sur mesure, avec les bons noms, les bons contextes professionnels et les bons appels à l'action, rendant la détection par les utilisateurs finaux extrêmement difficile même pour les personnes sensibilisées.

Le PhaaS, accélérateur de la démocratisation des cyberattaques sophistiquées

L'émergence de Kali365 s'inscrit dans une tendance lourde que les chercheurs en sécurité observent depuis 2023 : la transformation de l'écosystème cybercriminel en véritable marché de services. Là où une attaque contournant le MFA nécessitait auparavant des compétences techniques pointues et des semaines de développement, un abonnement Kali365 permet désormais à un acteur peu qualifié de lancer une campagne ciblée en quelques heures, avec un ROI potentiel considérable rapporté au coût d'entrée de 250 dollars mensuels.

Le précédent le plus parlant est EvilProxy, apparu en 2022, qui avait démocratisé les attaques Adversary-in-the-Middle contre Microsoft 365 et Google. Kali365 représente une évolution encore plus insidieuse : l'attaque ne passe plus par un proxy intermédiaire potentiellement détectable par l'analyse du certificat TLS ou de l'URL de phishing, mais par l'infrastructure authentique de Microsoft elle-même. Pour les solutions de sécurité basées sur la détection d'URLs de phishing ou de proxies suspects, Kali365 est pratiquement invisible lors de la phase d'authentification critique.

Pour les équipes SOC, l'enjeu est désormais de détecter non pas la phase d'attaque initiale — qui se déroule entièrement sur les serveurs légitimes de Microsoft — mais ses conséquences : des tokens OAuth valides utilisés depuis des adresses IP insolites, des horaires de connexion inhabituels, ou des accès à des ressources jamais consultées par l'utilisateur. Les solutions SIEM et XDR capables de corréler ces signaux faibles dans les journaux Azure AD deviennent absolument critiques. Microsoft Sentinel et Defender for Cloud Apps disposent de règles de détection spécifiques pour le device code flow anormal que les équipes de sécurité sont invitées à activer en priorité.

L'alerte du FBI intervient dans un contexte où l'ANSSI et le NCSC britannique avaient déjà signalé en début d'année 2026 une montée en puissance des attaques ciblant les tokens OAuth, qualifiant ce vecteur de prochaine frontière du vol d'identité en entreprise. La standardisation de l'OAuth 2.0 dans les écosystèmes cloud a créé une surface d'attaque homogène et prévisible que les acteurs malveillants exploitent désormais à grande échelle. La réponse défensive passe obligatoirement par des politiques d'accès conditionnel granulaires dans Azure AD, et non plus par le seul déploiement du MFA, qui s'avère insuffisant face à cette nouvelle génération d'attaques.

Ce qu'il faut retenir

• Kali365 est un PhaaS opérationnel depuis avril 2026, vendu 250 $/mois sur Telegram, capable de contourner le MFA M365 via le device code OAuth flow sans jamais intercepter les credentials de l'utilisateur.
• Les tokens OAuth volés donnent accès silencieusement à Outlook, Teams, SharePoint et OneDrive, facilitant les attaques BEC depuis des comptes d'expéditeurs légitimes de confiance.
• Actions recommandées : restreindre le device code flow via les politiques d'accès conditionnel Azure AD, surveiller les journaux d'authentification pour les connexions device code depuis des IP inconnues, et sensibiliser les utilisateurs à ne jamais saisir un code reçu par email sur une page Microsoft.