Le FBI Atlanta et la police indonésienne ont démantelé W3LLSTORE, un kit phishing Microsoft 365 vendu 500 $ ayant causé plus de 20 M$ de fraude.
En bref
- Le FBI Atlanta et la police nationale indonésienne ont démantelé la plateforme W3LLSTORE, annonce publiée le 13 avril 2026.
- Vendu environ 500 $, ce kit de phishing Microsoft 365 aurait permis plus de 20 millions de dollars de tentatives de fraude.
- Le développeur présumé, désigné par les initiales G.L., a été interpellé en Indonésie et les domaines C2 ont été saisis.
Ce qui s'est passé
Le bureau d'Atlanta du FBI a annoncé, conjointement avec la police nationale indonésienne, le démantèlement de W3LLSTORE, une place de marché clandestine qui distribuait depuis 2019 un kit de phishing conçu pour dérober des identifiants Microsoft 365 et contourner l'authentification multifacteur. Selon le communiqué officiel du FBI, il s'agit de la première action conjointe de lutte contre la cybercriminalité entre les États-Unis et l'Indonésie ciblant spécifiquement un développeur de kit de phishing.
W3LL, vendu environ 500 dollars à la pièce, fournissait à ses clients des pages de connexion factices imitant fidèlement l'interface Microsoft. Le kit capturait non seulement les mots de passe, mais aussi les cookies de session, permettant aux attaquants de rejouer une session MFA déjà validée et de maintenir l'accès pendant plusieurs jours. Entre 2023 et 2024, l'outil aurait été utilisé contre plus de 17 000 victimes, et la marketplace aurait facilité la vente de plus de 25 000 comptes compromis entre 2019 et 2023.
Après la fermeture publique de W3LLSTORE en 2023, l'opération avait continué via des canaux chiffrés, le produit étant rebaptisé et revendu sous d'autres noms. L'enquête, menée par le bureau d'Atlanta avec l'appui d'Europol et de partenaires privés, a finalement permis d'identifier le développeur présumé, désigné par les initiales G.L., ainsi que les domaines de contrôle toujours actifs.
Pourquoi c'est important
Les kits « Phishing-as-a-Service » comme W3LL sont responsables d'une part croissante des compromissions Microsoft 365, notamment parce qu'ils abaissent dramatiquement la barrière technique. Pour 500 $, un acteur sans compétences offensives peut monter une campagne de contournement MFA fonctionnelle. Frapper le développeur — plutôt que les seuls acheteurs — attaque la racine économique du problème et devrait retirer au moins temporairement un outil majeur du marché.
Pour les entreprises, cette opération rappelle deux évidences : le vol de cookie de session reste le vecteur dominant de contournement MFA, et les contrôles centrés sur la géographie ou le type d'appareil (Conditional Access, Token Protection) sont indispensables pour bloquer ces sessions rejouées. L'activation du MFA seule ne suffit plus depuis des années.
Ce qu'il faut retenir
- Le PhaaS n'est pas un risque théorique : W3LL, à lui seul, a facilité 20 M$ de tentatives de fraude et compromis au moins 17 000 comptes.
- Les contrôles MFA classiques ne suffisent plus face au vol de session — activer Conditional Access avec liaison appareil et Token Protection dans Entra ID.
- Surveiller les connexions réussies suivies immédiatement d'une règle Outlook d'auto-transfert ou de délégation : signature typique d'un kit de type W3LL post-authentification.
Le démantèlement de W3LL suffit-il à faire baisser le phishing MFA-bypass ?
Non. Plusieurs kits concurrents (EvilProxy, Tycoon 2FA, Storm-1575) occupent le même créneau. Ce type d'opération crée surtout un vide temporaire, le temps qu'un concurrent récupère les clients W3LL. La vraie parade côté défense reste le Token Protection d'Entra et la liaison d'appareil, qui invalident la session volée quel que soit le kit utilisé.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris · Habilitation Confidentiel Défense
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur GINA — le module d'authentification de Windows NT4 — et auteur de la version française du guide de sécurité Windows NT4 pour la NSA, il a forgé son expertise au cœur même des systèmes qui protègent des millions d'utilisateurs. Expert Judiciaire auprès de la Cour d'Appel de Paris et titulaire de l'Habilitation Confidentiel Défense, il intervient sur les dossiers les plus sensibles.
À la tête d'Ayi NEDJIMI Consultants, il dirige des missions de pentest d'infrastructures complexes, d'audit Active Directory, de rétro-ingénierie de malwares et de forensics numérique pour les forces de l'ordre et le secteur privé. Conférencier international (Europe & US), il a formé plus de 10 000 professionnels et réalisé plus de 100 missions d'audit — des PME aux grands groupes du CAC 40.
Certifié Microsoft MVP, Cisco CCIE, Juniper JNCIE-SEC et instructeur CEH, il développe également des solutions d'IA sur mesure (RAG, agents LLM, fine-tuning) et publie régulièrement des analyses techniques, guides méthodologiques et outils open source de référence.
Ressources & Outils de l'auteur
Articles connexes
n8n : webhooks abusés pour diffuser un agent RMM Datto
Cisco Talos documente l'abus des webhooks n8n.cloud pour livrer un agent RMM Datto modifié via phishing — volume en hausse de 686 % depuis janvier 2025.
Microsoft Defender : RedSun et UnDefend restent non patchés
Trois zero-days Defender exploités depuis le 10 avril : BlueHammer est patché, mais RedSun (SYSTEM) et UnDefend (blocage signatures) restent sans correctif.
170 procureurs ukrainiens piratés par des hackers liés à la Russie
Reuters révèle le 16 avril 2026 la compromission de 170 boîtes mail de procureurs et enquêteurs ukrainiens par des hackers liés à la Russie. 284 intrusions documentées sur 18 mois.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire