Le FBI a r\u00e9v\u00e9l\u00e9 une menace in\u00e9dite pour les utilisateurs de Microsoft 365 : un outil de piratage nomm\u00e9 Kali365, vendu en abonnement \u00e0 partir de 250 dollars par mois. Ce kit de phishing-as-a-service (PhaaS) permet aux cybercriminels de prendre le contr\u00f4le de comptes Outlook, Teams ou OneDrive sans m\u00eame voler de mot de passe. L\u2019astuce ? Exploiter un m\u00e9canisme l\u00e9gitime de Microsoft, le code d\u2019appareil, pour contourner la double authentification.<\/p>\n
Kali365 op\u00e8re via des emails de phishing g\u00e9n\u00e9r\u00e9s par l\u2019intelligence artificielle. Ces messages, d\u00e9guis\u00e9s en notifications cloud (partage de document, alerte OneDrive\u2026), contiennent un code \u00e0 usage unique. L\u2019utilisateur est invit\u00e9 \u00e0 le saisir sur le site officiel microsoft.com\/devicelogin, un domaine valide sans faute d\u2019orthographe. L\u00e0 r\u00e9side la ruse : en entrant le code, l\u2019utilisateur autorise en r\u00e9alit\u00e9 un appareil distant (celui du pirate) \u00e0 se connecter \u00e0 son compte. Microsoft ne d\u00e9tecte rien, car la connexion semble l\u00e9gitime.<\/p>\n
Une fois le code valid\u00e9, Kali365 r\u00e9cup\u00e8re un jeton OAuth, un acc\u00e8s temporaire \u00e0 l\u2019ensemble des applications connect\u00e9es (Outlook, Teams, OneDrive\u2026). Ce jeton permet aux cybercriminels d\u2019envoyer des emails de hame\u00e7onnage depuis le compte victime, amplifiant l\u2019attaque. La double authentification, souvent per\u00e7ue comme un bouclier infaillible, devient alors inutile. Le FBI a document\u00e9 des centaines d\u2019attaques depuis avril 2026, ciblant des entreprises et des particuliers.<\/p>\n
Pour se pr\u00e9munir, le FBI recommande de d\u00e9sactiver le flux d\u2019authentification par code d\u2019appareil via les politiques d\u2019acc\u00e8s conditionnel de Microsoft. Les experts de MalwareBytes ajoutent un conseil crucial : ne jamais saisir un code sur une page Microsoft si un email ou message vous y invite sans contexte. Enfin, surveiller r\u00e9guli\u00e8rement les appareils connect\u00e9s \u00e0 son compte sur account.microsoft.com\/devices. Si un appareil inconnu est d\u00e9tect\u00e9, supprimer imm\u00e9diatement la session et changer le mot de passe. La cybercriminalit\u00e9 \u00e9volue, et les outils comme Kali365 rappellent que la vigilance reste la meilleure arme.<\/p>\n