Le FBI alerte sur la présence de la plateforme Kali365, proposant l’hameçonnage comme un service. Celle-ci est utilisée pour pirater des comptes Microsoft 365. Elle exploite l’authentification par code d’appareil OAuth pour voler des jetons de session, ce qui lui permet aussi de contourner l’authentification multifacteur.
D’après une note du FBI, Kali365 est apparue pour la première fois en avril 2026. Sa diffusion s’effectue via des canaux Telegram à destination de cybercriminels. Ces derniers cherchent un moyen simplifié de compromettre des comptes Microsoft 365 sans avoir à dérober des mots de passe ou à intercepter des codes d’authentification multifacteur.
La plateforme utilise une méthode d’hameçonnage par code d’appareil. Cette technique, qui gagne en popularité, détourne le flux d’autorisation légitime OAuth 2.0 Device Authorization de Microsoft. L’objectif est d’obtenir un accès aux comptes Microsoft Entra et Microsoft 365.
Cette méthode d’authentification a été conçue à l’origine pour les appareils aux capacités de saisie limitées, comme les téléviseurs intelligents, les systèmes de salle de conférence ou les imprimantes. Elle leur permet de s’authentifier via un autre appareil en utilisant un code court sur le portail de connexion de Microsoft, http://microsoft.com/devicelogin.
Source : BleepingComputer
En février, BleepingComputer révélait que des gangs pratiquant l’extorsion, dont le groupe cybercriminel ShinyHunters, ciblaient des comptes Microsoft Entra via cette méthode et par hameçonnage vocal.
Lors de ces attaques, les pirates initient eux-mêmes le processus d’autorisation d’appareil pour générer un code. Ils dupent ensuite leurs cibles pour qu’elles saisissent ce code sur la page de connexion de Microsoft, en recourant à l’hameçonnage et à l’ingénierie sociale.
Dès que la victime entre le code et valide l’authentification multifacteur, Microsoft émet un jeton d’accès OAuth. Ce jeton donne au pirate un accès complet au compte sans qu’il ait besoin de relever les défis de l’authentification multifacteur.
Les attaquants obtiennent alors un accès total à toutes les applications auxquelles l’utilisateur peut normalement accéder via son compte à authentification unique. Cela inclut Microsoft 365, Salesforce ou toute autre plateforme SaaS cloud, qu’ils exploitent ensuite pour voler des données.
Le FBI prévient que Kali365 donne même à des attaquants peu qualifiés accès à des capacités d’hameçonnage avancées. Parmi celles-ci figurent des leurres générés par intelligence artificielle, des modèles automatisés de campagne, des tableaux de bord de suivi des victimes en temps réel et une fonctionnalité de capture de jetons.
Des chercheurs en sécurité d’Arctic Wolf ont signalé l’activité de Kali365 en avril, après avoir observé une vaste campagne qui ciblait des organisations dans le monde entier.
Ces chercheurs ont indiqué que les campagnes visaient principalement des environnements Microsoft 365. Des courriels d’hameçonnage redirigeaient les victimes vers le portail de connexion par code d’appareil de Microsoft, où elles autorisaient sans le savoir les attaquants à accéder à leurs comptes.
Les chercheurs ont précisé que les attaques qui en résultaient donnaient aux pirates l’accès aux boîtes aux lettres des victimes. Ils y créaient ensuite des règles de boîte de réception malveillantes, conçues pour masquer leur activité.
Dans certaines attaques, les pirates ont aussi enregistré de nouveaux appareils dans les environnements Microsoft des victimes, ce qui a prolongé leur accès au réseau compromis.
Arctic Wolf a constaté que Kali365 fonctionne comme une entreprise. Elle dispose d’administrateurs qui gèrent le développement du produit, de revendeurs qui promeuvent le service auprès d’autres acteurs malveillants, et d’affiliés qui mènent les campagnes d’hameçonnage.
Les chercheurs expliquent que la plateforme propose deux modes d’attaque distincts. Le premier est l’hameçonnage par code d’appareil. Le second est un mode d’attaque de type adversaire au milieu, nommé « Cookie Link ».
Cookie Link fait transiter les victimes par une infrastructure contrôlée par l’attaquant. Celle-ci capture les sessions de navigateur authentifiées, les cookies de session et les jetons après que les cibles se sont connectées et ont résolu les défis de l’authentification multifacteur.
Le FBI recommande aux entreprises de restreindre ou de bloquer complètement les flux d’authentification par code d’appareil lorsque c’est possible, en utilisant des stratégies d’accès conditionnel. Il conseille aussi d’auditer l’usage existant des codes d’appareil et de bloquer les politiques de transfert d’authentification qui permettent aux sessions d’authentification de passer d’un appareil à l’autre.
L’agence a également exhorté les organisations touchées à signaler les incidents au Internet Crime Complaint Center. Elle leur demande de conserver les courriels d’hameçonnage, les informations de connexion suspectes et les enregistrements d’appareils non autorisés.
L’hameçonnage par code d’appareil a connu une adoption généralisée en 2026. D’autres acteurs malveillants et plateformes l’utilisent désormais dans le cadre de leurs campagnes et attaques.
Cette adoption inclut les plateformes EvilTokens et Tycoon2FA, qui l’exploitent aussi pour compromettre des comptes Microsoft 365 et Entra.