Connexion Premium

Les comptes Microsoft 365 visés par une campagne de phishing automatisée

Et ça marche toujours aussi bien

Les comptes Microsoft 365 visés par une campagne de phishing automatisée

Illustration : Flock

Une campagne de phishing est en cours pour obtenir des jetons d’authentification Microsoft 365 ; prévient le FBI. La technique n’est pas nouvelle dans l’absolu, mais cette campagne s’appuie sur la plateforme Kali365 de « phishing-as-a-service », permettant une forte automatisation du processus.

En matière de sécurité, les experts sont unanimes : l’authentification multifacteur apporte une vraie couche de protection supplémentaire. Elle permet, dans sa forme la plus classique, de lier deux facteurs : une information mémorisée et une autre fournie par un équipement. Traditionnellement, il s’agit d’un mot de passe et d’une donnée délivrée par le smartphone, comme un code à six chiffres ou, plus directement, un jeton d’authentification.

Bien que globalement efficace, cette protection n’est pas inviolable. Même si on le savait, l’alerte dressée par le FBI fournit un brusque rappel.

Vol de jetons automatisé

Le FBI a émis un avertissement public concernant une plateforme de phishing-as-a-service nommée Kali365, repérée pour la première fois en avril 2026 et diffusée principalement via Telegram. Cette plateforme permet aux cybercriminels d’obtenir des jetons d’accès Microsoft 365 et de contourner l’authentification multifacteur (MFA) sans même intercepter les identifiants des utilisateurs. Bien que l’avertissement date du 21 mai, la campagne est toujours en cours.

La technique utilisée s’appelle le « device code phishing ». L’attaque commence par un email malveillant qui imite un service de cloud ou de partage de documents bien connu. Il contient un code d’appareil accompagné d’instructions pour se rendre sur une page de vérification Microsoft authentique et y saisir ce code

Si la victime valide ce code, elle autorise sans le savoir l’appareil de l’attaque à accéder à son compte. L’accès obtenu grâce à la capture du jeton (OAuth) est persistant, le pirate ayant alors une connexion constante aux services liés, dont Outlook, Teams et OneDrive. La validation de cet accès permet au pirate de ne plus avoir besoin du mot de passe, ni de repasser par un autre facteur. Du moins si la configuration du compte est celle par défaut, car d’autres mécanismes peuvent se greffer ou modifier ce flux en entreprise.

Redoutable

Selon plusieurs entreprises spécialisées dans la sécurité, dont BitDefender, la technique est redoutable : puisqu’il s’agit du détournement d’un service authentique existant, « il n’y a pas de faux site à repérer, ni de nom de domaine mal orthographié. Le jeton volé unique peut débloquer d’autres applications cloud, transformant potentiellement un clic négligent en un incident de sécurité à grande portée ».

Comme on a pu le voir par le passé, la technique n’est pas nouvelle. Mais elle demandait jusqu’à présent certains efforts dans la mise en place de serveurs spécifiques, la création de sites mimant les pages de Microsoft et la diffusion des emails de phishing. C’est là qu’intervient la plateforme Kali365 qui permet, pour environ 250 dollars par mois (ou 2 000 dollars par an), de générer par IA des leurres efficaces. Cette « suite » donne également accès à des tableaux de bord pour suivre les campagnes en cours et des modèles automatisés pour lancer des attaques.

Kali365 semble être apparue en avril, ce que confirme également le FBI. BitDefender, qui avait relevé son existence, indiquait alors que durant ce seul mois, des centaines d’attaques avaient été repérées en Amérique du Nord et en Europe.

« Grâce à l’abonnement à la plateforme Kali365, les cyber-acteurs peuvent capturer des jetons « OAuth » et obtenir un accès permanent aux environnements Microsoft 365 des individus ou entités ciblés. Kali365 abaisse la barrière d’entrée, offrant aux attaquants moins techniques un accès à des appâts de phishing générés par l’IA, des modèles de campagnes automatisés, des tableaux de bord ciblés en temps réel pour le suivi individuel et des entités, ainsi que des capacités de capture de tokens OAuth », résume ainsi le FBI.

Que faire ?

Les conseils donnés par le Bureau ou les entreprises de sécurité sont sans surprise dans ce contexte. En priorité, mettre en place une politique d’accès conditionnel dans les entreprises, c’est-à-dire définir précisément quel type d’appareil a le droit de se connecter au réseau. En instaurant ce type d’accès, on bloque le flux d’appareils, avec d’éventuelles exceptions pour certains cas très précis, comme pour les applications et processus métier.

Il est également conseillé d’auditer le flux des jetons émis pour identifier les dépendances légitimes, de bloquer les politiques de transfert d’authentification et d’exclure les comptes d’accès d’urgence si l’utilisation des codes ne peut pas être restreinte. En outre, remplacer le deuxième facteur par un moyen ne pouvant faire l’objet d’un vol par phishing, comme les clés matérielles, rend caduc ce type d’opération.

Il s’agit cependant de conseils pour les entreprises. Même si le grand public est moins souvent visé, l’automatisation des attaques peut faire basculer la pratique. Les conseils sont alors moins spécifiques, le premier d’entre eux étant toujours de vérifier soigneusement le domaine de l’expéditeur et les liens dans l’email. L’examen des mots et phrases peut également renseigner sur le sérieux du contenu. L’utilisation de suites de sécurité peut également aider.

Interrogée par The Hill le 15 juin, Microsoft indique simplement qu’il est recommandé de suivre les conseils du FBI. Le porte-parole ajoute que l’entreprise avait déjà fait tomber plusieurs réseaux de ce type, dont Raccoon365. « Plus largement, Microsoft œuvre activement à perturber les écosystèmes cybercriminels derrière le phishing en tant que service et les activités de prise de contrôle de comptes afin de protéger nos clients », déclare-t-il.

L’authentification multifacteurs en elle-même n’est pas remise en question. Il faut simplement se rappeler qu’il s’agit d’une protection supplémentaire et qu’une faille humaine est toujours possible.

Commentaires (7)

votre avatar
Une grosse boîte que je connais s’est fait hackee deux fois comme ça. L’attaquant a ensuite utilisé cette technique via le compte utilisateur du tenant pour récupérer des token de connexion de clients via un lien onedrive provenant de la personne en question.
Quand on reçoit la notif, et qu’on connaît la personne, on ne se méfie pas…
Résultat : obligé de changer mot de passe et réinitialisation du MFA…
votre avatar
Que faire ?
On peut aussi bloquer géographiquement (via les IP) l’accès à son tenant avec les stratégies de conformité au lieu de laisser accessible au monde entier, pas encore de mis en place de mon côté car je viens d'apprendre il y a quelques jours que ça existait.
votre avatar
Je ne comprends pas en quoi l’utilisation d’une clé physique change la donne. Une fois l’accès autorisé par l’utilisateur via sa clé physique, la connexion à l’appareil qui est établie est permanente elle aussi, non ? Quelle différence avec un code temporaire à 6 chiffres d’une appli ?
votre avatar
C'est juste que c'est plus courant de forcer la présence de la clé physique à chaque connexion que le jeton smartphone je pense, car se reco à chaque nouvel authen, c'est lourdingue, alors que ta clé physique, elle peut rester sur ton PC tant que tu t'en sers, et donc que tu pourrais check toutes les heures que ça marcherait quand même (bien que si tu rajoutes le PIN ou la biométrie à à vérif sur la clé à chaque fois ça doit devenir vite lourdingue aussi...)
votre avatar
Bah c'est lourdingue aussi : redirections vers la page d'auth, Windows Hello qui pope... Même si c'est vaguement automatisé ça reste 10/15sec de redirection quand tu cliques sur un lien. Sans compter que tous les liens n'aiment pas être redirigé sur l'auth : il faut souvent fermer l'onglet recliquer une fois l'auth obtenu.
Bref, je rejoinds UnContemplateur : la clé physique n'apporte aucune sécurité dans ce cas.
votre avatar
Le meilleur conseil serait surtout d'éviter le cloud : un hack d'un service ne devrait pas ouvrir tout le SI de l'entreprise d'un coup ! Avec une solution OAuth classique chaque service à son jeton auth, voler un cookie d'auth teams n'ouvre que teams