● Next INpact Télécom 📅 17/06/2026 à 14:49

📡 Télécom & Opérateurs 👤 Vincent Hermann

🏷️ Tags : réseau

Les comptes Microsoft 365 visés par une campagne de phishing automatisée Et ça marche toujours aussi bien Illustration : Flock Vincent Hermann Le 17 juin à 16h49 Une campagne de phishing est en cours pour obtenir des jetons d’authentification Microsoft 365 ; prévient le FBI. La technique n’est pas nouvelle dans l’absolu, mais cette campagne s’appuie sur la plateforme Kali365 de « phishing-as-a-service », permettant une forte automatisation du processus. Une erreur ? En matière de sécurité, les experts sont unanimes : l’authentification multifacteur apporte une vraie couche de protection supplémentaire. Elle permet, dans sa forme la plus classique, de lier deux facteurs : une information mémorisée et une autre fournie par un équipement. Traditionnellement, il s’agit d’un mot de passe et d’une donnée délivrée par le smartphone, comme un code à six chiffres ou, plus directement, un jeton d’authentification. Bien que globalement efficace, cette protection n’est pas inviolable. Même si on le savait, l’alerte dressée par le FBI fournit un brusque rappel. Vol de jetons automatisé Le FBI a émis un avertissement public concernant une plateforme de phishing-as-a-service nommée Kali365, repérée pour la première fois en avril 2026 et diffusée principalement via Telegram. Cette plateforme permet aux cybercriminels d’obtenir des jetons d’accès Microsoft 365 et de contourner l’authentification multifacteur (MFA) sans même intercepter les identifiants des utilisateurs. Bien que l’avertissement date du 21 mai, la campagne est toujours en cours. La technique utilisée s’appelle le « device code phishing ». L’attaque commence par un email malveillant qui imite un service de cloud ou de partage de documents bien connu. Il contient un code d’appareil accompagné d’instructions pour se rendre sur une page de vérification Microsoft authentique et y saisir ce code Si la victime valide ce code, elle autorise sans le savoir l’appareil de l’attaque à accéder à son compte. L’accès obtenu grâce à la capture du jeton (OAuth) est persistant, le pirate ayant alors une connexion constante aux services liés, dont Outlook, Teams et OneDrive. La validation de cet accès permet au pirate de ne plus avoir besoin du mot de passe, ni de repasser par un autre facteur. Du moins si la configuration du compte est celle par défaut, car d’autres mécanismes peuvent se greffer ou modifier ce flux en entreprise. Redoutable Selon plusieurs entreprises spécialisées dans la sécurité, dont BitDefender, la technique est redoutable : puisqu’il s’agit du détournement d’un service authentique existant, « il n’y a pas de faux site à repérer, ni de nom de domaine mal orthographié. Le jeton volé unique peut débloquer d’autres applications cloud, transformant potentiellement un clic négligent en un incident de sécurité à grande portée ». Comme on a pu le voir par le passé, la technique n’est pas nouvelle. Mais elle demandait jusqu’à présent certains efforts dans la mise en place de serveurs spécifiques, la création de sites mimant les pages de Microsoft et la diffusion des emails de phishing. C’est là qu’intervient la plateforme Kali365 qui permet, pour environ 250 dollars par mois (ou 2 000 dollars par an), de générer par IA des leurres efficaces. Cette « suite » donne également accès à des tableaux de bord pour suivre les campagnes en cours et des modèles automatisés pour lancer des attaques. Une vaste campagne de phishing contre des clients Microsoft 365 contourne l’authentification multifacteurs De fausses applications Microsoft 365 pour voler des jetons d’authentification Kali365 semble être apparue en avril, ce que confirme également le FBI. BitDefender, qui avait relevé son existence, indiquait alors que durant ce seul mois, des centaines d’attaques avaient été repérées en Amérique du Nord et en Europe. « Grâce à l’abonnement à la plateforme Kali365, les cyber-acteurs peuvent capturer des jetons « OAuth » et obtenir un accès permanent aux environnements Microsoft 365 des individus ou entités ciblés. Kali365 abaisse la barrière d’entrée, offrant aux attaquants moins techniques un accès à des appâts de phishing générés par l’IA, des modèles de campagnes automatisés, des tableaux de bord ciblés en temps réel pour le suivi individuel et des entités, ainsi que des capacités de capture de tokens OAuth », résume ainsi le FBI. Que faire ? Les conseils donnés par le Bureau ou les entreprises de sécurité sont sans surprise dans ce contexte. En priorité, mettre en place une politique d’accès conditionnel dans les entreprises, c’est-à-dire définir précisément quel type d’appareil a le droit de se connecter au réseau. En instaurant ce type d’accès, on bloque le flux d’appareils, avec d’éventuelles exceptions pour certains cas très précis, comme pour les applications et processus métier. Il est également conseillé d’auditer le flux des jetons émis pour identifier les dépendances légitimes, de bloquer les politiques de transfert d’authentification et d’exclure les comptes d’accès d’urgence si l’utilisation des codes ne peut pas être restreinte. En outre, remplacer le deuxième facteur par un moyen ne pouvant faire l’objet d’un vol par phishing, comme les clés matérielles, rend caduc ce type d’opération. Il s’agit cependant de conseils pour les entreprises. Même si le grand public est moins souvent visé, l’automatisation des attaques peut faire basculer la pratique. Les conseils sont alors moins spécifiques, le premier d’entre eux étant toujours de vérifier soigneusement le domaine de l’expéditeur et les liens dans l’email. L’examen des mots et phrases peut également renseigner sur le sérieux du contenu. L’utilisation de suites de sécurité peut également aider. Interrogée par The Hill le 15 juin, Microsoft indique simplement qu’il est recommandé de suivre les conseils du FBI. Le porte-parole ajoute que l’entreprise avait déjà fait tomber plusieurs réseaux de ce type, dont Raccoon365. « Plus largement, Microsoft œuvre activement à perturber les écosystèmes cybercriminels derrière le phishing en tant que service et les activités de prise de contrôle de comptes afin de protéger nos clients », déclare-t-il. L’authentification multifacteurs en elle-même n’est pas remise en question. Il faut simplement se rappeler qu’il s’agit d’une protection supplémentaire et qu’une faille humaine est toujours possible. Cet article est en accès libre, mais il est le produit d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant. Accédez en illimité aux articles d'un média expert Profitez d'au moins 1 To de stockage pour vos sauvegardes Intégrez la communauté et prenez part aux débats Partagez des articles premium à vos contacts Abonnez-vous Signaler un commentaire Voulez-vous vraiment signaler ce commentaire ? Non Oui

🔗 Lire l'article original 👁️ 1 lecture