Centre de cyber sécurité

En cas d’urgence: 04 20 97 00 97

Kit de phishing « Kali365 » — vol de comptes Microsoft 365 sans mot de passe

par | 6 Juil 2026

🛡️ Bulletin de veille cybersécurité — CSIRT CyberCorsica TLP:CLEAR — Diffusion libre

Kit de phishing « Kali365 » — vol de comptes Microsoft 365 sans mot de passe

Bulletin spécial — 6 juillet 2026

⚡ L’essentiel en 30 secondes

🚨 ALERTE ÉLEVÉE — Kali365 : le FBI met en garde contre un kit de phishing « clé en main » qui détourne une fonctionnalité légitime de Microsoft (le « device code flow ») pour voler des jetons d’accès à des comptes Microsoft 365 — sans mot de passe et sans être bloqué par la double authentification (MFA). Si votre structure utilise Outlook, Teams ou OneDrive, chacun de vos collaborateurs est une cible potentielle.

ALERTE — VOL DE JETONS OAUTH

🔴 « Kali365 » : le phishing qui n’a plus besoin de votre mot de passe

📋 Situation

Kali365 est une plateforme de Phishing-as-a-Service (PhaaS) repérée pour la première fois en avril 2026 et distribuée par abonnement via Telegram. Elle permet à des cybercriminels peu qualifiés de lancer, en quelques minutes, des campagnes de vol de comptes Microsoft 365 grâce à des leurres générés par IA, des modèles de campagne prêts à l’emploi et un tableau de bord de suivi des victimes en temps réel.

Le FBI (Internet Crime Complaint Center) a publié l’alerte officielle I-052126-PSA le 21 mai 2026, confirmant l’ampleur de la menace et recommandant des mesures de restriction immédiates aux entreprises et administrations.

⚠️ Ce n’est pas une fausse page de connexion à repérer. La victime se connecte sur le véritable site microsoft.com, avec un certificat valide et sans faute de frappe dans l’URL — les réflexes classiques de vigilance ne suffisent plus.

⚙️ Comment se déroule l’attaque

ÉTAPE 1 — Le leurre
La victime reçoit un e-mail imitant un service de confiance (partage de document SharePoint, DocuSign, Adobe Sign…), contenant un code et une consigne : se rendre sur une page de vérification Microsoft pour l’y saisir.
ÉTAPE 2 — L’autorisation involontaire
La victime se rend sur la page officielle microsoft.com/devicelogin, s’authentifie normalement — MFA compris — et saisit le code, sans rien remarquer d’anormal.
ÉTAPE 3 — Le vol du jeton
Ce geste autorise en réalité l’appareil de l’attaquant. Microsoft lui délivre un jeton d’accès et de rafraîchissement OAuth valable pour Outlook, Teams et OneDrive.
ÉTAPE 4 — La persistance
Grâce au jeton de rafraîchissement, l’accès du pirate peut durer plusieurs semaines, voire plusieurs mois, sans nouvelle authentification ni alerte visible pour la victime.

🖥️ Organisations concernées

La campagne cible l’Amérique du Nord et la zone EMEA — donc l’Europe — avec des secteurs variés touchés : industrie, administrations publiques, finance, santé et éducation. Les comptes liés à la gestion administrative et à la paie sont particulièrement visés, avec des centaines de comptes compromis chaque jour selon les chercheurs. Toute structure utilisant Microsoft 365 — collectivité, association, entreprise, profession libérale — est potentiellement exposée.


✅ Actions immédiates à mener — par ordre de priorité

Principe de départ : ne jamais saisir un code de connexion Microsoft à la demande d’un e-mail, SMS ou message reçu. Cette démarche ne doit être lancée que par vous-même, sur votre propre appareil.

  1. Sensibiliser sans délai vos équipes : diffuser la consigne ci-dessus à l’ensemble des collaborateurs, en particulier aux fonctions administratives et paie.
  2. Restreindre le « device code flow » : demander à votre prestataire ou administrateur de créer une politique d’accès conditionnel dans Microsoft Entra ID bloquant ce mode d’authentification, à l’exception d’un compte d’urgence.
  3. Renforcer la MFA : privilégier une authentification résistante au phishing (clé de sécurité physique) plutôt qu’un simple code ou une notification push.
  4. Auditer les connexions : rechercher des connexions inhabituelles, de nouvelles autorisations d’applications OAuth ou des règles de messagerie créées automatiquement sur les comptes Microsoft 365.
  5. En cas de doute sur un compte compromis : révoquer toutes les sessions actives et changer le mot de passe — un simple changement de mot de passe ne suffit pas à couper l’accès du pirate tant que le jeton n’est pas révoqué.

📚 Sources

Source Lien
FBI IC3 — Alerte I-052126-PSA (21 mai 2026) ic3.gov
Bitdefender / Hot for Security bitdefender.com
IT-Connect — Analyse technique et remédiation Entra ID it-connect.fr
SpyCloud — Anatomie du kit Kali365 spycloud.com
Doppel — Kali365 Threat Brief doppel.com
Malwarebytes malwarebytes.com

📞 En cas d’incident cyber ou de doute sur votre exposition à Kali365 : contactez le CSIRT CyberCorsica dès les premiers signes de compromission.

📣 Sensibilisation : matinées gratuites pour les collectivités, associations et entreprises.

📧 contact@cyber.corsica  |  ☎️ 04 20 97 00 97  |  🌐 cyber.corsica

🛡️ Bénéficiaire du CSIRT : inscrivez-vous gratuitement pour un scan de vulnérabilités offert sur votre surface exposée.