| 🛡️ Bulletin de veille cybersécurité — CSIRT CyberCorsica | TLP:CLEAR — Diffusion libre |
Kit de phishing « Kali365 » — vol de comptes Microsoft 365 sans mot de passe
⚡ L’essentiel en 30 secondes
🚨 ALERTE ÉLEVÉE — Kali365 : le FBI met en garde contre un kit de phishing « clé en main » qui détourne une fonctionnalité légitime de Microsoft (le « device code flow ») pour voler des jetons d’accès à des comptes Microsoft 365 — sans mot de passe et sans être bloqué par la double authentification (MFA). Si votre structure utilise Outlook, Teams ou OneDrive, chacun de vos collaborateurs est une cible potentielle.
ALERTE — VOL DE JETONS OAUTH
🔴 « Kali365 » : le phishing qui n’a plus besoin de votre mot de passe
📋 Situation
Kali365 est une plateforme de Phishing-as-a-Service (PhaaS) repérée pour la première fois en avril 2026 et distribuée par abonnement via Telegram. Elle permet à des cybercriminels peu qualifiés de lancer, en quelques minutes, des campagnes de vol de comptes Microsoft 365 grâce à des leurres générés par IA, des modèles de campagne prêts à l’emploi et un tableau de bord de suivi des victimes en temps réel.
Le FBI (Internet Crime Complaint Center) a publié l’alerte officielle I-052126-PSA le 21 mai 2026, confirmant l’ampleur de la menace et recommandant des mesures de restriction immédiates aux entreprises et administrations.
⚙️ Comment se déroule l’attaque
La victime reçoit un e-mail imitant un service de confiance (partage de document SharePoint, DocuSign, Adobe Sign…), contenant un code et une consigne : se rendre sur une page de vérification Microsoft pour l’y saisir.
La victime se rend sur la page officielle microsoft.com/devicelogin, s’authentifie normalement — MFA compris — et saisit le code, sans rien remarquer d’anormal.
Ce geste autorise en réalité l’appareil de l’attaquant. Microsoft lui délivre un jeton d’accès et de rafraîchissement OAuth valable pour Outlook, Teams et OneDrive.
Grâce au jeton de rafraîchissement, l’accès du pirate peut durer plusieurs semaines, voire plusieurs mois, sans nouvelle authentification ni alerte visible pour la victime.
🖥️ Organisations concernées
La campagne cible l’Amérique du Nord et la zone EMEA — donc l’Europe — avec des secteurs variés touchés : industrie, administrations publiques, finance, santé et éducation. Les comptes liés à la gestion administrative et à la paie sont particulièrement visés, avec des centaines de comptes compromis chaque jour selon les chercheurs. Toute structure utilisant Microsoft 365 — collectivité, association, entreprise, profession libérale — est potentiellement exposée.
✅ Actions immédiates à mener — par ordre de priorité
Principe de départ : ne jamais saisir un code de connexion Microsoft à la demande d’un e-mail, SMS ou message reçu. Cette démarche ne doit être lancée que par vous-même, sur votre propre appareil.
- Sensibiliser sans délai vos équipes : diffuser la consigne ci-dessus à l’ensemble des collaborateurs, en particulier aux fonctions administratives et paie.
- Restreindre le « device code flow » : demander à votre prestataire ou administrateur de créer une politique d’accès conditionnel dans Microsoft Entra ID bloquant ce mode d’authentification, à l’exception d’un compte d’urgence.
- Renforcer la MFA : privilégier une authentification résistante au phishing (clé de sécurité physique) plutôt qu’un simple code ou une notification push.
- Auditer les connexions : rechercher des connexions inhabituelles, de nouvelles autorisations d’applications OAuth ou des règles de messagerie créées automatiquement sur les comptes Microsoft 365.
- En cas de doute sur un compte compromis : révoquer toutes les sessions actives et changer le mot de passe — un simple changement de mot de passe ne suffit pas à couper l’accès du pirate tant que le jeton n’est pas révoqué.
📚 Sources
| Source | Lien |
|---|---|
| FBI IC3 — Alerte I-052126-PSA (21 mai 2026) | ic3.gov |
| Bitdefender / Hot for Security | bitdefender.com |
| IT-Connect — Analyse technique et remédiation Entra ID | it-connect.fr |
| SpyCloud — Anatomie du kit Kali365 | spycloud.com |
| Doppel — Kali365 Threat Brief | doppel.com |
| Malwarebytes | malwarebytes.com |
📞 En cas d’incident cyber ou de doute sur votre exposition à Kali365 : contactez le CSIRT CyberCorsica dès les premiers signes de compromission.
📣 Sensibilisation : matinées gratuites pour les collectivités, associations et entreprises.
📧 contact@cyber.corsica | ☎️ 04 20 97 00 97 | 🌐 cyber.corsica
🛡️ Bénéficiaire du CSIRT : inscrivez-vous gratuitement pour un scan de vulnérabilités offert sur votre surface exposée.

