Le FBI a émis une alerte publique concernant Kali365, une plateforme de phishing-as-a-service qui dérobe des tokens OAuth Microsoft à grande échelle, contournant le MFA sans avoir besoin du mot de passe de la victime. Repéré pour la première fois en avril 2026, le kit est vendu sur Telegram et a déjà attiré l'attention d'Arctic Wolf, qui a publié une analyse approfondie le même mois. The Register rapporte que la menace concerne directement les environnements Microsoft 365, de la messagerie à Teams en passant par l'ensemble des services cloud associés.
Un token OAuth volé, c'est une session authentifiée. Votre MFA ne sert à rien face à ça. L'attaquant n'a pas besoin de vos credentials, il emprunte directement votre session active et accède à vos emails, vos conversations Teams, vos fichiers SharePoint. Tout ce que votre compte M365 contient est à portée, sans déclencher les alertes habituelles liées à une tentative de connexion avec un mauvais mot de passe.
Ce qui distingue Kali365 des kits classiques, c'est la double mécanique d'attaque. Le premier vecteur repose sur le device code phishing : la victime reçoit un email qui usurpe l'identité d'Adobe Acrobat Sign, DocuSign ou SharePoint, contenant un code et un lien vers une page Microsoft légitime. En entrant ce code, elle enregistre involontairement l'appareil de l'attaquant sur son compte M365. Pas de faux site. Pas de page de login frauduleuse. Une interaction sur une vraie page Microsoft, et l'accès est accordé.
Le second vecteur est un proxy adversary-in-the-middle. La victime s'authentifie normalement via son navigateur, passe le MFA avec ses vraies credentials, mais tout transite par une infrastructure contrôlée par l'attaquant. Les cookies de session, les artefacts associés et les informations de session sont capturés en temps réel dans le panneau Kali365. L'attaquant génère ensuite des scripts pour rejouer ces sessions dans son propre environnement. Pour vos équipes SOC, la détection est nettement plus difficile : le comportement initial de l'utilisateur est totalement légitime.
Toute organisation utilisant Microsoft 365 est exposée, quelle que soit sa taille ou son secteur. Le kit cible spécifiquement les environnements M365, incluant Exchange Online, Teams et SharePoint. Il n'y a pas de version logicielle vulnérable au sens classique du terme : c'est le mécanisme OAuth lui-même et le flux de device code authentication qui sont exploités.
Kali365 prend en charge 15 langues, dont le français, ce qui signifie que les campagnes peuvent être localisées sans effort pour viser des cibles francophones. Les leurres générés par IA imitent des services de productivité cloud largement déployés en entreprise : Adobe Acrobat Sign, DocuSign et SharePoint. N'importe quel collaborateur qui reçoit régulièrement des demandes de signature électronique ou de partage de documents entre dans le périmètre de ciblage.
L'offre tiered du kit — Client Tier pour les attaquants individuels, Agent Tier pour les revendeurs, Admin Tier pour les développeurs — à 250 dollars par mois ou 2 000 dollars par an, signifie que la barrière d'entrée est volontairement basse. Des acteurs peu techniques peuvent mener des campagnes ciblées avec des tableaux de bord de suivi en temps réel. La surface d'attaque effective de votre organisation ne se limite pas à vos systèmes internes : elle inclut chaque boîte mail d'un collaborateur qui interagit avec des services cloud.
Désactiver ou restreindre le flux d'authentification par device code. Si votre organisation n'a pas de cas d'usage légitime pour ce flux OAuth (appareils sans navigateur, TV apps, etc.), bloquez-le via les politiques d'accès conditionnel Azure AD. Dans le portail Entra ID, créez une règle d'accès conditionnel ciblant le flux "Device code flow" et bloquez-le pour l'ensemble des utilisateurs. C'est la mesure la plus directe contre le premier vecteur d'attaque de Kali365.
Activer la détection des sessions suspectes via Microsoft Defender for Cloud Apps. Configurez des alertes sur les connexions depuis des IP inconnues ou des géolocalisations inhabituelles après authentification réussie. Les sessions rejouées par l'attaquant à partir de scripts générés via le panneau Kali365 peuvent présenter des anomalies de ce type. Croisez avec les logs d'audit Azure AD, notamment les événements "Add device" et "OAuth2PermissionGrant".
Former les utilisateurs sur les leurres de type document-sharing. Les emails imitant Adobe Acrobat Sign, DocuSign et SharePoint sont les vecteurs déclarés de Kali365. Un utilisateur qui sait qu'aucun service de signature légitime ne lui demande d'entrer un code dans un portail Microsoft séparé peut stopper l'attaque avant qu'elle n'aboutisse. Ciblez en priorité les fonctions exposées : finance, RH, direction juridique.
Surveiller les tokens OAuth actifs et révoquer les sessions anormales. Via le portail Entra ID ou PowerShell avec le module Microsoft Graph, auditez les tokens OAuth actifs associés à vos comptes à privilèges. La commande Revoke-MgUserSignInSession permet de forcer la révocation des sessions pour un utilisateur donné. En cas de suspicion de compromission, ne vous contentez pas de changer le mot de passe : révoquez les tokens actifs explicitement.
Mettre en place une surveillance des indicateurs de compromission liés au device code phishing. Le FBI ayant émis une alerte formelle sur Kali365, vérifiez que votre threat intelligence est à jour sur ce vecteur. Surveillez dans vos logs les authentifications via device code flow qui aboutissent à des enregistrements d'appareils non reconnus, et croisez avec les événements de création de règles de transfert de mail, signe classique d'une prise de contrôle de compte en cours.
Non. Les deux vecteurs d'attaque de Kali365 contournent le MFA. Le device code phishing n'exige pas de credentials. Le proxy AitM laisse la victime passer le MFA normalement, mais l'attaquant capture les cookies de session et les rejoue dans son propre environnement, sans avoir à reproduire l'étape d'authentification.
D'après les sources, une fois le token ou la session capturés, l'attaquant accède aux emails, à Microsoft Teams et à l'ensemble des services liés au compte M365 compromis. Cela inclut SharePoint, et potentiellement toute application connectée via OAuth au même compte.
C'est précisément le risque. Le FBI souligne que Kali365 abaisse la barrière d'entrée avec des leurres générés par IA, des templates de campagne automatisés et des tableaux de bord de suivi en temps réel. À 250 dollars par mois, des acteurs sans expertise technique peuvent mener des attaques ciblées et sophistiquées.
Arctic Wolf et les sources disponibles mentionnent EvilTokens comme plateforme similaire, également spécialisée dans le device code phishing, ayant fait l'actualité quelques semaines avant Kali365. Les deux kits sont souvent cités ensemble, mais leurs mécanismes techniques distincts n'ont pas été détaillés de façon comparative dans les sources disponibles.
