Une nouvelle menace, redoutablement efficace, plane sur des millions de comptes professionnels. Le FBI a officiellement émis une alerte concernant Kali365, une plateforme de type PhaaS (Phishing-as-a-Service, ou hameçonnage en tant que service) vendue sur Telegram. Son objectif : pirater les comptes Microsoft 365 en rendant l’authentification multifacteur (MFA) totalement obsolète. L’attaque ne vise plus à voler les mots de passe, mais à subtiliser directement les jetons de session qui prouvent qu’un utilisateur est déjà connecté et authentifié.
Comment fonctionne cette nouvelle cyberattaque ?
L’ingéniosité de Kali365 réside dans le détournement d’un processus d’authentification légitime de Microsoft, le « device code flow ». Ce mécanisme est initialement conçu pour connecter des appareils à faible capacité de saisie, comme une imprimante ou une smart TV. Les pirates envoient un email de hameçonnage contenant un simple code et un lien vers la page officielle de connexion de Microsoft (`microsoft.com/devicelogin`).
La victime, pensant effectuer une action de routine, entre le code fourni sur une page de confiance. En faisant cela, elle ne fait qu’autoriser l’appareil de l’attaquant à se connecter en son nom. Le pirate récupère alors un jeton d’accès OAuth, lui donnant un accès complet à l’environnement de la victime (Outlook, Teams, OneDrive) sans jamais avoir eu besoin du mot de passe ni de déjouer le MFA. La barrière de sécurité est tout simplement contournée.
Pourquoi l’authentification multifacteur est-elle impuissante ?
Pour les pirates, il ne s’agit plus de voler un mot de passe que le MFA pourrait bloquer, mais de manipuler l’humain pour qu’il donne lui-même une autorisation légitime. L’utilisateur s’authentifie sur le vrai site de Microsoft, valide la notification MFA sur son téléphone et pense avoir sécurisé une opération. Sauf que l’action finale, ce fameux « clic », est un consentement. Un consentement qui offre un accès durable au pirate.
C’est tout le problème du « consent phishing ». Au fil des ans, nous avons été dressés à cliquer sur « Accepter » sans réfléchir pour lier des applications tierces à nos comptes. Les pirates exploitent cette habitude. Une fois le jeton obtenu, il peut rester valide des semaines, voire des mois, survivant même à un changement de mot de passe. L’attaquant dispose alors d’un accès persistant et discret à tout l’écosystème Microsoft 365 de sa cible.
Quelles sont les solutions pour protéger son entreprise ?
Face à cette menace qui s’appuie sur la confiance et des mécanismes légitimes, la défense doit évoluer. Le FBI et les experts en cybersécurité préconisent des mesures techniques fermes plutôt que de reposer uniquement sur la vigilance des employés, qui est ici facilement trompée.
La recommandation principale est de revoir drastiquement les politiques d’accès conditionnel (Conditional Access policies) dans l’interface d’administration de Microsoft. L’idéal est de bloquer ou, à défaut, de restreindre sévèrement le flux d’authentification par code d’appareil. Il est possible de limiter son usage à des utilisateurs spécifiques, des adresses IP connues ou des appareils enregistrés et conformes. Un audit des journaux de connexion est également crucial pour détecter toute utilisation anormale ou suspecte de cette fonctionnalité.
Foire Aux Questions (FAQ)
Qu’est-ce que Kali365 exactement ?
Kali365 est une plateforme de cybercriminalité vendue comme un service (PhaaS). Elle fournit aux pirates, même peu qualifiés, des outils « clés en main » (modèles d’emails, tableaux de bord) pour mener des campagnes de phishing sophistiquées visant à contourner l’authentification multifacteur sur les comptes Microsoft 365.
Suis-je à risque si j’utilise l’authentification multifacteur ?
Oui. L’attaque par « device code phishing » utilisée par Kali365 est spécifiquement conçue pour contourner le MFA. Votre protection repose sur le fait que l’utilisateur est trompé pour autoriser l’attaquant après s’être lui-même authentifié. Le MFA seul ne suffit donc pas si vos politiques de sécurité autorisent ce type de connexion.