Le FBI a émis une alerte de sécurité concernant Kali365, une nouvelle plateforme de Phishing-as-a-Service (PhaaS) repérée pour la première fois en avril 2026. Distribué via Telegram, ce kit de phishing permet à des pirates d’obtenir des jetons d’accès Microsoft 365. Il a une particularité : il détourne la méthode d’accès Device Authorization d’OAuth 2.0 pour accéder à des comptes Microsoft, sans même avoir à intercepter les identifiants des utilisateurs.

Un kit de phishing basé sur le vol de jetons OAuth

Pour rappel, le modèle du Phishing-as-a-Service (PhaaS) permet à des cybercriminels d’accéder à des kits de phishing prêts à l’emploi en échange d’un abonnement payant ou d’un paiement unique. Le nouveau kit surnommé Kali365 appartient à cette catégorie. Il met à la disposition des pirates un arsenal de fonctionnalités taillées pour cibler les comptes Microsoft 365 :

• Des modèles de messages de phishing générés par IA (y compris en plusieurs langues),
• Des modèles de campagnes automatisés,
• Des tableaux de bord de suivi des cibles en temps réel,
• Des capacités de capture de jetons OAuth.

Le fonctionnement de cette arnaque repose sur l’exploitation du flux de code d’appareil (appelé “device code flow”) proposé par OAuth 2.0. Cette méthode d’authentification est souvent utilisée pour se connecter sur les périphériques et les appareils aux capacités limitées (une Smart TV, un système de conférence, par exemple).

Comme l’explique le FBI dans sa publication, l’attaque orchestrée via le kit Kali365 se déroule en 4 étapes :

1. Le leurre : l’attaquant transmet un e-mail de phishing usurpant l’identité de services de partage de documents de confiance. Ce message contient un code d’appareil ainsi que des instructions demandant à la victime de se rendre sur une page de vérification légitime de Microsoft pour y saisir ce code.
2. L’autorisation : la personne ciblée navigue vers la véritable page de Microsoft et y colle le code fourni, autorisant ainsi, sans le savoir, l’appareil de l’attaquant à accéder à son propre compte.
3. Le vol de jetons : le cybercriminel capture les jetons d’accès OAuth, ce qui lui donne les droits d’accès nécessaires sur le compte Microsoft 365 de sa victime.
4. La persistance : l’attaquant dispose dès lors d’un accès direct aux services Microsoft 365 (tels qu’Outlook, Teams et OneDrive), le tout sans voler de mots de passe et sans être perturbé par le MFA.

“Une fois l’intégration terminée, Kali365 permet aux affiliés de générer rapidement des leurres de phishing personnalisés imitant des services d’entreprise courants tels qu’Adobe Acrobat Sign, DocuSign et SharePoint.”, précisent les chercheurs d’ArcticWolf.

Ce n’est pas la première fois qu’un groupe de pirates abuse des device code pour compromettre des comptes Microsoft. Le gang ShinyHunters a notamment utilisé cette technique en 2026, mais ici, il est question d’un kit PhaaS prêt à l’emploi. Ainsi, la technique est plus facilement accessible même sans disposer de connaissances techniques particulières.

Comment se protéger et réagir face à la menace Kali365 ?

Puisqu’il est question de phishing, Kali365 abuse des utilisateurs qui se font piéger. Mais, en tant qu’administrateur, vous pouvez aussi configurer votre tenant Microsoft 365 pour limiter les risques de compromission par Kali365.

En pratique, vous devez limiter, voire même bloquer, l’authentification OAuth 2.0 de type “device code flow”. Pour cela, vous pouvez créer une politique d’accès conditionnel pour bloquer les flux de ce type pour tous les utilisateurs, et vous gérez des exceptions si besoin. Mais au moins, vous reprenez le contrôle sur cette méthode d’authentification qui représente une porte d’entrée potentielle.

Enfin, il est à noter que Kali365 a été documenté par les chercheurs d’ArcticWolf en avril 2026. Dans ce rapport, il est précisé que cette campagne cible l’Amérique du Nord et la zone EMEA (donc l’Europe). Plusieurs secteurs d’activité sont ciblés, dont les usines, les agences gouvernementales, les secteurs de la finance et la santé, ainsi que l’éducation.