Les cybercriminels exploitent de plus en plus des services conviviaux pour obtenir un accès non autorisé aux comptes **Microsoft 365**, selon un récent avertissement du **FBI**. L'agence a mis en évidence **Kali365**, un service basé sur **Telegram**, comme une menace importante. # Kali365 : Phishing-as-a-Service **Kali365** est une plateforme Phishing-as-a-Service (PhaaS) qui permet aux cybercriminels de capturer des jetons OAuth légitimes, leur accordant un accès généralisé aux environnements **Microsoft 365**. Le **FBI** note que **Kali365** est actif depuis avril 2026, principalement distribué via **Telegram**. Il permet aux acteurs de la menace d'obtenir des jetons d'accès **Microsoft 365** et de contourner l'authentification multifacteur (MFA) sans intercepter directement les identifiants des utilisateurs. # Comment fonctionne Kali365 Les attaquants utilisant **Kali365** envoient des e-mails de phishing qui usurpent l'identité de services de productivité cloud et de partage de documents de confiance. Ces e-mails contiennent des codes et des instructions qui redirigent les victimes vers des pages de vérification **Microsoft** légitimes. Les utilisateurs sans méfiance qui entrent le code sur ces pages autorisent involontairement l'appareil de l'attaquant à accéder à leur compte. Avec les jetons d'accès et de rafraîchissement OAuth acquis, les pirates peuvent ensuite accéder aux services **Microsoft 365** tels que **Outlook**, **Teams** et **OneDrive** sans avoir besoin d'un mot de passe ou d'une vérification supplémentaire. # Avertissements de l'industrie Des entreprises de cybersécurité comme **Proofpoint**, **IBM** et **Huntress** ont émis des avertissements concernant le nombre croissant d'attaques exploitant **Kali365** et des plateformes PhaaS similaires. **Arctic Wolf** a signalé avoir traité une campagne d'attaques importante facilitée par **Kali365** en avril, où les attaquants ont trompé les victimes pour qu'elles autorisent des sessions initiées par des acteurs de la menace via des flux de connexion d'appareils **Microsoft** légitimes. **Arctic Wolf** a en outre précisé que les jetons d'accès et de rafraîchissement OAuth capturés permettaient un accès immédiat à la boîte aux lettres et une activité post-compromission. Dans certains cas, des règles de boîte de réception malveillantes ont été établies pour supprimer les notifications de sécurité, prolongeant le temps de présence et réduisant la sensibilisation des utilisateurs. # Prix et fonctionnalités de Kali365 Les chercheurs d'**Arctic Wolf** ont obtenu l'accès au système **Kali365** et ont découvert qu'il fonctionne selon un modèle de tarification échelonné, allant de 250 $ pour 30 jours à 2 000 $ pour 365 jours. La plateforme permet aux cybercriminels de générer des leurres de phishing de marque en utilisant des services bien connus tels que **Adobe**, **DocuSign** et **SharePoint**, offrant des leurres dans plusieurs langues, mises en page et thèmes de conception. **Kali365** génère à la fois des pages de phishing HTML et des e-mails de phishing, et propose même une version de bureau téléchargeable pour ses utilisateurs. # La professionnalisation de la cybercriminalité Les experts en cybersécurité soulignent que **Kali365** illustre la professionnalisation et la distribution croissantes de l'écosystème cybercriminel. Les acteurs moins qualifiés sont désormais capables de lancer des attaques sophistiquées en exploitant ces plateformes « as-a-service ». Cette tendance a été davantage mise en évidence par la récente perturbation par **Microsoft** d'un autre outil cybercriminel « as-a-service » qui abusait de services légitimes pour livrer des malwares.