**Kali365** : Une menace croissante pour Microsoft 365 Selon le **FBI PSA**, **Kali365** est apparu en avril 2026 et est distribué via des canaux **Telegram**, ciblant les cybercriminels cherchant un moyen facile de compromettre les comptes **Microsoft 365** sans voler directement les mots de passe ni intercepter les codes MFA. Cela souligne la sophistication et l'accessibilité croissantes des outils de phishing. Phishing par code d'appareil : Exploiter des protocoles légitimes La plateforme exploite le phishing par code d'appareil, une méthode qui abuse du flux légitime d'octroi d'autorisation d'appareil OAuth 2.0 de **Microsoft**. Ce flux est destiné aux appareils dotés de capacités d'entrée limitées, tels que les téléviseurs intelligents et les appareils IoT, leur permettant de s'authentifier via un autre appareil à l'aide d'un code court sur `http://microsoft.com/devicelogin`.  *Formulaire d'authentification par code d'appareil. Source : BleepingComputer* Comme **BleepingComputer** l'a rapporté en février, des acteurs de la menace, y compris le groupe **ShinyHunters**, ont ciblé les comptes **Microsoft Entra** en utilisant le phishing par code d'appareil et par téléphone. Les attaquants initient le processus d'autorisation d'appareil, génèrent un code et incitent les victimes à le saisir sur la page de connexion de **Microsoft** via l'ingénierie sociale. Une fois que la victime saisit le code et complète la MFA, **Microsoft** émet un jeton d'accès OAuth, accordant à l'attaquant un accès complet au compte sans autres défis MFA. Fonctionnalités avancées de Kali365 Le **FBI** souligne que **Kali365** offre même aux attaquants novices des capacités de phishing avancées, y compris des leurres de phishing générés par IA, des modèles de campagne automatisés, des tableaux de bord de suivi des victimes en temps réel et des fonctionnalités de capture de jetons. Cela abaisse la barrière à l'entrée pour les attaques de phishing sophistiquées. Les chercheurs d'**Arctic Wolf** ont signalé une activité **Kali365** en avril, observant une campagne généralisée ciblant des organisations du monde entier. Ces campagnes ont principalement ciblé les environnements **Microsoft 365**, dirigeant les victimes vers le portail de connexion par code d'appareil de **Microsoft**. Les attaquants ont obtenu l'accès aux boîtes aux lettres, créant des règles de boîte de réception malveillantes pour dissimuler leur activité. Certaines attaques ont impliqué l'enregistrement de nouveaux appareils dans les environnements **Microsoft** des victimes, étendant ainsi leur accès. Modèle économique et modes d'attaque **Arctic Wolf** a constaté que **Kali365** fonctionne comme une entreprise structurée, avec des administrateurs, des revendeurs et des affiliés. La plateforme propose deux modes d'attaque : le phishing par code d'appareil et un mode adversaire-en-le-milieu (AitM) nommé "Cookie Link". Cookie Link redirige les victimes via une infrastructure contrôlée par l'attaquant, capturant les sessions de navigateur authentifiées, les cookies de session et les jetons après que les cibles se soient connectées et aient résolu les défis MFA. Stratégies d'atténuation Le **FBI** recommande aux organisations de restreindre ou de bloquer les flux d'authentification par code d'appareil à l'aide de politiques d'accès conditionnel lorsque cela est possible, d'auditer l'utilisation existante des codes d'appareil et de bloquer les politiques de transfert d'authentification. Les organisations impactées doivent signaler les incidents à l'Internet Crime Complaint Center et préserver les données pertinentes. Tendance croissante du phishing Le phishing par code d'appareil a gagné du terrain en 2026, avec des plateformes comme **EvilTokens PhaaS** et **Tycoon2FA** l'utilisant également pour compromettre les comptes **Microsoft 365** et **Entra**. Cela indique un changement plus large vers l'exploitation des mécanismes d'authentification légitimes à des fins malveillantes.