Microsoft 365 : le FBI met en garde contre un outil capable de pirater Outlook malgré la double authentification

Le FBI tire la sonnette d’alarme sur Kali365, un outil de phishing qui exploite une faille dans Microsoft 365. Cet outil permet de pirater des comptes Outlook, Teams ou OneDrive malgré la double authentification. Des centaines d’entreprises sont déjà victimes, un vrai cauchemar pour la sécurité informatique.

Comment Kali365 contourne la double authentification Microsoft 365

Kali365 n’est pas un simple logiciel malveillant classique. Ce service est vendu sur Telegram pour environ 250 dollars par mois. Il donne accès à une interface intuitive, prête à lancer des campagnes de phishing sophistiquées, même pour des cybercriminels sans grande expertise technique.

Le truc avec Kali365, c’est qu’il vole les tokens OAuth, ces jetons qui permettent de rester connecté à Microsoft 365 sans retaper le mot de passe. Ainsi, les hackers piratent le compte directement à partir de ce token, contournant la double authentification qui est, habituellement, une barrière efficace.

Ce système met à mal ce que beaucoup considèrent comme une sécurité béton. Le hacker n’a pas besoin de voler le mot de passe ni le code d’authentification. Il se connecte comme si c’était l’utilisateur légitime, sans déclencher d’alerte.

Des conséquences lourdes pour les entreprises

Les victimes se comptent par centaines en Europe et en Amérique du Nord. Les secteurs les plus touchés : industrie, finance, santé, éducation et administrations publiques. Microsoft confirme surveiller des centaines de comptes compromis chaque jour, surtout ceux liés aux finances et à la paie.

L’attaque ne se limite pas à Outlook. Un pirate ayant ce niveau d’accès peut naviguer dans Teams, OneDrive, Word, Excel, bref, dans toutes les applications Microsoft 365 associées. C’est une faille qui menace la confidentialité et la continuité des activités.

Dans un monde professionnel où le télétravail et la dématérialisation gagnent du terrain, cette menace impose de revoir les stratégies de défense. La résilience d’une infrastructure ne se construit pas sur des protections obsolètes !

Le mode opératoire du phishing Kali365 dévoilé

Kali365 utilise un mécanisme dit de “device code phishing”. En clair, après avoir reçu un mail crédible, l’utilisateur est invité à saisir un code reçu pour valider une connexion. Mais ce simple geste authentifie le hacker lui-même, qui récupère instantanément un jeton d’accès.

Ils reproduisent fidèlement les pages de connexion Microsoft, ce qui embrouille même les utilisateurs les plus prudents. Par ailleurs, un tableau de bord en temps réel permet au pirate de suivre les comptes infectés et de tenir ses sessions ouvertes sans interruption.

La plateforme est louée comme un service en libre accès. Tout est prêt, c’est du phishing à la carte, commercialisé et facile à déployer.

Comment réagir face à Kali365 ?

Le FBI recommande une vigilance accrue. Avant toute saisie d’identifiant, il faut impérativement vérifier l’URL. Si elle ne commence pas par login.microsoftonline.com, c’est suspect, fermez la page !

Jamais cliquer sur un lien dans un mail, même s’il semble provenir de Microsoft ou du support IT de votre boîte. Ouvrez toujours l’application ou le site directement par vous-même.

Microsoft offre aussi la possibilité de consulter les sessions actives. Si une localisation ou un appareil est inconnu, il faut révoquer la session immédiatement. Pour les entreprises, la mise en place d’un accès conditionnel est devenue indispensable.

Source: www.lesnumeriques.com