Microsoft 365 : une faille exploitée pour contourner l’authentification à deux facteurs dévoilée

Une faille majeure menace les utilisateurs de Microsoft 365. Cette vulnérabilité permet de contourner l’authentification à deux facteurs, pourtant censée renforcer la sécurité. Le FBI tire la sonnette d’alarme sur une nouvelle plateforme de phishing appelée Kali365.

Kali365 s’appuie sur une fonctionnalité légitime des codes d’appareils Microsoft utilisés pour l’authentification. Cette faiblesse pourrait exposer plus de 400 millions de comptes payants à des attaques faciles et efficaces. Explications d’une menace qui mérite toute votre attention.

Microsoft 365 piraté malgré la double authentification

L’authentification multifacteur (MFA) est souvent la ligne de défense contre le piratage. Pourtant, Kali365 permet à des hackers, même peu expérimentés, de déjouer ce mécanisme. Cette plateforme de phishing facilite la compromission en exploitant un point faible méconnu du système d’authentification Microsoft.

Le secret réside dans les codes d’appareils Microsoft, conçus pour que certains équipements à saisie restreinte puissent se connecter sans clavier complet. Des attaquants s’en servent comme d’un cheval de Troie pour récupérer un jeton d’accès valide, sans que la victime ne s’en rende compte.

Comment Kali365 contourne réellement la MFA Microsoft

Le processus semble simple. L’attaquant initie l’authentification et pousse la victime à entrer un court code sur une page Microsoft légitime. Une fois ce code saisi, un jeton d’accès est délivré et intercepté par le pirate. Résultat : un accès complet au compte sans validation côté hacker.

En parallèle, il existe une variante avec des cookies de navigateur. Ceux-ci redirigent l’utilisateur vers des infrastructures contrôlées par les hackers, tout en affichant une page Microsoft authentique. La supercherie est parfaite, sans signaux visuels pour alerter victime.

Des conséquences bien plus lourdes qu’une simple intrusion

Une fois dans le compte Microsoft 365, les pirates accèdent aux emails Outlook, fichiers OneDrive, et autres applications intégrées comme Salesforce. Ils peuvent enregistrer de nouveaux appareils ou effacer leurs traces par des règles automatisées.

Kali365 ne s’arrête pas là. Pour amplifier la menace, la plateforme propose des outils clés en main : templates d’emails de phishing générés par intelligence artificielle, suivis des résultats, tout est packagé pour permettre à des profils non techniques de déployer des attaques massives.

Reconnaître les signaux d’alerte dans les emails Microsoft 365

Le cabinet Arctic Wolf a identifié huit modèles de phishing courants exploités par Kali365. Ils imitent des notifications légitimes comme un partage SharePoint, un document OneDrive, ou un message Teams. Ces messages paraissent familiers et crédibles, difficiles à déceler au premier regard.

Les pièces jointes, souvent Excel, Word ou PDF, contiennent des appâts pour inciter à l’action. Attention, la mise en forme peut varier mais le mécanisme d’attaque reste le même : tromper la victime pour qu’elle saisisse le code sur la vraie page Microsoft.

Comment réagir face à cette faille de sécurité ?

Ne jamais entrer un code d’appareil demandé par un email ou un message non sollicité. La présence d’un site Microsoft officiel ne garantit pas la légitimité de l’opération. La prudence est impérative.

Pour les responsables IT, il est recommandé de désactiver la fonctionnalité des codes d’appareils quand elle n’est pas indispensable. Il faut aussi empêcher la migration des sessions entre appareils et exclure certains comptes stratégiques des politiques vulnérables.

Kali365 s’inscrit dans une tendance inquiétante

Cette plateforme n’est pas un cas isolé. D’autres outils comme EvilTokens ou Tycoon2FA exploitent des failles similaires. Le contournement du MFA devient ainsi une industrie et un service proposé à grande échelle sur le darknet et via des groupes sécurisés.

L’efficacité des protections repose désormais sur une combinaison stricte de sensibilisation des utilisateurs, de configurations complexes et de surveillance continue des accès. Le pari est clair : aucune solution unique ne tient plus face à ces menaces industrialisées.

Source: android-mt.ouest-france.fr