Phishing à l’échelle mondiale : le FBI met en garde contre une nouvelle forme d’attaque chez Microsoft 365
Le Federal Bureau of Investigation (FBI) a lancé le 21 mai 2026, une alerte de sécurité concernant Kali365, une nouvelle plateforme de phishing-as-a-service (PhaaS) apparue en avril 2026 et principalement diffusée via Telegram. Selon les autorités américaines, cet outil permet aux cybercriminels de compromettre des comptes Microsoft 365 en capturant des jetons d’accès OAuth et en contournant l’authentification multifacteur (MFA) sans voler les identifiants des victimes. Plus loin, le FBI souligne que Kali365 facilite des attaques grâce à des leurres de phishing générés par intelligence artificielle, des campagnes automatisées et des outils de suivi des cibles en temps réel. Des campagnes automatisées qui peuvent rendre ce type de menace accessible à des acteurs peu expérimentés.
Par ailleurs, le communiqué du FBI notifie que l’attaque repose principalement sur l’envoi de courriels frauduleux imitant des services légitimes de Microsoft et de partage de documents. Ainsi, les victimes sont invitées à saisir un code d’appareil sur une page officielle de vérification Microsoft. Ce qui, par la suite, autorise involontairement l’accès du cybercriminel à leur compte. Une fois les jetons OAuth récupérés, les cybercriminels peuvent accéder durablement à des services tels qu’Outlook, Teams et OneDrive sans une nouvelle vérification MFA. Face à cette menace, le FBI recommande aux organisations de restreindre l’usage des codes d’appareil, de renforcer les politiques d’accès conditionnel et de signaler tout incident aux autorités compétentes.
