Phishing avancé : comment Kali365 contourne la double authentification

Quand le phishing contourne l’invincible double authentification

Imaginez un cambrioleur qui n’aurait même pas besoin de forcer votre serrure. C’est exactement ce que fait Kali365, un kit de phishing d’un nouveau genre qui s’attaque aux comptes Microsoft 365 sans jamais toucher à votre mot de passe. Pire encore, il neutralise la double authentification, ce rempart censé protéger nos données les plus sensibles. Le FBI a tiré la sonnette d’alarme en mai 2026, révélant une faille dans notre perception même de la cybersécurité.

Kali365 ne vole pas vos identifiants. Il les contourne purement et simplement. Comment ? En exploitant les jetons d’authentification, ces clés numériques temporaires que Microsoft génère pour éviter aux utilisateurs de ressaisir leurs identifiants à chaque connexion. Le kit se fait passer pour une application légitime, comme un outil de productivité ou un service cloud partenaire, et demande à la victime d’autoriser un accès via un faux écran de connexion Microsoft. Une fois le jeton obtenu, les pirates n’ont plus qu’à l’utiliser pour accéder au compte, sans déclencher la moindre alerte de sécurité. La double authentification, souvent présentée comme la solution ultime contre le phishing, devient inutile.

Ce qui rend Kali365 particulièrement inquiétant, c’est sa simplicité. Le kit est vendu sur le dark web à des prix accessibles, et son utilisation ne nécessite pas de compétences techniques avancées. Les cibles privilégiées ? Les petites et moyennes entreprises, dont les équipes IT sont souvent moins équipées pour détecter ce type d’attaques. Les pirates peuvent ainsi s’introduire dans les comptes Microsoft 365, accéder aux emails, aux fichiers stockés sur OneDrive, ou même prendre le contrôle des outils collaboratifs comme Teams. Les conséquences sont désastreuses : fuites de données, fraudes financières, ou encore usurpation d’identité.

Face à cette menace, les entreprises sont appelées à renforcer leurs défenses. Microsoft a déjà publié des recommandations pour limiter les risques, comme la désactivation des applications tierces non vérifiées ou l’utilisation de politiques d’accès conditionnel. Mais la véritable solution réside peut-être dans un changement de paradigme. Si les jetons d’authentification sont devenus une cible privilégiée, c’est parce qu’ils reposent sur une confiance implicite dans les applications tierces. Les experts en cybersécurité plaident pour une approche plus stricte, où chaque demande d’accès serait systématiquement vérifiée, même pour les applications déjà autorisées. Une piste qui rappelle que, dans le domaine de la sécurité informatique, la vigilance ne suffit plus. Il faut désormais anticiper l’inattendu.

Sources

Korben.info, « Ce kit de phishing ouvre les comptes Microsoft 365 sans voler le mot de passe », mai 2026.

FBI Cyber Division, « Alert on Kali365 Phishing Kit Bypassing MFA », mai 2026.