Newsletter
Newsletter
gold padlock locking door

Kali365 : une nouvelle attaque qui contourne la MFA sur Microsoft 365

0
1 juin 2026
2 min lecture

Depuis quelques semaines, une nouvelle menace circule et vise directement les environnements Microsoft 365. Elle s’appelle Kali365 et elle change la donne en matière de phishing.

Ce qui la rend dangereuse, ce n’est pas un faux site de connexion classique, mais une exploitation du mécanisme d’authentification Microsoft lui-même, via les device codes.

Comment fonctionne cette attaque

Le scénario est simple, et c’est justement ça le problème :

  1. L’utilisateur reçoit un mail de phishing qui imite un service Microsoft ou un outil de partage de documents.
  2. Le message lui demande d’aller sur une vraie page Microsoft et d’entrer un code.
  3. En entrant ce code, l’utilisateur autorise sans le savoir un appareil contrôlé par l’attaquant.
  4. L’attaquant récupère alors des tokens OAuth lui donnant accès à Outlook, Teams ou OneDrive, sans mot de passe et sans MFA.

À partir de là, l’accès peut durer longtemps, tant que le token reste valide.

Pourquoi la MFA ne suffit plus

C’est un point clé à comprendre :
la MFA fonctionne, mais elle est ici contournée, pas cassée.

L’utilisateur valide lui-même l’accès, sur une page légitime, sans voir le piège. Pour Microsoft, l’authentification est donc valide.

Ce que je recommande concrètement

Côté Microsoft 365, il y a plusieurs leviers efficaces :

  • Bloquer ou restreindre le Device Code Flow via des stratégies d’accès conditionnel
  • Auditer les usages existants avant de bloquer globalement
  • Bloquer le transfert d’authentification vers les mobiles
  • Exclure uniquement les comptes d’urgence si nécessaire

Aujourd’hui, la configuration fine de l’accès conditionnel et la sensibilisation des utilisateurs sont aussi importantes que la sécurité elle-même.
Si tu n’as jamais audité l’usage du device code dans ton tenant, c’est clairement le moment.

Source : FBI – IC3 Public Service Announcement
https://www.ic3.gov/PSA/2026/PSA260521

Cet article peut contenir des images générées par IA. Je mets un soin particulier dans chaque publication ; si toutefois vous repérez une erreur, n’hésitez pas à me le signaler !

Publié :
Mise à jour :
Ajouter un commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.

Cela pourrait vous intéresser

padlock lock chain key 39624

Sécurité Teams renforcée : Defender alerte maintenant sur les clics de liens

27 février 2026
1 min lecture
pexels photo 7926950

Microsoft 365 : fin du délai de 30 jours en cas de non-renouvellement

13 février 2026
1 min lecture
microsoft is making mfa mandatory for azure claiming that v0 umM 27GEjv9t9v5Yr43TNHR2E7bSeUB4j1U0VoVsRCw

Le MFA devient impératif pour les administrateurs

14 janvier 2026
1 min lecture