Le Bureau fédéral d'enquête des États-Unis (FBI) a renouvelé sa mise en garde concernant Kali365, un service de phishing en ligne destiné à prendre le contrôle de comptes Microsoft 365. Cette plateforme, accessible sous forme d'abonnement, exploite une faille dans le flux d'authentification par code d'appareil OAuth pour dérober les jetons de session et neutraliser les protections multifacteurs (MFA).
Un modèle « phishing as a service »
Kali365 s'inscrit dans la catégorie des services criminels connus sous le nom de « phishing as a service » (PhaaS). Les attaquants n'ont pas besoin de concevoir eux-mêmes une campagne de hameçonnage : ils louent l'infrastructure et les outils développés par les opérateurs de Kali365. La plateforme se concentre exclusivement sur les comptes Microsoft 365, ce qui en fait une menace ciblée pour les entreprises et les administrations qui utilisent cette suite bureautique en ligne.
Le mécanisme de l'attaque : abus du code d'appareil OAuth
Le mode opératoire repose sur une technique de hameçonnage dite « device code phishing ». La victime reçoit un message l'incitant à se connecter à un site semblant légitime. Sur cette page, il lui est demandé de saisir un code généré par l'attaquant. Ce code est en réalité un code d'authentification OAuth valide. En le renseignant sur la page officielle de Microsoft, l'utilisateur finalise une connexion légitime – y compris, le cas échéant, le passage de la double authentification – mais le fait pour le compte de l'attaquant. Ce dernier récupère alors un jeton d'accès (refresh token) d'une durée de validité de 90 jours par défaut, qui se renouvelle automatiquement à chaque utilisation.
Dan Moore, directeur principal de la stratégie CIAM et des normes d'identité chez FusionAuth, a détaillé le mécanisme : « Le phishing par code d'appareil fonctionne parce que l'utilisateur fait tout correctement. Il visite une vraie page Microsoft, effectue une vraie connexion et un vrai défi MFA, et saisit le code. Ce faisant, il remet à un attaquant de vrais jetons de longue durée pour accéder à de vraies applications. »
Des mesures de protection recommandées
Les experts en sécurité et le FBI insistent sur la nécessité de désactiver le flux d'authentification par code d'appareil OAuth dans les environnements professionnels, sauf exception justifiée. Dan Moore précise : « Le flux par code d'appareil existe pour des raisons légitimes ; je ne voudrais pas taper un mot de passe sur mon imprimante ou ma télévision connectée. Mais presque aucun utilisateur en entreprise n'en a besoin. Le laisser accessible est un choix de configuration, et les attaquants l'exploitent activement. »
Pour les organisations qui ne peuvent pas bloquer totalement ce flux, les spécialistes recommandent de réduire drastiquement la durée de vie des jetons d'actualisation et de mettre en place une révocation agressive. Un jeton volé offre un accès persistant tant qu'il n'est pas expiré ou révoqué. « La durée de cette fenêtre de vulnérabilité dépend de vous », résume Dan Moore.
Une alerte récurrente
Cette mise en garde du FBI n'est pas la première concernant Kali365. L'agence avait déjà diffusé des avertissements par le passé, ce qui suggère que la menace demeure active et que les campagnes de phishing continuent de faire des victimes. Les autorités encouragent les entreprises à vérifier leurs configurations Azure Active Directory et à auditer les consentements OAuth accordés pour détecter d'éventuelles compromissions.
