Le FBI vient d’alerter sur Kali365, une plateforme criminelle qui permet à n’importe quel escroc, même sans compétences techniques, de pirater des comptes Microsoft 365 — même protégés par la MFA. Pour les PME belges qui font confiance à leur double authentification, c’est un signal d’alarme à prendre très au sérieux.
Kali365 : le cybercrime vendu en mode abonnement
Kali365 est un outil de Phishing-as-a-Service (PhaaS) — comprenez : une plateforme criminelle accessible par abonnement sur des forums clandestins. Elle fournit clé en main des faux portails de connexion Microsoft 365, des campagnes d’hameçonnage personnalisées et des outils automatisés pour capturer les sessions d’authentification.
Inutile d’être un hacker chevronné : le tableau de bord est conçu comme un outil SaaS grand public, avec support intégré. Le FBI a recensé des centaines d’entreprises victimes, principalement en Amérique du Nord et en Europe occidentale — dont la Belgique figure parmi les pays ciblés.
Comment contourne-t-on la MFA ?
La MFA (authentification multi-facteurs, ou double authentification) est la mesure de sécurité qui exige un second facteur en plus du mot de passe — un code par SMS, une notification sur votre smartphone, etc. Elle bloque efficacement la grande majorité des attaques par usurpation de mot de passe.
Kali365 utilise une technique dite de proxy inverse, aussi appelée “Adversary-in-the-Middle” (AiTM) : l’utilisateur est redirigé vers une fausse page de connexion Microsoft parfaitement imitée. Lorsqu’il saisit ses identifiants et valide sa MFA, Kali365 intercepte en temps réel le cookie de session — la clé numérique qui prouve que la connexion est légitime. L’attaquant réutilise ensuite ce cookie pour accéder au compte, sans que la MFA soit à nouveau demandée.
Résultat : en quelques secondes, l’attaquant est connecté à votre Microsoft 365 et accède librement à vos e-mails, Teams, SharePoint et OneDrive — sans que votre collaborateur ait fait quoi que ce soit d’anormal en apparence.
Pourquoi les PME sont particulièrement exposées
Les grandes entreprises disposent généralement d’équipes sécurité dédiées et de solutions avancées comme Microsoft Defender for Identity ou des politiques d’accès conditionnel strictes. Dans une PME, la MFA est souvent le principal rempart cyber — et beaucoup de dirigeants pensent, à tort, qu’elle suffit à elles seule.
Par ailleurs, Kali365 cible en priorité les profils à haute valeur dans une organisation : dirigeant, directeur financier, responsable RH ou des achats. Un accès frauduleux à leur boîte mail peut entraîner des virements frauduleux par usurpation d’identité, des fuites de données sensibles ou une compromission de vos fournisseurs et partenaires.
La bonne nouvelle ? Des contre-mesures concrètes existent, et certaines sont déjà incluses dans votre licence Microsoft 365 Business Premium.
Ce que ça change pour votre PME
- Activez les politiques d’accès conditionnel dans Microsoft Entra ID (anciennement Azure Active Directory) : ces règles permettent de bloquer automatiquement les connexions depuis des pays, des appareils ou des réseaux non reconnus — même si la MFA a été validée. C’est le complément indispensable à la double authentification classique.
- Passez aux méthodes d’authentification résistantes au phishing : les clés de sécurité matérielles (standard FIDO2) ou Windows Hello for Business ne transmettent aucun cookie interceptable et sont immunisées contre les attaques de type AiTM. Microsoft propose ces options nativement dans ses licences Business Premium.
- Sensibilisez vos collaborateurs à vérifier l’URL avant toute connexion : un lien de connexion légitime à Microsoft 365 pointe toujours vers login.microsoftonline.com. Un simple réflexe de vérification peut déjouer la majorité des tentatives de phishing, même sophistiquées.
Vous souhaitez en discuter ? Contactez nos experts Axentys.