Kali365 : une nouvelle cybermenace pour pirater les comptes Microsoft 365
L'essentiel
- Le FBI alerte sur Kali365, un service d'abonnement criminel sur Telegram permettant de pirater les comptes Microsoft 365 sans mots de passe.
- Cette plateforme industrialise l'hameçonnage via le device code, ciblant entreprises et agences gouvernementales en Amérique du Nord et en Europe.
Résumé généré par IA
Pourquoi c'est important
A new cyber threat named Kali365, available via Telegram for $250/month, allows users to hack Microsoft 365 accounts without passwords by exploiting the device code authentication mechanism. This service enables large-scale phishing campaigns with minimal technical skill.
Une cybermenace d'un nouveau genre ? Un service d'abonnement criminel nommé "Kali365" permet de pirater les comptes Microsoft 365, sans jamais avoir besoin des mots de passe des utilisateurs, avertit le FBI dans une note du 21 mai dernier. Cette plateforme émergente, disponible via Telegram, offre la possibilité à n'importe qui de lancer une campagne d'hameçonnage, sans compétences techniques particulières, via un abonnement mensuel de 250 dollars.
À lire aussi
Des centaines d'attaques ont ainsi été recensées pour le seul mois d'avril 2026 par des chercheurs américains, touchant des entreprises de secteurs aussi variés que la finance, l'assurance, l'éducation ou encore la santé mais aussi des agences gouvernementales, en Amérique du Nord et en Europe.
"Kali365 est un logiciel prêt à l'emploi, qui cible les utilisateurs de Microsoft 365, accessible directement dans le navigateur, qu'un pirate informatique peut utiliser pour envoyer des e-mails à de potentielles victimes dans le but de les piéger et de voler l'accès à leur compte", décrit Florian Burnel, cofondateur du site IT Connect, spécialiste de l'actualité informatique.
La victime devient complice à son insu
Pour tromper ses cibles, "Kali365" s'appuie sur la technologie du device code, ou "code de l'appareil" en bon français. Ce mécanisme permet aux utilisateurs de se connecter à Microsoft 365 sur des appareils dépourvus de clavier, comme une télévision dans une salle de réunion par exemple, en générant un code court sur un appareil distinct et en le saisissant sur un site de Microsoft dédié. La télévision est ainsi connectée au compte de l'utilisateur sans avoir eu à saisir un mot de passe.
Kali365 détourne ce processus de connexion, explique Florian Burnel. "Un hacker envoie un mail en se faisant passer pour une demande d'accès à un document sur SharePoint ou un document en attente de signature sur DocuSign, par exemple, décrit l'expert. Vous recevez une notification, comme il est possible d'en recevoir en entreprise quand on travaille avec la suite Microsoft 365. Dans ce mail, vous cliquez sur le lien, ça vous amène sur la page Microsoft et vous mettez le code... Mais, derrière, il n'y a pas de document : vous venez de donner un accès direct à votre compte."
"C'est l'utilisateur qui se connecte à la place du pirate, alerte le spécialiste de la sécurité informatique. Le pirate attend juste que l'utilisateur se fasse avoir et il n'a rien à faire. Il n'a pas de mot de passe à voler puisque c'est l'utilisateur, sans le savoir, qui va l'autoriser."
L'antivirus, lui, n'y verra que du feu : "Le mail envoyé n'a, en soi, rien de malveillant, n'a pas de pièce jointe et le lien qu'il contient ne renvoie pas vers une page piégée, mais vers le site de Microsoft", souligne Florian Burnel. En bref, avec un comportement normal de l'utilisateur et sans rien de suspect sur l'ordinateur, il n'y a pas de quoi alerter un système de sécurité.
Un accès aux données de l'utilisateur et de l'entreprise
Boîte de réception Outlook, messagerie Teams, stockage OneDrive, partage SharePoint... "À partir du moment où il accède au compte de l'utilisateur, le hacker accède à ses ressources et met un pied dans le système d'information de l'entreprise, donc oui, forcément, il y a un risque, alerte Florian Burnel. Après, tout dépend du niveau de droits de l'utilisateur", tempère-t-il.
La menace réside également dans le fait que "Kali365" propose de phishing, ou hameçonnage de service, c'est-à-dire, à grande échelle, sans compétences techniques particulières, "ce qui est nouveau, indique Florian Burnel, car cela permet d'industrialiser l'attaque".
Le service, accessible et peu coûteux, permet d'obtenir une plateforme prête à l'emploi pour envoyer des mails afin de piéger les utilisateurs de Microsoft 365. "Des personnes qui ne pouvaient pas le tenter auparavant peuvent potentiellement cibler des dizaines de milliers de personnes comme ça, en arrosant au maximum, et voir qui mord à l'hameçon", explique le spécialiste.
"On peut bloquer 'Kali365' avec de bonnes politiques de sécurité"
Une campagne d'hameçonnage à grande échelle qui contourne simultanément la protection par mot de passe et la double authentification représente un défi en termes de cybersécurité. Au niveau individuel, les règles de vigilance habituelle s'appliquent : "Si vous recevez un code de vérification Microsoft sans avoir initié de connexion, ne cliquez surtout pas et signalez le message", insiste Florian Brunel.
"Pour éviter ce type de scénario, l'administrateur système peut mettre en place une règle qui empêche les connexions en dehors de la France, par exemple. Si on est sûr que l'intégralité des salariés se connecte depuis la France, on n'a pas de raison d'autoriser un utilisateur de se connecter depuis un autre pays."
Florian Burnel, cofondateur du site IT Connect
à franceinfo
Mais la réponse peut aussi, et surtout, être du côté de l'administrateur du système informatique. "Il y a la possibilité de mettre en place des règles pour bloquer ce type d'attaque totalement, avance le spécialiste. Ça dépend des politiques de cybersécurité, développe-t-il, parce qu'un hacker peut très bien cibler un utilisateur qui n'a pas beaucoup de droits. Ou l'administrateur peut configurer le système de façon qu'il n'y ait que la télévision de la salle de réunion qui a le droit de faire une demande de connexion via un device code et bloquer tout le reste... Donc on peut faire en sorte de bloquer 'Kali65', si de bonnes politiques de sécurité ont été mises en place", tient à rassurer Florian Burnel.
À surveiller
Perspective IA — des possibilités, pas des certitudes
Increased adoption and use of Kali365 by less skilled cybercriminals.
Très probable · Court terme
Development of enhanced security protocols or patches by Microsoft to mitigate the device code exploit.
Probable · Moyen terme
Law enforcement actions to disrupt or shut down the Kali365 service on Telegram.
Possible · Moyen terme
Questions ouvertes
- What is the exact number of companies and individuals affected by Kali365?
- What specific measures are being taken by Microsoft to counter this threat?
- How many active users does Kali365 currently have?
- What are the origins and developers behind Kali365?





