Une nouvelle menace informatique baptisée Kali365 permet à des cybercriminels de prendre le contrôle de comptes Microsoft 365 sans avoir besoin de dérober le moindre mot de passe. Le FBI a récemment classé cette méthode d'escroquerie parmi les menaces émergentes après des centaines d'attaques recensées en Amérique du Nord et en Europe.
Comment fonctionne l'arnaque Kali365 ?
Contrairement aux campagnes de phishing classiques, cette arnaque repose sur une fonctionnalité officielle de Microsoft appelée Device Code (code d'appareil). Ce système est normalement utilisé pour connecter des équipements tels que des téléviseurs, des écrans de salle de réunion et des équipements de visioconférence. Les pirates détournent ce mécanisme en envoyant des courriels qui semblent légitimes. Ils se présentent par exemple comme une demande d'accès à un document SharePoint ou une signature DocuSign en attente.
La victime clique sur le lien, est redirigée vers une véritable page Microsoft et saisit un code d'authentification. Sans le savoir, elle autorise alors directement l'accès à son compte.
Pourquoi cette arnaque est difficilement repérable ?
Le procédé est particulièrement redoutable car rien ne paraît suspect. Le lien mène vers un site officiel et aucun logiciel malveillant n'est téléchargé. Les antivirus et filtres antispam ont donc souvent du mal à détecter l'attaque. Une fois l'accès obtenu, les cybercriminels peuvent consulter les courriels Outlook, les conversations Teams, les fichiers OneDrive ou encore les documents SharePoint. Dans le cadre professionnel, cela peut également ouvrir une porte vers le système informatique de l'entreprise.
Que faire pour se protéger ?
Pour se protéger, la règle est simple : ne jamais saisir un code Microsoft si vous n'avez pas vous-même initié une connexion. Toute demande inattendue doit être considérée comme suspecte. Les entreprises peuvent également renforcer leur sécurité en limitant ou en désactivant l'authentification par code d'appareil sur les équipements qui n'en ont pas besoin.
L'autre inquiétude vient de l'accessibilité de Kali365. Disponible via un abonnement d'environ 250 dollars par mois, cet outil permet à des personnes peu expérimentées de lancer des campagnes d'hameçonnage massives.
