Guides pratiques pour vous protéger — vous, votre famille et votre entreprise — contre les arnaques liées à l'IA, les deepfakes et les nouvelles menaces cyber.
L'hameçonnage le plus efficace du moment ne réclame pas votre mot de passe. Il vous invite à vous connecter normalement, sur la véritable page de Microsoft, puis à valider votre double authentification comme chaque matin. Tout se passe sans accroc de votre côté. À la fin, c'est l'attaquant qui repart avec une clé fonctionnelle de votre boîte de réception.
Ce tour de passe-passe porte un nom : Kali365. Le FBI a alerté à son sujet le 21 mai 2026. S'il mérite l'attention, c'est qu'il neutralise la mesure de sécurité que la plupart des organisations ont déployée à grands frais ces cinq dernières années, en la retournant contre elles.
Kali365 relève du phishing-as-a-service (hameçonnage à la demande), un modèle où des cybercriminels louent par abonnement une infrastructure d'attaque clés en main qu'ils seraient incapables de bâtir seuls. Apparue en avril 2026 et diffusée principalement via Telegram pour environ 250 dollars par mois, la plateforme fournit des courriels d'appât rédigés par IA, des modèles de campagne et un tableau de bord qui suit en direct les cibles ayant mordu à l'hameçon. Les chercheurs ont recensé plusieurs centaines d'attaques dès le mois d'avril, en Amérique du Nord comme en Europe.
Le cœur de la manœuvre tient à un détail technique. Kali365 détourne une fonction légitime de Microsoft, le flux d'authentification par code d'appareil (device code flow), prévu pour connecter les appareils dépourvus de clavier, un téléviseur connecté ou un outil en ligne de commande par exemple. L'attaquant déclenche auprès de Microsoft une vraie demande de connexion de ce type et reçoit un code authentique. Il l'expédie alors à sa victime, sous l'apparence d'une notification de partage de document, en lui demandant d'ouvrir la véritable page de vérification Microsoft et d'y saisir le code. La victime s'exécute : elle valide son mot de passe et sa double authentification (MFA, l'étape de connexion supplémentaire telle qu'un code reçu sur le téléphone) sur le site réel de Microsoft. En entrant ce code, elle autorise en réalité l'appareil de l'attaquant. Microsoft renvoie des jetons OAuth, ces jetons d'accès et de rafraîchissement qui attestent qu'une application a le droit d'entrer dans un compte, et l'intrus accède dès lors à Outlook, Teams et OneDrive, sans mot de passe et sans nouvelle vérification. Le FBI détaille toute la chaîne dans son alerte publique.
Le préjudice est concret et déjà répandu : un accès persistant aux messageries et aux fichiers de centaines d'organisations, à la disposition de quiconque possède 250 dollars et un compte Telegram. Le point qui doit retenir l'attention de votre équipe se situe ailleurs. La double authentification, ce réflexe que vous avez inculqué à tous, ne joue aucun rôle ici. Kali365 ne vole pas un mot de passe pour le rejouer ; il s'empare de la session née d'une connexion parfaitement légitime, si bien que l'attaquant hérite d'un lien déjà authentifié. Si votre sensibilisation interne apprend encore aux collaborateurs à traquer le lien douteux ou la fausse fenêtre de connexion, elle surveille une porte que l'assaillant n'emprunte plus. Voici le glissement à porter à votre prochaine réunion de pilotage : la cible des attaquants est passée des identifiants aux jetons. Un mot de passe se réinitialise, un facteur d'authentification se réenrôle, mais un jeton actif accorde silencieusement l'accès que ces deux mesures étaient censées défendre, alors que l'essentiel des protections reste braqué sur le mot de passe.
Kali365 signale un déplacement de cible. Pendant des années, le butin était votre mot de passe et la double authentification faisait office de réponse. Ce kit ignore l'un comme l'autre : il vous laisse vous authentifier sans faille, puis emporte le jeton que cette authentification produit. Toute défense qui suppose qu'une intrusion commence par un identifiant volé passera à côté. Posez une seule question lors de votre prochaine revue de sécurité : si un collaborateur s'est connecté correctement aujourd'hui et qu'un attaquant est tout de même reparti avec un accès durable à sa boîte, votre supervision s'en apercevrait-elle seulement ?


