Kali365 : quand le phishing contourne votre MFA Microsoft 365

Vous avez activé la double authentification sur Microsoft 365. Vous vous sentez protégé. C'est compréhensible — et c'est exactement le piège. Un outil baptisé Kali365 circule activement dans les milieux cybercriminels, et sa mission est simple : contourner cette protection que vous croyez infaillible, prendre le contrôle de votre messagerie Outlook, de vos fichiers OneDrive et de vos conversations Teams, le tout en quelques minutes. Des PME françaises en ont déjà fait les frais. Voici ce que vous devez savoir — et faire — sans attendre.

Qu'est-ce que Kali365 et pourquoi votre code SMS ne suffit plus

Kali365 est un « kit de phishing » prêt à l'emploi. Concrètement, c'est un logiciel vendu sur des forums clandestins qui permet à n'importe quel escroc, même peu technique, de monter une attaque sophistiquée contre des utilisateurs Microsoft 365. Sa particularité ? Il utilise une technique appelée AiTM, pour « Adversary in The Middle », soit « l'adversaire au milieu ». Imaginez un faux serveur qui s'intercale discrètement entre vous et Microsoft au moment où vous vous connectez. Vous recevez un e-mail qui ressemble parfaitement à une notification Microsoft — une alerte de sécurité, une facture partagée, un document urgent. Vous cliquez, vous arrivez sur une page de connexion identique à la vraie. Vous tapez votre identifiant, votre mot de passe, puis votre code de double authentification. Le faux serveur capte tout en temps réel et l'utilise immédiatement pour se connecter à votre vrai compte Microsoft. Résultat : vous pensez avoir simplement consulté un document, mais un criminel a déjà pris la main sur votre messagerie. Le code reçu par SMS ou via une application comme Microsoft Authenticator n'a servi à rien, parce qu'il a été intercepté et rejoué instantanément. C'est précisément ce que le phishing Microsoft 365 ciblant les PME rend aujourd'hui si dangereux : la double authentification classique n'est plus un rempart suffisant face à ces outils.

Ce qui se passe dans les minutes qui suivent l'attaque

La rapidité est ce qui rend Kali365 particulièrement dévastateur pour une PME. Une fois le compte compromis, les attaquants n'attendent pas. En moins de dix minutes, ils peuvent lire vos e-mails pour repérer des transactions en cours, modifier des coordonnées bancaires dans des échanges avec vos clients ou fournisseurs, envoyer des demandes de virement frauduleuses depuis votre adresse officielle, exfiltrer des fichiers sensibles stockés sur OneDrive — contrats, devis, données RH — et se propager à d'autres comptes de votre équipe via Teams en se faisant passer pour vous. Ce scénario n'est pas théorique. Des experts en cybersécurité documentent des attaques de ce type chaque semaine en France, principalement contre des PME qui n'ont pas les ressources d'un service informatique dédié. La fraude au virement bancaire qui en découle peut coûter plusieurs dizaines de milliers d'euros, sans compter les dommages en termes de réputation et de confiance client.

Pourquoi les PME sont des cibles prioritaires pour ce type d'attaque

Contrairement à ce que l'on pourrait croire, les grandes entreprises ne sont pas les cibles favorites des groupes qui utilisent des outils comme Kali365. Elles ont des équipes de sécurité, des systèmes de détection, des procédures. Les PME, elles, présentent un profil idéal pour les attaquants : elles utilisent massivement Microsoft 365 — Outlook, Teams, OneDrive — avec des abonnements standards, elles ont activé la double authentification en pensant que c'était suffisant, leurs collaborateurs ne sont pas formés à reconnaître un faux e-mail Microsoft convaincant, et elles ont souvent accès à des flux financiers significatifs sans les garde-fous des grandes structures. Contourner la MFA grâce à une attaque AiTM demandait autrefois des compétences pointues. Kali365 a banalisé cette capacité. Ce qui relevait du groupe cybercriminel organisé est désormais accessible à un escroc ordinaire pour quelques centaines d'euros. C'est ce changement d'échelle qui doit alerter les dirigeants de PME.

Ce que vous pouvez faire dès maintenant

1. Activez les clés de sécurité physiques ou les passkeys. La MFA par SMS ou par application mobile est contournable via AiTM. En revanche, les clés FIDO2 — de petits dispositifs USB comme une YubiKey — ou les passkeys intégrés à votre téléphone ne peuvent pas être interceptés par ce type d'attaque, car le code est lié physiquement à votre appareil et au site légitime. Microsoft 365 les prend en charge nativement. C'est l'action la plus efficace à court terme. 2. Activez les « Politiques d'accès conditionnel » dans Microsoft 365. Cette fonctionnalité, disponible dès le plan Microsoft 365 Business Premium, permet de bloquer toute connexion depuis un appareil ou un pays inhabituel. Si un criminel tente de se connecter à votre compte depuis l'étranger, la connexion est refusée automatiquement. Votre prestataire informatique peut le configurer en moins d'une heure. 3. Sensibilisez vos collaborateurs à reconnaître les faux e-mails Microsoft. Microsoft ne vous demande jamais de cliquer sur un lien pour valider vos identifiants en urgence. Toute notification qui crée un sentiment d'urgence — « Votre compte sera suspendu dans 24h » — est suspecte par définition. Un simple rappel de cette règle lors de votre prochaine réunion d'équipe peut éviter un désastre. 4. Vérifiez les règles de transfert dans Outlook. Après une compromission, les attaquants configurent souvent une règle automatique qui leur transfère discrètement vos e-mails. Connectez-vous à Outlook, allez dans les paramètres de messagerie et vérifiez qu'aucune règle de transfert inconnue n'est active. Si vous n'êtes pas sûr, demandez à votre prestataire de le faire. 5. Mettez en place une procédure de confirmation hors e-mail pour les virements. Si un fournisseur ou un client vous demande un changement de RIB par e-mail, rappelez-le toujours par téléphone sur un numéro connu — jamais celui indiqué dans l'e-mail — avant d'agir. Cette procédure simple neutralise la majorité des fraudes au virement liées à un compte compromis. Face à des outils comme Kali365, la double authentification seule n'est plus suffisante. Mais quelques ajustements ciblés, réalisables rapidement et sans budget colossal, peuvent réduire drastiquement le risque pour votre PME.