n nouveau kit de piratage, baptisé Kali365, s’attaque aux utilisateurs de Microsoft 365. Cet outil criminel est capable de prendre le contrôle d’un compte Outlook, Teams ou OneDrive sans voler le moindre mot de passe, et en rendant la double authentification totalement inutile. Depuis avril 2026, une plateforme de piratage, baptisée Kali365, est devenue de plus en plus populaire dans le milieu de la cybercriminalité. Mise en avant sur des canaux Telegram, la plateforme est vendue par le biais d’un abonnement, à partir de 250 dollars par mois ou 2 000 dollars à l’année. L’outil s’inscrit dans la tendance des PhaaS (Phishing-asa-Service) ces kits de phishing clés en main qui facilitent la vie des cybercriminels. En souscrivant à un abonnement, n’importe quel cybercriminel, même sans la moindre compétence technique, peut lancer des attaques phishing redoutables destinées à prendre le contrôle de comptes Microsoft 365. La boîte à outils de Kali365 comprend notamment des mails de phishing générés par l’intelligence artificielle, des modèles de campagnes automatisés, des tableaux de bord en temps réel et surtout, un système de capture de jetons de connexion. Selon l’avertissement publié par le FBI, des centaines d’attaques ont déjà été documentées depuis avril 2026. Parmi les cibles, on trouve de nombreuses organisations en Amérique du Nord et en Europe qui utilisent Microsoft 365 dans le cadre de leurs activités. Comme le soulignent les chercheurs de MalwareBytes, qui relaient l’avertissement du FBI, le kit est surtout taillé pour pirater des entreprises, mais il représente aussi une sérieuse menace pour les « utilisateurs individuels de Microsoft 365 ». L’offensive commence par un email frauduleux. Le courriel est déguisé en notification provenant d’un service cloud, comme un partage de document Teams, une alerte OneDrive, ou encore une invitation à une réunion. Le mail contient un code à usage unique. Le message demande à l’utilisateur de se rendre sur microsoft.com/devicelogin » pour y entrer le code. Il s’agit bien d’un domaine officiel Microsoft, sans la moindre faute d’orthographe dans l’URL. C’est là que Kali365 se montre particulièrement redoutable et vicieux. En effet, le kit n’utilise pas de copies factices du site officiel de Microsoft. La plateforme de piratage exploite plutôt un mécanisme officiel et légitime du groupe. Lorsque l’utilisateur entre le code sur la vraie page Microsoft, il ne se connecte pas à son propre compte. En fait, il va sans s’en rendre compte autoriser l’appareil du pirate à se connecter à son compte Microsoft. L’astuce s’appuie sur le flux d’authentification par code d’appareil. C’est un système utilisé par Microsoft pour connecter des appareils qui n’ont pas de clavier, comme une smart TV ou une imprimante connectée, à un compte en ligne. L’appareil en question affiche un code, l’utilisateur le saisit sur son téléphone ou son PC, et la connexion est établie. En l’occurrence, les hackers récupèrent ce code et l’envoient par mail à l’utilisateur, glissé dans une fausse notification. De son côté, Microsoft ne voit rien d’anormal à la connexion. Aux yeux des serveurs de l’entreprise, la démarche est parfaitement légitime et montre simplement qu’un utilisateur a connecté un appareil à son compte Microsoft 365. En se servant des outils intégrés à Kali365, l’attaquant va alors s’emparer d’un jeton OAuth, c’est-à-dire un jeton d’accès de session, qui va lui ouvrir les portes d’Outlook, de Teams et de OneDrive. Toutes les applications cloud connectées au compte se retrouvent potentiellement entre les mains des cybercriminels. L’attaquant peut en profiter pour « envoyer des e-mails de hameçonnage à des collègues, des clients, des amis ou des proches depuis le compte de la victime », ce qui accroît la portée de l’attaque, met en garde MalwareBytes. Dans le cas de ce type de cyberattaque, la présence d’un système d’authentification multifactorielle ne sert absolument à rien. Cette protection est en effet prévue pour empêcher un attaquant de se connecter à votre place à votre compte. Or, aux yeux de Microsoft, c’est vous-même qui avez accordé l’accès de l’appareil à votre compte Microsoft 365. Sur le papier, il n’y a donc aucune raison pour que Microsoft exige un code de connexion supplémentaire. Les codes supplémentaires ou les applications d’authentification « ne servent plus à rien une fois que le jeton a été compromis », explique MalwareBytes. Dans leur avertissement du mois dernier, les agents du FBI recommandent aux utilisateurs Microsoft 365 de prendre des mesures fortes pour se protéger contre Kali365. Le FBI conseille de bloquer le flux d’authentification par code d’appareil dans l’administration Microsoft, en se rendant dans les politiques d’accès conditionnel de la section Entra ID. Cette option permet de désactiver ou de restreindre le mécanisme exploité par Kali365 pour orchestrer des cyberattaques. De leur côté, les chercheurs de MalwareBytes de ne jamais saisir un « code sur une page de connexion Microsoft simplement parce qu’un e-mail ou un message vous y invite ». Si un e-mail ou un message vous demande d’en entrer un sans que vous ayez rien fait en amont, il s’agit très probablement d’une tentative de piratage. Avant de valider quoi que ce soit, il faut toujours lire scrupuleusement chaque instruction. Par ailleurs, il est recommandé de surveiller régulièrement les appareils connectés à votre compte sur « account.microsoft.com/devices ». Si un appareil ou une session vous semble inconnu, il faut le supprimer immédiatement, et changer le mot de passe du compte de toute urgence. L’homme qui a inventé le web n’a jamais vraiment digéré ce qu’on en a fait. Sa réponse à l’ère de l’IA tient en un assistant baptisé Charlie, conçu pour servir l’utilisateur plutôt que la plateforme qui l’héberge. Depuis qu’il a offert le web au monde, en 1989, Tim Berners-Lee passe une partie de son temps à en réparer les dérives, des algorithmes taillés pour l’addiction aux plateformes qui monétisent la moindre donnée. Sans surprise, ses cibles du moment sont les modèles d’IA, entraînés sur les données de tous sans jamais demander la permission. Sa parade porte un nom : Charlie, un assistant qui puise dans vos propres données, stockées chez vous, pour vous répondre. Une intelligence artificielle classique démarre aveugle : entraînée sur le web ouvert, elle ne sait rien de vous en particulier. Charlie prend le problème à l’envers. L’assistant puise dans votre Solid Pod, un coffre de données personnel qui reste entre vos mains, pour répondre avec une précision qu’aucun chatbot anonyme ne peut offrir. Demandez-lui quelles chaussures de course acheter : il sait que vous préparez un semi-marathon, le nombre de kilomètres que vous avalez chaque semaine, et si vous courez sur route ou en sentier. Tim Berners-Lee résume l’idée par une image qu’il affectionne : Charlie travaille pour vous comme le ferait votre médecin ou votre avocat, tenu de défendre vos intérêts, et non ceux d’un géant de la tech. De quoi le démarquer d’un Alexa ou d’un Siri, arrimés à leur maison mère. « Claude ne comprend rien de vous, Charlie si », tranche l’inventeur du web, dont la démonstration s’appuie justement sur le modèle d’Anthropic. Plutôt que d’expédier vos informations vers la base de données d’une entreprise, Charlie les conserve dans votre pod, un mécanisme aux antipodes (vous l’avez ?) des gros services d’IA. Quand vous posez une question, il examine ce que vous demandez et choisit les seules informations à transmettre au modèle d’IA, en retouchant au passage les données sensibles pour que l’outil obtienne une image utile sans accéder au détail brut. Un bouton de consentement vous laisse accorder, ou refuser, cet accès à chaque fois. Le gouvernement flamand, en Belgique, teste déjà des coffres de données citoyens pour ses services publics, et Inrupt, la société cofondée par Berners-Lee, pousse ses portefeuilles sécurisés depuis 2018. Le constat qui la motive est assez simple : sans données, les modèles d’IA n’existent pas, et ils y ont eu jusqu’ici un accès quasi illimité. Reste que Charlie n’est encore qu’une démonstration, pas un produit grand public : l’assistant fonctionne, mais sur un utilisateur fictif, et le passage à grande échelle reste devant lui. L’idée a tout pour séduire : une IA aussi fine qu’un proche qui vous connaîtrait, sans la facture en vie privée. Reste un obstacle de taille, car ceux qui dominent l’IA ont bâti leur fortune sur l’accès libre à vos données, et rien ne dit qu’ils laisseront Charlie renverser la table. On a d’ailleurs déjà vu Anthropic bannir des utilisateurs arbitrairement.
Copyright © 2026 | Thème WordPress par MH Themes
Poster un Commentaire