Un nouvel outil de piratage, baptisé «Kali365», menace désormais les utilisateurs de Microsoft 365. Selon Capital, cette plateforme criminelle, accessible pour seulement 250 dollars par mois via Telegram, permet à quiconque de lancer des campagnes d’hameçonnage à grande échelle, même sans compétences techniques avancées. Le FBI a alerté sur cette menace dans une note datée du 21 mai 2026, soulignant la sophistication croissante des cyberattaques.

L’outil exploite une faille spécifique de Microsoft 365 : le système de « code d’appareil » ou Device code. Ce mécanisme, conçu pour faciliter l’accès aux comptes depuis des appareils sans clavier, est détourné par les pirates pour contourner les protections traditionnelles. Les victimes reçoivent des e-mails apparemment légitimes, prétextant une demande d’accès à un document sur SharePoint ou une signature en attente sur DocuSign. En saisissant le code fourni, elles offrent sans le savoir un accès complet à leur compte — et à l’ensemble de leurs données professionnelles.

Ce qu'il faut retenir

  • Un outil criminel accessible : «Kali365» est proposé sous forme d’abonnement à 250 $/mois sur Telegram, permettant de générer des campagnes d’hameçonnage automatisées.
  • Une faille technique exploitée : le mécanisme Device code de Microsoft 365, normalement destiné à simplifier les connexions, est détourné pour voler des accès sans mot de passe.
  • Des victimes en Amérique du Nord et en Europe : plusieurs entreprises des secteurs finance, assurance, éducation et santé ont déjà été ciblées.
  • Des e-mails indétectables : les messages envoyés ne contiennent ni lien suspect ni pièce jointe malveillante, échappant aux filtres antispam et antivirus.
  • Des conséquences lourdes : une fois infiltré, le pirate accède à l’intégralité des données du compte, y compris celles de l’entreprise si l’utilisateur est un salarié.

Florian Brunel, spécialiste de l’actualité informatique cité par Capital, explique : «Kali365 est un logiciel prêt à l’emploi, accessible directement dans un navigateur. Un pirate peut l’utiliser pour envoyer des e-mails à des milliers de cibles potentielles en quelques clics, sans avoir besoin de maîtriser la programmation. L’objectif est de convaincre la victime de saisir un code de connexion, qui lui donnera accès à son compte Microsoft 365 — et à tout ce qu’il contient.».

Cette méthode repose sur l’ingénierie sociale : les pirates misent sur l’urgence ou la curiosité pour pousser les utilisateurs à agir sans réfléchir. Par exemple, un e-mail peut prétendre qu’un document important attend une signature sur DocuSign, ou qu’un collaborateur partage un fichier via SharePoint. Une fois le code saisi, l’accès au compte est instantané — et souvent indétectable par la victime, qui ne remarque une activité suspecte que bien plus tard.

Des entreprises déjà touchées, même en France

Les premières victimes de «Kali365» ont été identifiées en Amérique du Nord et en Europe, avec des secteurs particulièrement vulnérables : la finance, l’assurance, l’éducation et la santé. En France, plusieurs entreprises ont confirmé avoir subi des tentatives d’intrusion, même si peu ont communiqué publiquement sur le sujet. Selon Florian Brunel, les antivirus et les filtres antispam ne protègent pas contre cette menace, car les e-mails ne contiennent ni lien ni pièce jointe malveillante. Le seul rempart reste la vigilance des utilisateurs.

Les experts recommandent de vérifier systématiquement la source d’un e-mail avant d’agir, même si le message semble urgent. Une astuce consiste à contacter directement l’expéditeur présumé par un autre canal (téléphone, messagerie interne) pour confirmer la légitimité de la demande. Autre solution : limiter l’usage du Device code aux seuls appareils autorisés, comme les écrans d’une salle de réunion, via les paramètres de sécurité de Microsoft 365.

Comment se protéger efficacement ?

Pour limiter les risques, les administrateurs système peuvent configurer Microsoft 365 afin de restreindre l’utilisation du Device code à certains appareils ou utilisateurs. Cette option, disponible dans les paramètres de sécurité, permet de réduire considérablement la surface d’attaque. Par ailleurs, la sensibilisation des employés reste la meilleure défense : des formations régulières sur les techniques d’hameçonnage permettent de repérer plus facilement les tentatives de piratage.

Côté utilisateur, quelques règles simples s’imposent : ne jamais saisir un code de connexion reçu par e-mail sans en avoir vérifié la source, et privilégier l’authentification multifacteur (SMS, application d’authentification) pour renforcer la sécurité des comptes. Enfin, il est conseillé de signaler tout e-mail suspect à l’équipe informatique de son entreprise.

Une menace qui illustre l’évolution des cyberattaques

«Kali365» s’inscrit dans une tendance de plus en plus marquée : la démocratisation des outils cybercriminels. Autrefois réservés aux pirates expérimentés, ces logiciels sont désormais accessibles à quiconque a les moyens de payer un abonnement. Selon un rapport de l’ANSSI publié en 2025, le nombre de campagnes d’hameçonnage a augmenté de 40 % en un an, avec une sophistication croissante des méthodes utilisées.

Cette évolution pose un défi majeur pour les entreprises et les particuliers, d’autant que les cybercriminels exploitent désormais l’intelligence artificielle pour personnaliser leurs attaques. Par exemple, certains outils permettent de générer des e-mails en imitant le style d’écriture d’un collaborateur ou d’un supérieur hiérarchique, rendant les tentatives d’hameçonnage quasi indétectables.

Et maintenant ?

Microsoft a indiqué qu’il travaillait à des mises à jour pour renforcer la sécurité du Device code, mais aucune date n’a été communiquée pour son déploiement. Dans l’intervalle, les entreprises et les particuliers doivent redoubler de vigilance. Les experts s’attendent à une augmentation des attaques utilisant «Kali365» dans les prochains mois, d’autant que l’outil est désormais bien documenté et accessible. Une chose est sûre : cette menace ne disparaîtra pas sans une prise de conscience collective et des mesures techniques adaptées.

Face à cette situation, les autorités recommandent aux victimes potentielles de signaler toute tentative de piratage au CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques), qui centralise les signalements et peut alerter les autres utilisateurs. Une démarche essentielle pour limiter la propagation de ces attaques.

Les signes peuvent inclure des connexions suspectes à votre compte Microsoft 365 depuis des appareils inconnus, ou des activités inhabituelles (envoi massif d’e-mails, accès à des fichiers confidentiels). Si vous constatez ces anomalies, contactez immédiatement votre administrateur système ou le CERT-FR pour une analyse approfondie.

Microsoft n’a pas communiqué de feuille de route publique concernant des correctifs spécifiques pour le Device code. Cependant, l’éditeur a confirmé qu’il renforçait ses algorithmes de détection des activités suspectes. Les entreprises sont invitées à consulter régulièrement les mises à jour de sécurité et à activer les fonctionnalités de protection avancées, comme l’authentification conditionnelle.