×
Accueil Tutoriels Infos Geeks Bons Plans Cybersécurité Contact Demander de l’aide
Kali365 : le kit de phishing qui pirate Microsoft 365 sans mot de passe Cybersécurité & Ransomware

Kali365 : le kit de phishing qui pirate Microsoft 365 sans mot de passe

25 Mai 2026 •






Kali365 : le kit de phishing qui pirate Microsoft 365 sans mot de passe

Kali365 : le kit de phishing qui pirate Microsoft 365 sans mot de passe

Alors là, bonjour l’innovation. Le FBI vient de balancer une alerte qui devrait faire trembler tous les administrateurs système qui croient encore que Microsoft 365 est sécurisé par autre chose que des post-it collés derrière les écrans. Kali365, c’est le cadeau empoisonné dont personne ne voulait. Un kit de phishing en mode tout compris, vendu comme un bon plan sur Telegram. Pas besoin d’être un crack en sécurité informatique. Même mon neveu en stage chez McDonald’s pourrait s’en servir. Enfin, presque.

Pourquoi c’est grave ? Parce que ce truc contourne TOUT ce que vous avez mis en place pour protéger vos comptes. Pas de vol de mot de passe, pas de contournement de la double authentification. Juste un piratage en règle qui s’installe sans que la victime ne s’en rende compte. Et le pire ? C’est disponible à la location, comme un Netflix du crime.

Moi, Marc, technicien informatique indépendant depuis 15 ans, je l’ai vu arriver, ce genre de merde. La semaine dernière encore, un client m’a appelé en panique parce que quelqu’un avait accédé à son compte admin sans même essayer de deviner le mot de passe. Étrange ? Non, c’est juste Kali365 en action. Alors accrochez-vous, parce que je vais vous expliquer comment ce kit marche, pourquoi il est si dangereux, et surtout comment vous pouvez (peut-être) vous en protéger.

Le kit phishing Microsoft 365 qui fait trembler les pros : Kali365 décortiqué

D’abord, parlons de ce dont on parle vraiment : un kit de phishing en tant que service. Vous voulez pirater un compte Microsoft 365 ? Pas de problème. Pour 200 balles par mois sur Telegram, vous avez accès à tout ce qu’il faut : des modèles d’emails piégés générés par IA, des campagnes pré-établies, et même des instructions pour ne pas vous faire prendre. Tout est clé en main, comme un meuble IKEA, mais sans notice et avec des vis en moins.

Le fonctionnement est d’une simplicité déconcertante. La victime reçoit un email qui semble provenir de Microsoft, avec un lien vers un faux portail de connexion. Sauf que quand elle clique, au lieu d’être redirigée vers la vraie page de login, elle atterrit sur un faux site qui usurpe l’apparence de Microsoft 365. Et là, magie noire : la victime entre ses identifiants, et hop, le système enregistre tout sans qu’elle ne s’en rende compte.

Mais attendez, me direz-vous, la double authentification ? Elle ne sert à rien ici. Pourquoi ? Parce que Kali365 ne vole pas le mot de passe. Il capture la session en temps réel. Dès que la victime se connecte, le pirate peut prendre le relais immédiatement, comme si elle était connectée sur son propre compte. C’est comme si on vous volait votre téléphone et qu’on restait connecté à tous vos comptes sans que vous ne puissiez rien faire.

Mine de rien, c’est une révolution dans l’univers du phishing. Avant, il fallait soit deviner un mot de passe, soit tromper la victime pour qu’elle le donne. Là, c’est direct et sans effort. Un vrai progrès pour les cybercriminels, un cauchemar pour les entreprises.

Comment Google Maps m’a déjà fait le coup (et pourquoi c’est pire)

Je me souviens d’un client en 2019 qui s’était fait pirater son compte Gmail. Le pirate avait utilisé un faux email de Google Maps : « Votre commande est livrée, cliquez ici pour suivre votre colis ». Le client, stressé, avait cliqué. Résultat : son compte était compromis en deux minutes. À l’époque, c’était déjà une galère. Avec Kali365, c’est encore pire, parce que Microsoft 365, c’est le couteau suisse de l’entreprise moderne. Un accès à un compte admin, et le pirate peut tout voir : emails, documents, contacts, projets. Tout.

Pourquoi Microsoft 365 est une passoire (et pourquoi vous devriez avoir honte)

Alors là, je vais être cash : Microsoft se la joue sécurité, mais en réalité, ils ont encore tout foiré. Comment un tel kit peut-il exister ? Parce que la plateforme est conçue pour être trop permissive. Les attaques par phishing, c’est la base du métier de pirate. Et Microsoft, malgré ses milliards, n’a toujours pas trouvé de solution miracle pour bloquer ça.

Pire encore : les mises à jour de Microsoft 365 sont souvent buggées. La semaine dernière, une MAJ a cassé l’authentification multifactorielle de la moitié de mes clients. Du coup, ils ont dû désactiver temporairement la double authentification par SMS. Vous voyez le problème ? Un faux pas, et c’est la porte ouverte à Kali365.

Et ne me parlez pas des alertes de Microsoft Defender. Personnellement, je n’ai jamais vu un seul email de phishing bloqué par leur système. C’est comme si on donnait un pistolet à un enfant et qu’on lui disait de surveiller un coffre-fort. Ça ne marche pas.

  • Microsoft 365 a beau coûter une blinde, ses protections sont aussi solides qu’un château de cartes.
  • Les mises à jour cassent souvent plus qu’elles ne réparent.
  • Les outils de détection de phishing de Microsoft sont aussi efficaces qu’un filet en papier dans une partie de pêche.

Alors oui, je suis en colère. Parce que je passe mes journées à réparer les dégâts causés par ce genre de conneries. Et à chaque fois, c’est la même chanson : « Mais Marc, on avait tout mis en place ! ». Non, vous aviez cru tout mettre en place, mais vous avez oublié une chose : le facteur humain. Parce que même avec les meilleures protections, un employé qui clique sur le mauvais lien, et c’est le drame.

Kali365 en action : le scénario catastrophe qui vous pend au nez

Imaginez la scène. Un employé reçoit un email qui semble venir de son patron : « Urgent : Validez votre accès à Microsoft 365 avant 16h ». Le mail est bien écrit, sans faute d’orthographe, avec le bon logo. L’employé, stressé, clique sur le lien. Sans réfléchir. Sans vérifier. Parce que c’est Microsoft, après tout. Qui oserait usurper leur identité ?

Sauf que le lien mène vers un faux site. L’employé rentre ses identifiants. Et là, Kali365 récupère la session active. Le pirate a maintenant accès au compte. Il peut envoyer des emails depuis l’employé, accéder à ses documents, et même exfiltrer des données sensibles. Et le pire ? L’employé ne remarque rien. Il continue à travailler, comme si de rien n’était.

Sauf que le pirate, lui, peut maintenant envoyer un email à la comptabilité : « Virement urgent pour ce client ». Ou pire, envoyer un email au CEO en imitant un fournisseur : « Changement de RIB, merci de mettre à jour ». Et hop, l’entreprise se fait plumer sans même comprendre ce qui lui arrive.

Je l’ai vu. Pas une fois. Dix fois. Des PME qui se font vider de leur trésorerie en 24h parce qu’un employé a cliqué sur un lien. Et Microsoft ? Microsoft vous dit : « Activez la double authentification ». Super. Sauf que Kali365 contourne ça. Alors oui, c’est une catastrophe.

Le jour où j’ai failli me faire avoir (et pourquoi ça m’a marqué)

Il y a deux ans, j’ai reçu un email qui semblait venir de mon hébergeur : « Votre domaine va expirer, cliquez ici pour le renouveler ». Le mail était parfait. Même moi, j’ai failli cliquer. Sauf que j’ai remarqué l’URL bizarre dans le lien. C’était un faux site. Depuis, je vérifie tout. Mais combien d’employés font ça ? Combien d’entreprises peuvent se vanter de ne jamais avoir été touchées ? Spoiler : très peu.

Que faire contre Kali365 ? La checklist anti-piratage (si vous avez encore le temps)

Bon. Assez râlé. Maintenant, parlons solution. Parce que même si Microsoft est une passoire, il y a des choses à faire. Voici ce que je recommande à mes clients, avant que Kali365 ne leur tombe dessus.

  • Désactivez les liens dans les emails Outlook. Oui, vous avez bien lu. Configurez votre Exchange Online pour que les liens ne soient pas cliquables directement. Les employés devront copier-coller l’URL dans leur navigateur. C’est chiant, mais ça marche.
  • Utilisez un proxy inverse pour filtrer les emails. Des outils comme Mimecast ou Proofpoint peuvent bloquer les faux emails avant qu’ils n’arrivent dans la boîte mail. Et franchement, c’est bien plus efficace que les filtres de Microsoft.
  • Limitez les permissions des comptes. Un employé normal n’a pas besoin d’accéder à tout. Configurez les droits au cas par cas, comme si vous gériez un système d’exploitation des années 90.
  • Activez les alertes de connexion inhabituelle. Microsoft propose ça, mais personne ne l’utilise. Configurez-le pour recevoir une alerte si quelqu’un se connecte depuis un pays étrange, ou à 3h du matin.
  • Formez vos employés. Vraiment. Pas une formation en ligne de 20 minutes où on leur montre une vidéo de 1998. Organisez des simulations de phishing. Montrez-leur à quoi ressemble un vrai faux email. Parce que la meilleure sécurité, c’est l’humain.

Et surtout, ne comptez pas sur Microsoft pour vous sauver. Leurs outils de sécurité sont aussi performants qu’un antivirus des années 2000. Si vous voulez vous protéger, il faut investir dans des solutions tierces. Ou alors, préparez-vous à faire appel à un technicien comme moi quand le drame arrivera.

Parce que Kali365, c’est juste la partie émergée de l’iceberg. Derrière, il y a des milliers de variants, des milliers de kits similaires. Et un jour ou l’autre, ça tombera sur vous. Alors agissez maintenant, avant que ce ne soit trop tard.

Kali365 : l’avenir du phishing ou juste la routine ? Mon avis tranché

Je vais être clair : Kali365, ce n’est pas une révolution. C’est juste la confirmation que le phishing, c’est toujours le maillon faible. Et que Microsoft, malgré ses milliards, n’a toujours pas compris comment protéger ses utilisateurs.

Alors oui, les experts vont vous dire : « Il faut plus de technos, plus d’IA, plus de machine learning ». Super. Mais moi, je vous le dis : la meilleure défense, c’est la vigilance. Parce qu’un email piégé, c’est comme un virus : même les meilleurs antivirus ne peuvent pas le bloquer si l’utilisateur clique dessus.

Alors est-ce que Kali365 est l’avenir du phishing ? En partie, oui. Est-ce que c’est une menace réelle ? Absolument. Est-ce que Microsoft va enfin réagir ? Je n’y crois pas. Parce que tant que les entreprises continueront à acheter leurs solutions sans poser de questions, les pirates auront toujours un marché.

Du coup, si vous voulez ma recommandation : ne comptez pas sur Microsoft. Protégez-vous vous-même. Utilisez des outils tiers. Formez vos équipes. Et surtout, assumez le fait que le phishing est une menace permanente, pas une exception.

Parce que moi, depuis 15 ans, je vois toujours les mêmes erreurs. Et Kali365, c’est juste une nouvelle façon pour les pirates d’exploiter ces failles. Alors oui, c’est grave. Mais ce n’est pas une fatalité. À vous de jouer.

Pour aller plus loin : la source qui a inspiré l’article

Si vous voulez creuser le sujet, l’article original vient de Korben, un site que j’aime bien pour ses analyses techniques (même si parfois, ils en font un peu trop). Vous trouverez tous les détails sur ce kit de phishing et ses implications sur leur site. À lire, mais surtout à méditer.


Source : article original

Please follow and like us:
fb-share-icon
Tweet
Pin Share
Post Views: 15