Aller au contenu principal
MFAMicrosoft 365PhishingMenacesActualité

Quand le MFA ne suffit plus : le vol de jetons OAuth qui contourne tout

Des plateformes comme Kali365 permettent désormais à des attaquants peu expérimentés de voler des jetons Microsoft 365 et de contourner le MFA sans effort. Ce qui a changé, et comment se protéger.

Par Jean-Christophe Bork
Cadenas ouvert sur fond de code — symbolisant le contournement du MFA

L’authentification multi-facteurs (MFA) est, depuis des années, la mesure de sécurité numéro un recommandée par toutes les agences de sécurité. Microsoft affirme qu’elle bloque plus de 99 % des attaques de compromission de comptes. Ce chiffre reste vrai — mais il y a un angle mort que les attaquants exploitent de plus en plus : le vol de jetons d’authentification OAuth.

Si l’attaquant n’a pas besoin de votre mot de passe ni de valider le MFA, parce qu’il a volé la session après que vous l’avez vous-même validée, la protection tombe. C’est exactement ce que permettent les nouvelles plateformes de phishing en circulation.

Ce qui a changé : le phishing-as-a-service industrialisé

Le vol de jetons OAuth n’est pas une nouveauté. Des kits de phishing permettant de capturer ces tokens existent depuis au moins 2021. Ce qui change en 2025-2026, c’est la démocratisation de cette technique via des plateformes clés en main.

Kali365 : le phishing accessible à tous

Le FBI a publié un bulletin d’alerte sur Kali365, une plateforme de phishing-as-a-service qui abaisse radicalement la barrière à l’entrée. Pour un abonnement compris entre 250 $ (30 jours) et 2 000 $ (un an), n’importe quel cybercriminel accède à :

  • Des leurres de phishing générés par IA, imitant Adobe Acrobat Sign, DocuSign ou SharePoint
  • Des modèles d’e-mails préconfigurés (“Signature requise”, “Facture n°”, “Document partagé”…)
  • Des variantes localisées en 14 langues dont le français
  • Un tableau de bord de suivi en temps réel des victimes ciblées
  • Des fonctionnalités de capture automatique de jetons OAuth

Gurucul, Arctic Wolf et Sekoia ont tous observé des campagnes actives exploitant Kali365 depuis avril 2025. Ce n’est pas un outil confidentiel : il est en train de devenir l’arme standard des cybercriminels.

EvilTokens : la même logique, en circulation depuis février 2025

Les chercheurs de Sekoia ont documenté EvilTokens, un kit similaire actif depuis février 2025. Ces deux plateformes fonctionnent sur le même principe : inciter l’utilisateur à saisir un code sur une vraie page Microsoft, intercepter le jeton OAuth qui en résulte.

Comment fonctionne concrètement l’attaque

Le mécanisme est plus simple qu’il n’y paraît, ce qui le rend d’autant plus dangereux.

Le flux d’attaque, étape par étape

  1. L’attaquant envoie un e-mail de phishing avec un lien vers une vraie page Microsoft (ce n’est pas une fausse page — c’est le piège)
  2. La page demande de saisir un code d’appareil généré par le backend de Kali365
  3. L’utilisateur saisit le code, pensant effectuer une opération normale
  4. Ce code autorise l’appareil de l’attaquant à accéder au compte Microsoft 365
  5. Kali365 capture les jetons d’accès et de rafraîchissement OAuth

Une fois ces jetons en main, l’attaquant accède à Outlook, Teams et OneDrive sans jamais avoir à saisir de mot de passe ni passer par le MFA. Les jetons restent valides jusqu’à leur révocation explicite.

Ce qui se passe après la compromission

Arctic Wolf a observé que dans de nombreux cas, après avoir obtenu le jeton, l’attaquant :

  • Crée des règles de boîte de réception qui déplacent automatiquement les alertes de sécurité vers un dossier caché, marquées comme lues — pour rester invisible
  • Enregistre un terminal supplémentaire dans l’environnement Microsoft de la victime, ce qui étend l’accès au-delà du jeton initial en associant un appareil “de confiance” au compte compromis

Ce second point est important : même après révocation du jeton initial, l’attaquant peut maintenir l’accès via l’appareil enregistré.

Le signal d’alerte à enseigner à vos collaborateurs

La plupart des utilisateurs de Microsoft 365 ne sont jamais invités à saisir un code lors d’une connexion normale. Le flux habituel : identifiant, mot de passe, notification push ou code TOTP sur l’application Authenticator.

Un e-mail demandant de saisir un code sur une page Microsoft doit être considéré comme un signal d’alerte immédiat. Ce réflexe, simple à enseigner, peut suffire à bloquer l’attaque. Les cadres habilités à effectuer des virements sont des cibles prioritaires — les escroqueries BEC (Business Email Compromise) suivent exactement le même schéma initial.

Ce que les administrateurs doivent faire

Mesures prioritaires recommandées par le FBI

  • Restreindre ou bloquer le flux de codes d’appareils (device code flow) pour tous les utilisateurs via une politique d’accès conditionnel — sauf exceptions documentées pour les processus métier indispensables
  • Bloquer les politiques de transfert d’authentification d’un appareil à un autre
  • Analyser l’utilisation actuelle des codes d’authentification avant de créer la politique, pour identifier les dépendances légitimes
  • Exclure les comptes d’accès d’urgence de ces restrictions pour éviter les blocages

Contrôles complémentaires

Robert Beggs (Digital Defence) recommande :

  • Révocation proactive des jetons OAuth suspects
  • Surveillance des enregistrements de nouveaux appareils dans l’environnement Microsoft
  • Surveillance des règles de boîte de réception — une règle qui déplace des e-mails contenant “phishing”, “spam” ou “SharePoint” est un indicateur de compromission

Vers une sécurité centrée sur l’identité

Fritz Jean-Louis (Info-Tech Research Group) souligne que la réponse de fond est de traiter le phishing avant tout comme un risque d’usurpation d’identité, pas seulement de vol de mot de passe. Cela implique :

  • Déployer du MFA résistant au phishing : clés d’accès (passkeys) ou clés certifiées FIDO2 (type YubiKey), qui ne peuvent pas être détournées par ce type d’attaque
  • Mettre en place une évaluation continue des accès — pas seulement une authentification au moment de la connexion, mais une réévaluation dynamique des risques tout au long de la session
  • Appliquer des contrôles renforcés sur les comptes à hauts privilèges : direction, finance, IT avec accès administrateur

Ce que ça change pour les petites structures

Pour une TPE ou une PME sous Microsoft 365, les mesures immédiates sont accessibles :

  1. Activer l’accès conditionnel pour bloquer le flux de codes d’appareils (disponible avec les licences Microsoft 365 Business Premium)
  2. Former les collaborateurs à identifier une demande de code suspecte — 15 minutes de sensibilisation peuvent suffire
  3. Vérifier les règles de boîte de réception existantes pour détecter d’éventuelles compromissions passées
  4. Envisager des clés FIDO2 pour les comptes les plus exposés (direction, comptabilité)

Le MFA reste indispensable — il continue de bloquer l’immense majorité des attaques. Mais il ne peut plus être considéré comme la seule ligne de défense. L’approche par couches — MFA robuste, accès conditionnel, surveillance des comportements, formation des utilisateurs — est ce qui permet de tenir face à des attaques de plus en plus outillées.

La question qui suit naturellement : comment appliquer le MFA de façon intelligente, sans épuiser les utilisateurs à force de sollicitations ? C’est l’objet de l’article suivant sur le MFA contextuel et le Step-Up Authentication, qui détaille comment concentrer la friction sécuritaire uniquement sur les actions critiques — et pourquoi les clés FIDO2 sont la seule méthode qui résiste structurellement au vol de jetons OAuth.

Vous souhaitez faire le point sur la configuration de sécurité de votre environnement Microsoft 365 ? Un diagnostic peut identifier les paramètres à ajuster avant qu’une campagne de phishing ne cible votre organisation.

Sources : FBI Flash Alert IC3, mai 2025 ; Arctic Wolf, “Kali365 Phishing Campaign”, avril 2025 ; Gurucul Research, avril 2025 ; Sekoia TDR, “EvilTokens”, 2025 ; Info-Tech Research Group.