Parallèlement, la plateforme de phishing en tant que service (PhaaS) Forg365 a été identifiée par les chercheurs de ZeroBEC (signalée du 9 au 13 juillet 2026) comme un kit commercial distribué via Telegram, coûtant 400 $ par mois (ou 3 800 $ par an). Contrairement aux forks Evilginx personnalisés trouvés sur le serveur exposé, Forg365 regroupe plusieurs méthodes et outils d'attaque dans un seul tableau de bord opérateur .
Forg365 combine trois capacités principales :
La plateforme comprend également un contournement antibot (détecte les bacs à sable et les robots de sécurité), un accès à la boîte aux lettres après compromission (les opérateurs peuvent naviguer et exfiltrer les emails depuis le panneau), une rotation SMTP et une planification de campagne .
Ces deux découvertes illustrent la distinction cruciale entre les attaques par proxy AiTM et l'abus de code d'appareil. Comprendre la différence est essentiel car la même défense ne fonctionne pas pour les deux :
Attaques par proxy AiTM (style Evilginx) : L'attaquant met en place une fausse page de connexion qui sert de proxy vers la vraie page de connexion Microsoft. L'utilisateur saisit son mot de passe et effectue la MFA sur le proxy de l'attaquant. Après une authentification réussie, Microsoft émet un cookie de session vers ce qu'il croit être le navigateur légitime de l'utilisateur — mais ce cookie atterrit en fait dans le proxy de l'attaquant, pas dans le navigateur de l'utilisateur. L'attaquant peut alors rejouer ce cookie pour accéder au compte Microsoft 365 de la victime .
Phishing par code d'appareil : L'attaquant génère un code d'appareil Microsoft légitime (un code court utilisé pour se connecter sur des appareils sans clavier, comme les téléviseurs connectés) et l'envoie à la victime dans un email de phishing. La victime visite la vraie page de connexion Microsoft, saisit le code, effectue la MFA et autorise l'application de l'attaquant. Rien n'est « contourné » — la victime a autorisé l'accès. Le serveur de l'attaquant interroge ensuite Microsoft pour obtenir le jeton .
La défense la plus efficace contre les attaques par proxy AiTM est la MFA résistante au phishing, spécifiquement FIDO2/WebAuthn et les passkeys (clés d'accès). Ces méthodes lient les identifiants au nom de domaine légitime. Ainsi, lorsque le navigateur de l'utilisateur se connecte au site proxy de l'attaquant (qui a un nom de domaine différent), le protocole d'authentification détecte l'incompatibilité de domaine et bloque automatiquement l'échange d'identifiants .
Autres défenses :
Le phishing par code d'appareil n'oblige pas l'attaquant à amener l'utilisateur à saisir ses identifiants sur une fausse page : l'utilisateur interagit avec la vraie page de connexion Microsoft. Cela signifie que les FIDO2/passkeys ne protègent pas entièrement contre cette attaque, car le flux OAuth légitime est utilisé .
La défense principale consiste à bloquer l'octroi OAuth par code d'appareil pour les utilisateurs qui n'en ont pas besoin, à l'aide de l'accès conditionnel Microsoft Entra ID :
Défenses supplémentaires :
L'avis public du FBI de mai 2026 sur la plateforme Kali365 PhaaS recommandait spécifiquement de bloquer le flux de code d'appareil comme défense principale . Alors que les plateformes de phishing comme Forg365 continuent de commercialiser ces techniques d'attaque, l'urgence opérationnelle pour les défenseurs est claire : déployer les FIDO2/passkeys pour tous les comptes privilégiés afin d'arrêter les attaques par proxy AiTM, et utiliser l'accès conditionnel pour désactiver l'octroi par code d'appareil pour les utilisateurs qui n'en ont pas besoin. Un seul répertoire ouvert a peut-être exposé trois campagnes — mais les leçons s'appliquent à chaque locataire Microsoft 365.