Une vague de kits de phishing en 2026 — menés par Forg365, Jalisco et OmegaLord — contourne l’authentification multi facteurs en détournant le processus de connexion légitime, sans casser la cryptographie. L’extension ForgCookie rafraîchit automatiquement les cookies de session volés, offrant aux attaquants un accès...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is the latest wave of phishing threats targeting Microsoft 365 accounts, including the Forg3. Article summary: Here is a comprehensive, sourced analysis of the latest wave of Microsoft 365 phishing threats as of July 2026.. Topic tags: general, government, general web, user generated, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it usefu
Les chercheurs en sécurité ont documenté une escalade marquée des plateformes de phishing-as-a-service (PhaaS) et des kits conçus pour contourner l’authentification multi-facteurs (MFA) des comptes Microsoft 365. Plutôt que de briser les flux cryptographiques de la MFA, ces attaques détournent le processus d’authentification légitime — en interceptant les jetons de session, en abusant des flux OAuth de code d’appareil (device-code), ou en servant de proxy à des connexions réelles, de sorte que la validation MFA de la victime profite en réalité à l’attaquant .
Dévoilée le 9 juillet 2026 par ZeroBEC et BleepingComputer, Forg365 est une plateforme PhaaS par abonnement (400 $/mois) distribuée via Telegram . Elle intègre trois capacités inédites :
microsoft.com/devicelogin, ce qui autorise le client de l’attaquant) Une extension de navigateur compagnon, ForgCookie, est compatible avec Chrome, Edge et Brave . Une fois que les jetons de session ou les cookies de la victime sont récoltés, ForgCookie rafraîchit automatiquement les cookies de session volés, permettant à l’attaquant de maintenir l’accès aux services Microsoft 365 (Outlook, Teams, OneDrive, SharePoint) sans réauthentification — même après que la victime a changé son mot de passe
. Ce qui n’était qu’un vol ponctuel de jeton devient une compromission persistante et à long terme.
Identifié par ReliaQuest et BleepingComputer le 14 juillet 2026, Jalisco est un kit de phishing par code d’appareil activement utilisé contre les comptes Microsoft 365 . Son mode opératoire :
La MFA n’est donc pas « brisée » : elle est transformée en arme par l’attaquant.
Également signalé le 14 juillet 2026, OmegaLord emprunte une voie différente : il se fait passer pour une fausse page de lecteur PDF . Lorsque les victimes atterrissent sur cette page :
De multiples sources confirment une tendance sectorielle plus large :
La leçon cruciale à retenir de toutes ces menaces est que la MFA n’est pas techniquement vaincue : elle est détournée au profit de l’attaquant.
| Technique | Ce qui se passe | Pourquoi la MFA ne l’arrête pas |
|---|---|---|
| Phishing par code d’appareil | La victime saisit le code de l’attaquant sur la vraie page de connexion Microsoft et valide sa propre MFA. | Le jeton est délivré à l’application de l’attaquant. La MFA a authentifié le bon utilisateur… mais pour le mauvais client. |
| Proxy interposé (AiTM) | La victime se connecte via le proxy de l’attaquant ; la MFA s’effectue normalement. | L’attaquant capture le cookie de session en temps réel et détourne la session. |
| Vol d’identifiants + OTP | Un faux formulaire de connexion capture le mot de passe et l’OTP simultanément. | L’OTP est utilisé immédiatement par l’attaquant avant son expiration. |
C’est pourquoi la MFA traditionnelle seule n’est plus une défense suffisante .
Sur la base de multiples avis, les mesures d’atténuation suivantes sont fortement recommandées :
devicecode).offline_access, Mail.Read ou Files.ReadWrite.All.Ces recommandations sont tirées de l’avis du FBI , du blog de la sécurité Microsoft
, de BleepingComputer
et de l’analyse des menaces de ReliaQuest
.
La vague 2026 de phishing Microsoft 365 — menée par Forg365 (avec son extension de persistance ForgCookie), Jalisco, OmegaLord et l’écosystème plus large des kits de code d’appareil et AiTM — représente un changement de paradigme. Les attaquants n’ont plus besoin de voler des mots de passe ou de briser la MFA. Au lieu de cela, ils abusent du modèle de confiance OAuth pour que l’authentification de la victime autorise une session contrôlée par l’attaquant. Le consensus de la communauté de la sécurité est d’adopter une posture de confiance zéro : désactiver les flux d’authentification inutilisés, appliquer l’accès conditionnel, surveiller les octrois de jetons et migrer vers une MFA résistante au phishing .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Une vague de kits de phishing en 2026 — menés par Forg365, Jalisco et OmegaLord — contourne l’authentification multi facteurs en détournant le processus de connexion légitime, sans casser la cryptographie.
Une vague de kits de phishing en 2026 — menés par Forg365, Jalisco et OmegaLord — contourne l’authentification multi facteurs en détournant le processus de connexion légitime, sans casser la cryptographie. L’extension ForgCookie rafraîchit automatiquement les cookies de session volés, offrant aux attaquants un accès persistant à Outlook, Teams et OneDrive, même après un changement de mot de passe.
Le FBI, Microsoft et les chercheurs recommandent de désactiver les flux OAuth inutilisés, d’appliquer des politiques d’accès conditionnel et d’adopter une MFA résistante au phishing (FIDO2).