Protection comportementale
Opère sur le comportement de la page à destination, pas sur le canal de livraison. Efficace même lorsque le message contourne SEG, sandbox et filtres DNS.
Les attaques AiTM ne se contentent pas de voler les identifiants : elles capturent le session token après authentification, rendant le MFA inutile. Fortgale bloque l'attaque avant que l'utilisateur n'interagisse avec le proxy malveillant.
Les solutions anti-phishing classiques interviennent avant la livraison. Fortgale opère là où les filtres traditionnels échouent : au moment où l'utilisateur est sur le point de saisir ses identifiants.
Opère sur le comportement de la page à destination, pas sur le canal de livraison. Efficace même lorsque le message contourne SEG, sandbox et filtres DNS.
Conçu pour les AiTM qui contournent le MFA : agit avant que le token ne soit généré dans un contexte frauduleux, rendant le vol structurellement impossible.
Aucune modification du DNS, des serveurs mail ou du tenant M365. Onboarding guidé en quelques heures. Compatible avec FIDO2, TOTP, clés hardware et tous les fournisseurs MFA.
Le proxy AiTM rend le MFA inutile. La seule défense est d'agir sur la page de destination, avant que l'utilisateur ne tape.
L'e-mail de phishing contourne SEG, sandbox et filtres DNS. Il contient un lien vers un proxy AiTM d'apparence légitime.
L'utilisateur clique. Le proxy transparent (Evilginx, Modlishka, Muraena) relaie le trafic vers le vrai portail M365.
L'utilisateur saisit ses identifiants et le second facteur. Le proxy capture tout : mot de passe et code MFA.
Microsoft émet le session token. Le proxy l'intercepte et le réutilise de manière autonome, contournant le MFA.
L'Interceptor détecte le proxy et bloque l'utilisateur avant l'étape 1. Aucune donnée n'est jamais transmise.
Opère sur le comportement de la page de destination, pas sur le canal de livraison. Efficace même lorsque le message contourne SEG, sandbox et filtres DNS.
Conçu pour les AiTM qui contournent le MFA : agit avant que le token ne soit généré dans un contexte frauduleux, rendant le vol structurellement impossible.
Aucune modification du DNS, des serveurs mail ou du tenant M365. Onboarding guidé en quelques heures, sans impact sur la productivité.
Protection pour Microsoft 365 (Exchange Online, SharePoint, Teams) et Google Workspace (Gmail, Drive, Meet).
Alimenté par le Fortgale Intelligence Feed : nouvelle infrastructure AiTM, kits de phishing émergents, domaines lookalike détectés et bloqués en temps réel.
Tableau de bord centralisé des attaques interceptées, utilisateurs concernés, secteurs cibles. Reporting CISO avec métriques MTTD/MTTR et tendances mensuelles.
Le programme complet : prévention avec l'Interceptor, ITDR post-compromission sur AD et cloud, surveillance SOC. L'AiTM est un chapitre, ceci est le livre.
Voir le programme →EDR/XDR gouverné par le SOC européen. Triage en <15 min, confinement <30 min.
Découvrir MDR →34 000+ IoC par semaine · domaines de phishing AiTM, kits Evilginx/Modlishka, infrastructure C2 distribués via STIX/TAXII.
Découvrir le Feed →Adversary-in-The-Middle : un proxy transparent entre l'utilisateur et le site légitime (M365). Capture les identifiants et les tokens MFA, contournant l'authentification. Technique dominante dans les campagnes européennes avancées. Frameworks : Evilginx, Modlishka, Muraena.
Détecte en temps réel les signaux caractéristiques des pages proxy AiTM et affiche un avertissement avant la saisie des identifiants. Analyse le comportement de la page et de la session, pas le canal e-mail.
Le MFA protège les identifiants statiques (nom d'utilisateur/mot de passe) mais pas le session token émis après l'authentification. Le proxy AiTM reçoit le token valide, même après le second facteur, et le réutilise de manière autonome. L'Interceptor agit en amont.
Oui. Les campagnes AiTM contre Google sont en croissance dans l'industrie, la logistique et les services professionnels. Logique identique : un avertissement avant la saisie des identifiants.
Onboarding rapide, non invasif. Aucune modification de l'infrastructure, des serveurs mail, du DNS, du tenant M365. Activation en quelques heures. Réponse de l'équipe dans les 24 heures ouvrées.
Nous analysons les kits de phishing AITM en circulation, infrastructure reverse-proxy, token hijack, kits réutilisables. le Supercar Phishing Kit et Phishing Kits Bypass MFA ne sont que deux exemples de la recherche qui alimente nos détections M365.

ABSTRACT The FBI recently issued an advisory on Kali365, a Phishing-as-a-Service platform that abuses legitimate Microsoft OAuth flows to bypass multi-factor authentication. Kali…
Lire l'article →
Intelligence · Phishing Kit · Q1 2026 April 24, 2026Fortgale CTI14 min readRPT-26-0424 Observation of the quarter The 2026 phishing ecosystem has outpaced traditional defenses. M…
Lire l'article →
In the high-stakes world of venture capital and corporate funding, where millions hang in the balance and sensitive financial data flows freely, a new breed of cyber threat is em…
Lire l'article →
In February 2026, the Fortgale Incident Response team investigated a multi-stage intrusion attributed to Mora_001, a Russian-origin threat actor exploiting Fortinet vulnerabiliti…
Lire l'article →
UPDATES: 27.11.2024: As mentioned by TrustWave, "Supercar Phishing Kit" has an high level of overlapping with the most recent update of "Rockstar 2FA Phishing-as-a-Service" 26.09…
Lire l'article →
In the evolving landscape of cybersecurity threats, Fortgale is tracking PhishSurf Nebula, an advanced Cyber Espionage group active since 2021 and primarily targeting entities wi…
Lire l'article →Analyse de 800 domaines de la plateforme PhaaS Kali365 (abus de l'OAuth Device Code Flow) : 85,8% hébergés sur Cloudflare Workers.
Lire l'analyse →Les règles du SOC naissent de l'analyse directe de campagnes réelles : 9 kits de phishing profilés dans le rapport CTI T1 2026.
Lire le rapport →Une attaque AiTM contre des dirigeants pendant une levée de fonds a été interceptée avant compromission. Aucun accès obtenu.
Lire le cas →Plus de 100 analyses publiées. Attributions corroborées par des tiers comme Mandiant (Google), Amazon, SentinelOne et Huntress. SOC européen, 24·7·365.
Pas de funnel. Pas de démo générique. Nous vous apportons un Report construit sur votre secteur et des analystes avec autorité de décision.
Aucune séquence de nurturing, aucune réponse automatique. Un de nos analystes vous rappelle sous un jour ouvré.
Le Report complet (executive summary · IoC opérationnels · runbook technique) est confidentiel. Envoyez-nous deux informations et un de nos analystes vous recontacte avec l'accès et un bref briefing technique.
Réponse en 30 minutes, confinement en 1 à 4 heures. Même si vous n'êtes pas client Fortgale.