Une nouvelle attaque de phishing a été identifiée.
Elle permet d’accéder à des informations sur les comptes Office 365 sans obtenir de noms d’utilisateur ni de mots de passe. La campagne parvient également à contourner les contrôles d’authentification multifacteur (AMF) qui ont été mis en place pour empêcher que des informations d’identification volées soient utilisées pour accéder à distance à des comptes de messagerie électronique à partir de lieux ou de dispositifs inconnus.
La campagne tire profit des protocoles OAuth2 et OpenID Connect
Ces deux protocoles sont utilisés pour authentifier les utilisateurs d’Office 365.
Les e-mails de phishing comprennent un lien SharePoint malveillant qui est utilisé pour tromper les destinataires de l’e-mail et leur faire accorder des autorisations d’application qui leur permettent d’accéder aux données des utilisateurs sans nom d’utilisateur ni mot de passe.
Les e-mails de phishing sont typiques de plusieurs autres campagnes qui abusent de SharePoint. Ils informent le destinataire qu’un fichier a été partagé avec lui et qu’il doit cliquer sur un lien pour visualiser le fichier. Dans ce cas, le fichier partagé apparaît comme un document PDF.
Le document comprend le texte « q1.bonus » qui suggère que l’utilisateur se voit offrir de l’argent supplémentaire. Cette escroquerie est particulièrement efficace si le nom de l’expéditeur a été usurpé pour faire croire que l’e-mail a été envoyé en interne par le service des ressources humaines ou par un responsable.
En cliquant sur le lien contenu dans un e-mail, un utilisateur avisé est dirigé vers une véritable URL Microsoft Online où il se verra présenter l’invite de connexion familière de Microsoft. Comme le domaine commence par login.microsoftonline.com, l’utilisateur peut croire qu’il atterrit sur un véritable site Microsoft (et c’est le cas) et qu’il est sûr de saisir ses identifiants de connexion (ce qui n’est pas le cas).
La raison pour laquelle il n’est pas sûr peut être vue dans le reste de l’URL (c’est-à-dire l’insertion des lettres « online »). Mais pour de nombreux utilisateurs non vigilants, il ne sera pas clair qu’il s’agit d’une escroquerie.
Comment les pirates utilisent-ils les protocoles OAuth2 et OpenID Connect pour contourner l’AMF ?
En réalité, la saisie du nom d’utilisateur et du mot de passe ne fournit pas les informations d’identification à un attaquant. En faisant cela, il s’authentifiera seulement auprès de Microsoft et obtiendra un jeton d’accès de la plate-forme d’identité Microsoft.
OAuth2 et OpenID Connect sont des protocoles utilisés par un grand nombre d’utilisateurs d’Internet. Ils leur permettent de s’authentifier sur différents services web via l’identité qu’ils possèdent sur une plate-forme web comme Google, Facebook et Yahoo.
Par exemple, Google Connect et Facebook Connect peuvent être utilisés par de nombreux sites Internet pour authentifier de façon transparente les utilisateurs de ces sites.
Pour notre cas, OAuth2 a été utilisé pour authentifier l’utilisateur, tandis qu’OpenID Connect servait d’outil pour déléguer l’autorisation à une application malveillante, ce qui signifie que l’application se verra accorder l’accès aux données de l’utilisateur sans jamais recevoir de justificatifs d’identité, et les données d’authentification ont été envoyées à un domaine hébergé en Bulgarie.
L’utilisateur est tenu de saisir à nouveau ses identifiants de connexion et l’application malveillante reçoit les mêmes autorisations qu’une application légitime. L’application pourrait alors être utilisée pour accéder aux fichiers stockés dans le compte Office 365 et pourrait également accéder à la liste de contacts de l’utilisateur, ce qui permettrait à l’attaquant de mener d’autres attaques contre l’organisation et les contacts professionnels de l’utilisateur.
L’objectif des pirates était de contourner l’AMF
La campagne de phishing a été identifiée par des chercheurs de Cofense. Ces derniers ont déjà averti que l’accès ne doit être accordé qu’une seule fois. Les jetons d’accès ont une date d’expiration, mais cette méthode d’attaque permet aux attaquants de rafraîchir les jetons, ce qui leur donne potentiellement accès aux documents et aux fichiers du compte Office 365 pour une durée indéterminée.
Grâce à l’AMF, les entreprises peuvent se sentir immunisées contre les attaques de phishing.
Comment fonctionne l’AMF ?
Lorsque vous utilisez ce système d’authentification, les utilisateurs doivent au moins utiliser des identifiants qui proviennent d’au moins deux parmi trois catégories de facteurs qui leur seront demandées successivement. Dans ce cas, on parle d’authentification à deux facteurs. Le système peut également exiger un troisième facteur ou plus pour permettre à un utilisateur d’accéder aux ressources dont ils ont besoin. Ainsi, on parle d’authentification multi facteur.
L’exemple du premier facteur le plus couramment utilisé est le mot de passe. Mais il peut aussi prendre d’autres formes telles qu’une phrase secrète, un code PIN, etc. Le problème avec ces informations personnelles est qu’elles peuvent souvent être dévoilées ou volées via de simples recherches, des tactiques d’ingénierie sociale ou des attaques de phishing. Il est donc peu recommandé de les utiliser en tant que méthode d’authentification, car elles sont peu fiables. Le mieux serait d’utiliser quelque chose que l’utilisateur connaît, quelque chose lié à sa personne ou quelque chose qu’il possède.
Les limites de l’AMF
Des milliards tentatives de piratage sont lancées chaque jour sur le web. En 2018, en l’espace de seulement trois mois, 765 millions d’utilisateurs ont été victimes de cybermenaces, notamment des attaques de ransomware et de malware.
L’AMF est une technique importante qui permet d’atténuer ces risques, car elle empêche l’utilisation d’identifiants volés pour accéder à des comptes d’utilisateurs d’Office 365. Malheureusement, elle n’est pas infaillible.
De nombreuses personnes sont encore réticentes à l’idée d’adopter cette technologie pour protéger leurs comptes ou leurs applications. L’une des principales raisons est l’effort nécessaire pour sa mise en œuvre.
De l’autre côté, il y a la question de procédure, c’est-à-dire que les utilisateurs doivent passer plusieurs étapes supplémentaires chaque fois qu’ils souhaitent accéder à leurs comptes ou à une application (saisie d’un mot de passe ou d’un code, sélection d’images pour compléter un captcha, etc.).
À ceux-ci s’ajoute le fait que certains utilisateurs pourraient être tentés de désactiver complètement l’AMF s’ils en ont la possibilité, juste pour éviter d’entrer un code à usage unique ou de produire une clé physique lors du processus de connexion.
De plus, la mise en œuvre de cette technologie peut s’avérer trop coûteuse pour certaines entreprises/utilisateurs, alors qu’elle ne garantit pas une protection à 100 % contre les cybermenaces.
Selon des chercheurs, même si l’AMF offre plus de sécurité aux comptes des utilisateurs, de certaines applications courantes ne la prennent pas en charge, notamment lorsque vous utilisez les systèmes d’authentification modernes. Parmi ces applications, on compte le système de messagerie des versions antérieures à iOS 10.
Enfin, d’autres protocoles de messagerie hérités tels que SMTP, IMAP et POP ne prennent pas en charge cette technologie. Ceci signifie que les attaquants peuvent contourner facilement votre système d’authentification multifacteur en utilisant ces applications héritées.
Cette campagne souligne l’importance de disposer d’une solution de sécurité de la messagerie électronique qui utilise une technologie prédictive pour identifier les nouvelles escroqueries de phishing qui n’ont jamais été vues auparavant et qui ne comportent pas de pièces jointes malveillantes.
Les attaques de phishing de ce type sont susceptibles de contourner les protections antispam d’Office 365 et d’être envoyées dans les boîtes de réception, et la nature inhabituelle de cette campagne peut tromper les utilisateurs en leur permettant involontairement d’autoriser des pirates à accéder à leurs comptes Office 365.
Office 365 est une cible pour de nombreuses attaques cybercriminelles
L’environnement Office 365 est un atout important pour la plupart des employés qui l’utilisent, notamment lorsqu’ils adoptent le travail à distance. En fait, ce système d’exploitation facilite grandement la communication et la collaboration en ligne.
On compte actuellement plus d’un million d’entreprises qui utilisent cette application. Vers la fin 2019, le géant Microsoft a enregistré 200 millions d’utilisateurs actifs par mois, et ce nombre ne cesse d’augmenter à raison d’environ 3 millions d’utilisateurs mensuels.
Malgré sa popularité, Office 365 constitue également un vecteur d’attaques cybercriminelles potentielles.
À cause de la pandémie du COVID-19, les entreprises ont par exemple dû pousser leurs employés à travailler chez eux. Cela a également accéléré la migration des outils de collaboration vers le cloud ainsi que la transformation numérique.
Une étude menée par le fournisseur de solutions de cybersécurité Vectra a révélé une tendance troublante. En fait, 71 % des systèmes Microsoft Office 365 déployés dans les moyennes et grandes entreprises ont fait l’objet d’environ sept prises de contrôle de comptes légitimes, à un moment où les employés distants étaient plus dépendants que jamais de ce logiciel pour mener à bien leur tâche au quotidien.
Les chercheurs ont constaté une augmentation des campagnes de phishing capables de contourner la MFA, dont le principal but est de compromettre les e-mails professionnels. Trend Micro a également constaté une augmentation de la compromission d’emails ciblant les comptes Office 365 des cadres.
De nombreux utilisateurs ont déjà signalé que la sécurité de Microsoft Office 365 présente des failles, et ils sont loin d’être les seuls. En mars 2018, le géant historique de l’informatique a constaté 23 millions de tentatives de connexion à haut risque et qui sont essentiellement basées sur le phishing.
En avril de la même année, environ 350 000 comptes ont également été compromis via la technique de pulvérisation de mots de passe. Lors de telles attaques, au lieu d’utiliser la technique de piratage courante – qui consiste à essayer plusieurs mots de passe différents sur quelques comptes – les escrocs ont opté pour la méthode inverse, en utilisant seulement quelques mots de passe pour accéder à de nombreux noms de compte différents.
Quelques mesures à adopter pour sécuriser vos comptes Office 365
Microsoft s’efforce d’apporter des améliorations à la sécurité de son logiciel. Il dépasse même certains fournisseurs d’antivirus et d’antispam, mais les cybercriminels ont également évolué en conséquence.
Si vous êtes responsable de la sécurité du système d’information de votre entreprise, la première erreur que vous pourrez faire est de croire que Microsoft est le seul responsable de la sécurisation de votre réseau et de vos données stockées dans son cloud.
Dans ce qui suit, nous allons vous donner d’autres conseils qui vous aideront à mieux protéger votre système informatique.
Adapter les paramètres de sécurité de Microsoft 365 à votre entreprise
Par défaut, Microsoft proposait des solutions de sécurité axées vers la facilité d’utilisation et les performances. À cause de la pandémie du COVID-19, et suite aux fortes demandes de la part de ses utilisateurs, la marque a amélioré et optimisé davantage ses solutions de sécurité en développant Microsoft Teams et Microsoft Azure.
Comme susmentionné, il est important de configurer correctement votre environnement et de modifier les paramètres par défaut pour faire face aux attaques cybercriminelles qui menacent votre organisation. Vous devez également vous tenir informés des nouvelles options proposées par Microsoft qui changent généralement toutes les semaines.
Sachez par exemple que vous pouvez utiliser Microsoft Secure Score pour évaluer le niveau de sécurité de votre entreprise sur la base de plusieurs critères comme l’identité, les périphériques, les données et le comportement des utilisateurs finaux. Vous pouvez utiliser cet outil pour sensibiliser vos clients, mettre en place un plan de sécurité à long terme et gérer les risques cybercriminels.
Renforcer la sécurité du travail à distance
À cause de la crise du Covid-19, les entreprises ont été contraintes d’adopter rapidement le travail à distance auquel les employés ne sont pas habitués. Elles ont eu peu de temps pour résoudre une myriade de problèmes – pour ne citer que le besoin de former les télétravailleurs et d’adopter de nouvelles solutions de sécurité – afin de rendre le travail à distance productif et sûr.
De leur côté, les pirates cherchent constamment de nouvelles tactiques pour mener des attaques de phishing et de ransomware. Ils exploitent les craintes et les besoins d’informations concernant le Coronavirus, et leurs actes vont certainement perdurer, même après la disparition de la pandémie.
Là encore, l’utilisation du MFA est l’une des bonnes pratiques qui pourraient sécuriser le télétravail de vos collaborateurs, mais elle doit être associée à d’autres stratégies.
Sécuriser l’accès aux applications de travail
Pour ce faire, vous pouvez contrôler les employés qui ont accès aux applications Microsoft Office, tout comme l’endroit ou le moment où l’accès a eu lieu.
En utilisant Microsoft Azure Active Directory, vous pouvez protéger les utilisateurs finaux contre la perte ou le vol de mots de passe perdus grâce à l’AMF. Mais vous pouvez aussi autoriser les employés à accéder à certaines applications sans ouvrir un large accès à votre réseau. Utilisez donc cette solution pour vous protéger contre d’autres cybermenaces.
Activer l’accès au bureau à distance
Vos employés distants peuvent utiliser plusieurs plateformes et appareils différents pour mener à bien leur travail, comme Windows, Mac, Android, iOS ou HTML 5. S’ils peuvent utiliser Windows Virtual Desktop, ils pourront même accéder à leurs applications et à leurs fichiers de manière sécurisée, quelle que soit la plateforme utilisée. De plus, ils apprécieront l’environnement de travail familier que vous leur proposez.
Journaliser et surveiller l’environnement Microsoft
Microsoft 365 propose déjà des solutions de sécurisation de son infrastructure et de ses services cloud. Les clients, quant à eux, doivent être conscients de leurs responsabilités, notamment la sécurisation de leurs données.
Dans le contexte de la journalisation et de la surveillance de l’environnement Microsoft, les utilisateurs finaux doivent analyser les données des journaux en temps quasi réel. Ils doivent alerter le personnel compétent et répondre par des contre-mesures en cas d’évènement suspect (tentatives d’accès à plusieurs comptes Microsoft 365, déchiffrement d’un mot de passe, connexion provenant d’une adresse IP dangereuse, etc.).
Utiliser un filtre de contenus web
Les administrateurs réseau devraient également ajouter une autre couche de sécurité à leur ligne de défense en mettant en place un système de filtrage des URL et de sécurité DNS.
Sur ce point, sachez que Microsoft fournit une option de filtrage web appelée Microsoft Defender. Elle permet à vos administrateurs système de suivre et de contrôler l’accès aux sites web en fonction de leurs catégories de contenu. Le fait est qu’il existe d’autres menaces récentes qui ne sont pas détectées par cette solution, mais qui peuvent être bloquées par des solutions de cyberprotection tierces plus avancées et plus efficaces.
Les administrateurs peuvent configurer ces solutions tierces dans votre environnement Office 365 de façon à ce qu’un point d’extrémité puisse transmettre toutes les demandes web au service de filtrage.
Le service de filtrage de TitanHQ est un des nombreux outils efficaces que vous pouvez utiliser dans ce domaine pour empêcher les pirates d’infiltrer votre réseau.
Filtrer les e-mails entrants et sortants
Comme l’e-mail est le moyen le plus utilisé par les pirates informatiques pour mener leurs attaques, Microsoft 365 a été doté d’un service pouvant bloquer certaines pièces jointes dangereuses et les spams.
Selon une étude menée par Osterman Research, les mécanismes de détection basés sur les signatures de Microsoft peuvent bloquer jusqu’à 100 % des menaces de malwares connus. Cependant, il existe un domaine dans lequel ce logiciel suscite des critiques. En fait, le volume d’e-mails de phishing et de spams qui contournent son filtre antispam et qui arrivent dans les boîtes de réception des utilisateurs finaux n’est pas négligeable.
Pour protéger votre entreprise contre les attaques récentes, il vous faut donc des mécanismes antispam et antiphishing avancés tels que SpamTitan et WebTitan.
SpamTitan offre une protection complète contre les attaques de phishing, de spear phishing, etc., tandis que WebTitan empêche vos employés d’accéder aux sites à risque et de bloquer les malwares avant qu’ils n’infiltrent les dispositifs qu’ils utilisent.
Améliorez la sécurité d’Office 365 avec les solutions de TitanHQ
La protection contre les attaques cybercriminelles associées à Office 365 requièrent une solution de sécurité à plusieurs niveaux.
Outre l’AMF, votre entreprise doit mettre en place des solutions permettant d’inspecter les e-mails et d’autres contenus partagés en vue de détecter les malwares, les contenus de phishing, les tentatives d’atteinte à la sécurité et l’intégrité de vos données, etc.
Il importe également de doter votre organisation d’une solution qui sécurise les appareils et logiciels des utilisateurs distants pour détecter tous les vecteurs d’attaques potentielles à n’importe quel stade de leur cycle de vie.
TitanHQ fournit une solution de sécurité basée dans le cloud qui vous aide à bloquer les vecteurs d’attaques liés à Microsoft Office 365. Pour en savoir plus sur ses capacités et sur la façon dont SpamTitan et WebTitan peuvent aider à protéger votre réseau et vos employés, nous vous invitons à les essayer gratuitement. Vous allez découvrir comment nos solutions peuvent améliorer vos défenses contre les attaques lancées via le web et la messagerie électronique.