De nombreuses organisations migrent leur messagerie et leurs serveurs de fichiers vers Microsoft 365.

Microsoft 365 offre aux entreprises de la flexibilité ainsi qu'un ensemble d'outils permettant à leurs employés, de plus en plus mobiles, de travailler depuis n'importe où, avec n'importe quel ordinateur ou application, et de partager des informations avec n'importe qui.

Toutefois, l’utilisation de Microsoft 365, sans configuration préalable des mécanismes de sécurité déjà offerts dans la solution, peut représenter un énorme risque pour les organisations.

En effet, la mine d'informations auxquelles Microsoft 365 permet d’accéder, ainsi que la disponibilité de Microsoft 365 directement sur internet, à l’extérieur des firewalls de l’entreprise, en fait une cible privilégiée pour les pirates qui essaieront d’en prendre le contrôle.

Différents vecteurs d’attaques utilisés par les pirates pour prendre le contrôle de Microsoft 365 vous seront exposés dans ce blog. Les mécanismes de défense de Microsoft 365 que vous devez configurer pour vous protéger y seront également exposés.

Dans cet article, nous abordons le vecteur d'attaque le plus couramment utilisé et le plus efficace pour accéder à Microsoft 365 : le phishing d'identifiants de connexion.

A quoi ressemble un phishing d’identifiants de connexion Microsoft 365 ?

Les pirates émettent des e-mails, avec vos propres adresses e-mail, prétextant une alerte de sécurité concernant votre compte Microsoft 365 ou bien vous informant que des e-mails sont retenus et que vous devez vous identifier pour les lire :

Lorsque vous cliquez sur le lien contenu dans ces e-mails vous êtes redirigé vers une page de connexion similaire à celle de Microsoft 365, mais qui n’est pas hébergé sur une adresse « Microsoft »

Lorsque vous saisissez vos identifiants dans le formulaire affiché, vous êtes immédiatement redirigé vers vos e-mails :

A ce stade, des pirates disposent de vos identifiants de connexions et peuvent s’en servir pour se connecter à Microsoft 365.

Que font les pirates après avoir volé vos identifiants de connexions ?

Une fois vos identifiants volés, les pirates s’en servent pour se connecter à votre compte Microsoft 365 directement depuis internet.

Une fois la connexion établie, ils disposent de vos droits dans Microsoft 365 et peuvent donc accéder à vos e-mails, vos documents, vos communications ainsi qu’à tous les contacts de votre entreprise.

Nous répertorions ci-dessous une suite d’actions communément réalisées par les pirates une fois connectés à un compte Microsoft 365 (source : notre expérience lors d’une réponse à incident ayant coûté plusieurs milliers d’euros à une organisation) :

1. Connexion à votre compte Microsoft 365 depuis internet;
2. Recherche d’e-mails et de documents sensibles : informations confidentielles, mots de passe, e-mails relatifs à des comptes d’applications cloud (RH, CRM, réseaux sociaux, etc.);
3. Configuration de règles de messagerie afin de transférer les e-mails qu’ils ne souhaitent pas que vous receviez car ils pourraient vous alerter qu’un « hack » de votre compte est cours : e-mail de modification de mot de passe, e-mails de plainte de vos collègues, etc;
4. Réinitialisation de vos mots de passe d’applications cloud RH, CRM, réseaux sociaux, etc. (grâce aux fonctionnalités de type « j’ai oublié mon mot de passe »);
5. Envoi d’e-mails de phishing à tous les collaborateurs de l’entreprise;
6. Création de mécanismes de persistance sur votre compte Microsoft 365 : redirection d’e-mails, partage de vos dossiers via des liens anonymes, création de mots de passe « d’application » (permet de garder le contrôle d’un compte même lorsque le mot de passe de l’utilisateur est modifié.).

À ce stade, le vol de vos identifiants a permis aux pirates de réaliser un grand nombre d’opérations, souvent de manière automatique grâce à des scripts, et il sera difficile pour des personnes non expérimentées à la « réponse à incident » de les chasser de la plateforme Microsoft 365 de votre organisation.

Quels mécanismes de sécurité pouvez-vous configurer pour vous prémunir de ces risques ?

Nous listons ci-dessous les mécanismes de protection disponibles dans Microsoft 365 que vous pouvez configurer pour vous prémunir de ces attaques par e-mail :

L’ensemble des mesures de sécurité présentées ci-dessus, et bien d’autres encore, sont mises en place dans le cadre de notre service de « surveillance et de protection de Microsoft 365» : https://www.oppidumsecurity.com/cloud-microsoft

Nous espérons que cet article vous a permis de prendre connaissance des risques liés à l’utilisation de Microsoft 365 et vous suggérons de sécuriser votre plateforme Microsoft 365 avant même d’y donner accès à vos utilisateurs.