Des pirates s’emparent du compte Office 365 via des liens légitimes
Une technique relativement nouvelle permet à des personnes mal intentionnées d’avoir très rapidement un accès complet au compte Office 365 et à l’ensemble de la boîte mail de l’utilisateur. Cette technique commence à s’imposer en Belgique également.
La technique du hameçonnage (‘phishing’) ne paraît pas suspecte au départ. On reçoit un mail d’une personne de contact (dont la boîte mail a été piratée), contenant un lien vers un fichier dans OneDrive. Le lien mène en fait vers un environnement OneDrive et pour ouvrir le fichier, une appli dans le nuage est utilisée, qui contrôle d’abord si c’est la personne adéquate qui tente d’ouvrir le document.
Mais en lieu et place d’un simple contrôle d’identité, par lequel on saisit un mot de passe, éventuellement avec une vérification à deux facteurs, l’on vous demande ici l’accès à votre compte complet. Dès que l’utilisateur marque son accord, l’appli dispose d’un accès complet, et un mail similaire est alors envoyé à ses contacts. Dans certains cas, l’utilisateur en question est même exclu de son environnement Office 365 en ce compris la boîte mail.
“C’est rapide. Souvent, les hackers utilisent un script dans Office 365, et des mails sont directement envoyés à votre liste de contacts”, explique Gilles Callens, team lead des Managed Services chez le spécialiste IT ConXioN. Son entreprise observe aujourd’hui aussi cette pratique dans des organisations belges.
“L’appli en question demande l’autorisation d’accès à tout le compte. C’est à ce moment-là qu’une alarme doit retentir dans l’esprit de l’utilisateur”, ajoute Kevin Couvreur, Experience Center Director chez ConXioN. “Mais souvent, les gens régissent par automatisme. Nous sommes familiers avec les applis et acordons l’accès pour pouvoir les installer. Mais si une appli demande des choses, comme l’autorisation de lire des mails, cela doit éveiller des soupçons.”
Même si le problème se manifeste dans Office 365, ConXioN apporte la nuance, selon laquelle cela pourrait aussi se présenter dans d’autres environnements ‘cloud’. “Une infection peut tout aussi bien se propager via Dropbox ou Wetransfer. Bien que ce soient là des plates-formes parfaitement légitimes, elles peuvent toujours être abusées, et l’utilisateur doit donc être vigilant, même avec des plates-formes bien connues”, précise Couvreur.
ConXion ne cite pas les noms des entreprises touchées. Mais Data News a lui-même récemment été aux prises avec ce genre de tentative d’hameçonnage provenant d’un directeur de l’institution publique wallonne Agence Du Numérique. Le mail n’émanait pas d’une adresse contrefaite, et le lien vers un document PDF menait vers un environnement Microsoft normal. Par la suite, l’organisme confirma cependant qu’il s’agissait dun ‘phishing’, sans vouloir donner des détails sur l’incident.
Que faire en cas d’infection?
“Vous avez des doutes? Prenez alors contact avec l’expéditeur, surtout si ce n’est pas son habitude d’envoyer des fichiers via le nuage”, affirme Couvreur. “Cela fait dix ans déjà qu’on enregistre les mêmes tendances: ‘phishing’, ‘spear phishing’ et ‘ransomware’, mais la façon d’exécuter l’attaque devient plus ingénieuse”, surenchérit Callens.
Quiconque tombe malgré tout dans le piège, doit surtout rapidement prévenir les personnes concernées. “Il s’agit de votre département IT et tout un chacun figurant dans votre carnet d’adresses. La première étape est de stopper la propagation le plus rapidement possible”, déclare Callens.
Couvreur: “Si des hackers ont accès à votre profil, ils veilleront en premier lieu à ce que vous ne puissiez vous-même plus y accéder. Le département IT est alors votre seul remède. En fonction de la manière dont l’infection s’est manifestée, il pourra bloquer votre compte ou le paralyser entièrement. Ou supprimer le jeton d’accès de l’appli mal intentionnée.”
Ce qui importe ici, c’est que la victime communique sans la moindre honte à propos de l’incident. Callens: “Prenez contact avec vos contacts et prévenez-les que des choses sont envoyées à partir de votre compte. Même si vous doutez, tournez-vous vers le personnel de sécurité, qui pourra vous conseiller de manière rationnelle, afin d’éviter le pire.”
Dans les entreprises, la clé réside surtout dans la prévention. Une approche qui n’est pas seulement constituée des outils de sécurité nécessaires, mais aussi d’une dose de sensibilisation et d’une stratégie ad hoc en cas de problème.
Cela signifie également qu’il faut déterminer de quelle liberté les utilisateurs bénéficient. “Vous pouvez spécifier que les nouvelles applications (dans le nuage) doivent être approuvées par votre département IT, mais cela a aussi des effets sur l’expérience d’utilisation. Il est souvent question d’un compromis entre une expérience fluide et la sécurité que vous pouvez offrir en la circonstance”, conclut Couvreur.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici