Si le phishing et les attaques provenant de l’intérieur sont en hausse, une menace encore plus inquiétante est en train de gagner du terrain.  Il s’agit de l’attaque en plusieurs phases, qui associe le phishing aux techniques de spear phishing et d’attaques provenant de l’intérieur. Les attaques en plusieurs phases sont difficiles à détecter et à prévenir, en particulier au sein d’un environnement répandu comme Microsoft Office 365. Il n’est toutefois pas impossible d’atténuer le risque, car des solutions viables existent.

Qu’est-ce qu’une attaque en plusieurs phases ?

Les cyberattaques impliquent généralement un seul vecteur d’attaque. Imaginez la situation suivante : un hacker vous envoie un email de phishing PayPal et vous amène frauduleusement à divulguer vos identifiants de connexion sur une page de phishing qui ressemble à s’y méprendre au site Internet de PayPal. Après avoir récolté vos identifiants, le hacker vide votre compte PayPal et passe à la cible suivante. Dans le cas d’une attaque en plusieurs phases, cette manœuvre frauduleuse n’est que la première étape d’un processus plus long.

Lors d’une attaque en plusieurs phases, le hacker va exploiter vos identifiants dans le but de soutirer de l’argent ou des informations exclusives, à vous ou à votre entreprise. L’attaque comporte au moins deux phases. Par exemple, le hacker va d’abord envoyer un email de phishing Office 365 afin de récupérer vos identifiants. Ensuite, en utilisant votre compte Office 365, il va envoyer un email à une personne habilitée à effectuer des virements bancaires.

Le destinataire du message n’a aucune raison de suspecter la moindre intention frauduleuse. En effet, c’est « vous » qui avez envoyé l’email. En outre, les filtres de sécurité ne le bloqueront jamais. Pourquoi le feraient-ils ? Le message provient d’un utilisateur légitime dans le système Office 365.

Une attaque en plusieurs phases peut comporter de nombreuses variantes. En se servant d’un compte légitime, l’auteur de l’attaque peut prendre le contrôle de multiples comptes au sein de l’entreprise et également cibler des partenaires commerciaux et des fournisseurs externes. Récemment, la SEC a révélé qu’une entreprise américaine, dont le nom n’a pas été dévoilé, s’était fait escroquer de 45 millions de dollars en 14 événements distincts liés à une attaque en plusieurs phases.

Le principal vecteur des attaques en plusieurs phases

C’est surtout l’adoption rapide d’Office 365 qui a entraîné la hausse des attaques en plusieurs phases. Avec 155 millions d’utilisateurs professionnels et un point d’entrée unique dans l’ensemble de la suite Office 365, cet environnement est extrêmement propice aux comportements malveillants. À titre de comparaison, avant l’arrivée de ce service, les entreprises possédaient leurs propres serveurs email, qui devaient dès lors être piratés séparément. Désormais, Office 365 constitue une seule et unique cible : un hacker qui parvient à s’y introduire a potentiellement accès à 155 millions de comptes !

Les fonctions de stockage de données et de fichiers d’Office 365 accroissent encore la surface d’attaque. Office 365 est bien plus qu’un simple service de messagerie. C’est une suite complète de productivité, comprenant des référentiels de données SharePoint et des référentiels de documents OneDrive. Une fois à l’intérieur du système, l’auteur de l’attaque peut dès lors accéder à de vastes banques de données. Microsoft est en effet la marque la plus usurpée sur les sites de phishing pour le troisième trimestre consécutif.

Pourquoi est-ce important ? Pensez au type d’informations sur l’entreprise qu’un hacker pourrait consulter s’il accédait à OneDrive. Il pourrait s’agir de contrats conclus avec des fournisseurs, de renseignements relatifs à des comptes bancaires, etc. – ce qui rend la fraude bien plus facile à commettre – tant en interne qu’avec des partenaires externes.

Comment les hackers entrent sans être détectés

Le chemin que le hacker emprunte pour atteindre ses cibles dans Office 365 est étonnamment direct. La stratégie adoptée est relativement simple. D’abord, le hacker envoie à la victime un avis de suspension ou de désactivation de compte factice, mais d’apparence réaliste. En reliant le message à un écran de connexion Microsoft falsifié, le hacker peut recueillir les identifiants Office 365 de l’utilisateur afin de les utiliser ensuite à mauvais escient.

L’aspect le plus compliqué de l’attaque réside dans le contournement du système de sécurité sophistiqué et sur plusieurs niveaux de Microsoft. Office 365 utilise une protection basée sur l’empreinte et sur la réputation. Cela s’avère suffisant pour identifier les menaces connues et les adresses IP et les expéditeurs malveillants. Si le hacker envoie des dizaines de messages identiques à ses cibles, Office 365 les signalera immédiatement et repoussera l’attaque. Pour réussir, le hacker doit par conséquent lancer des attaques individuelles et uniques.

Une façon de passer outre l’écran de vérification de l’empreinte est d’insérer du texte aléatoire ou invisible dans les messages. Les hackers utilisent également des homoglyphes, par exemple en substituant la lettre grecque « bêta » à la minuscule « b » et ainsi de suite. D’autres techniques existent :

  • Rendre aléatoire le contenu afin d’obscurcir la provenance du message
  • Utiliser des images qui contiennent du texte pour contourner les filtres d’analyse textuelle
  • Contourner le filtrage de domaine/URL au moyen de services de réduction d’URL comme bit.ly
  • Utiliser des sous-domaines
  • Détourner les mécanismes de redirection

Comment les hackers combinent phishing et spear phishing pour cibler les utilisateurs d’Office 365 Démarrer le webinaire >>>

Atténuer le risque d’attaques en plusieurs phases

Les attaques en plusieurs phases requièrent une structure de protection à plusieurs niveaux, qui consiste à empiler des couches de sécurité. Tout comme vous pouvez utiliser plusieurs types de pare-feux pour augmenter vos chances de repousser une attaque réseau, il est logique de disposer de quelques mesures de sécurité de la messagerie différentes afin de bloquer les attaques en plusieurs phases.

Les fonctionnalités d’Exchange Online Protection (EOP) intégrées à Microsoft permettent de filtrer le spam et de détecter les menaces connues, mais s’avèrent moins efficaces lorsqu’il s’agit d’identifier des hackers ayant camouflé leur identité. Par conséquent, il est important de superposer des couches de protection à EOP qui soient davantage axées sur la prédiction de menaces inconnues et dynamiques par le biais de l’analyse comportementale et le recours à des modèles d’apprentissage automatique.

L’architecture de votre système de messagerie peut néanmoins compliquer cette superposition. Par exemple, les passerelles de messagerie sécurisée (SEG) qui nécessitent de modifier l’enregistrement MX rendent inutiles les protections d’EOP basées sur la réputation. En outre, étant donné qu’elles sont placées dans le flux d’emails, les SEG ne peuvent pas analyser les emails internes et n’assurent donc aucune protection contre les menaces par email interne.

Le périmètre de sécurité disparaît dans le cadre d’attaques en plusieurs phases. Tout système de protection efficace devrait supposer que le hacker est déjà entré dans votre domaine Office 365. Regarder vers l’extérieur ne vous sera d’aucune aide.

Enfin, faites confiance à ce que les utilisateurs vous disent. Ce sont eux qui reçoivent les emails frauduleux, directement et en temps réel. Veillez à les former dès qu’ils commettent des erreurs, par exemple s’ils ont cliqué sur une URL de phishing. Cette approche se révélera bien plus efficace qu’une formation annuelle.  Proposez également des boucles de rétroaction qui permettent aux utilisateurs de signaler les emails suspects.  Au-delà de la remédiation manuelle, assurez-vous qu’il existe une boucle fermée avec le filtre de messagerie afin que le moteur apprenne de cette rétroaction et s’améliore en permanence.

20 Minutes Comprendre le Spear Phishing Démarrer le webinaire >>>

Conclusion

Personne ne peut nier que les attaques en plusieurs phases représentent une menace virulente et en expansion constante, en particulier pour les utilisateurs d’Office 365. Néanmoins, en mettant au point des solutions qui tiennent compte de la nature variée et sophistiquée de ces attaques, ainsi que des progrès technologiques ayant favorisé ce climat dangereux, il est possible de contrer la menace.