Sécurité de la messagerie

Attaques en plusieurs phases : découvrez comment un simple email de phishing peut semer le chaos dans Microsoft 365

Adrien Gendre

14 mai 2020

20 min

Les attaques en plusieurs phases associent phishing, spear phishing et attaques provenant de l’intérieur. Difficiles à détecter et à prévenir, elles sont particulièrement populaires auprès des hackers s’intéressant à Microsoft 365. En effet, la plateforme connaît une popularité grandissante, et un compte compromis permet d’accéder à une vaste palette d’applications et de données.

Qu’est-ce qu’une attaque en plusieurs phases ?

Auparavant, les attaques de phishing se présentaient sous la forme d’un événement ponctuel : un hacker vous envoyait un email de phishing PayPal, parvenait à récupérer vos informations d’identification par le biais d’une page de phishing, puis vidait votre compte, avant de passer à la victime suivante. Dans le cas d’une attaque en plusieurs phases, cette manœuvre frauduleuse n’est que la première étape d’un processus plus long.

En effet, ce type d’attaque implique de récupérer vos identifiants via un email de phishing, puis d’utiliser ces identifiants pour envoyer des emails de phishing ou de spear phishing depuis votre compte. Par exemple, un hacker peut commencer par envoyer un email de phishing aux couleurs de Microsoft 365 pour compromettre votre compte sur cette plateforme.

Email de phishing OneDrive
Email de phishing OneDrive

Il se fait ensuite passer pour vous en utilisant votre compte pour envoyer un email de phishing ou de spear phishing à l’un de vos collègues. Bien souvent, les emails de spear phishing ciblent les utilisateurs en capacité de procéder à des virements, de réaliser des achats ou de modifier des informations bancaires. Un email de phishing peut quant à lui vous mener à une page de phishing conçue pour récupérer les identifiants d’autres comptes Microsoft 365 ou lancer le téléchargement d’un malware ou d’un ransomware.

Compte Microsoft 365 compromis avec URL de phishing
Compte Microsoft 365 compromis avec URL de phishing

Dans le scénario ci-dessus, le destinataire du message n’a aucune raison de suspecter la moindre intention frauduleuse. D’ailleurs, les filtres de sécurité de l'email classiques ne repéreront pas l’attaque, car l’email est envoyé depuis un compte Microsoft 365 légitime.

Une attaque en plusieurs phases peut prendre de nombreuses formes. En se servant d’un compte légitime, l’auteur de l’attaque peut par exemple lancer des attaques de phishing latérales au sein de l’entreprise et également cibler des partenaires commerciaux et des fournisseurs externes. Récemment, la SEC a révélé qu’une entreprise américaine, dont le nom n’a pas été dévoilé, s’était fait escroquer de 45 millions de dollars en 14 événements distincts liés à une attaque en plusieurs phases.

Le principal moteur des attaques en plusieurs phases

Avec 258 millions d’utilisateurs professionnels et un point d’entrée unique dans l’ensemble de la suite, Microsoft 365 est extrêmement propice aux comportements malveillants. Des référentiels de fichiers SharePoint, OneDrive et Teams aux comptes de messagerie, Microsoft 365 recèle les données sensibles de nombreuses entreprises du monde entier, notamment des noms de contact, des adresses email, des contrats et des informations financières.

Une seule attaque de phishing réussie contre un utilisateur de Microsoft 365 permet aux hackers d’accéder à l’ensemble de ces données. Il s’agit de leur principale motivation à compromettre des comptes Microsoft et de la seule raison pour laquelle la marque a été la plus usurpée lors d’attaques de phishing au cours de 6 des 8 derniers trimestres.

Comment les hackers s’infiltrent dans les systèmes et contournent la détection par Microsoft

La sécurité de l'email native de Microsoft 365, Exchange Online Protection (EOP), se montre efficace pour identifier les menaces connues, notamment en détectant les expéditeurs et adresses IP malveillants. Si un attaquant envoie des dizaines d’emails de phishing similaires à différentes cibles, EOP les repérera et bloquera ses futures attaques, qu’il ait utilisé ou non un compte Microsoft 365 compromis. Pour parvenir à compromettre un compte Microsoft 365, le hacker doit par conséquent lancer des attaques individuelles et uniques.

Il est par exemple possible de contourner l’analyse de l’empreinte utilisée par EOP et d’autres solutions classiques en insérant des caractères aléatoires ou invisibles dans les messages. Les hackers utilisent également des homoglyphes, par exemple en substituant la lettre grecque « bêta » à la minuscule « b » et ainsi de suite. D’autres techniques existent :

  • Créer du contenu aléatoire pour rendre chaque message unique
  • Utiliser des images qui contiennent du texte pour contourner les filtres d’analyse textuelle
  • Contourner le filtrage de domaine/URL au moyen de services de réduction d’URL comme bit.ly
  • Utiliser des sous-domaines
  • Détourner les mécanismes de redirection
  • Altérer des images

Atténuer le risque d’attaques en plusieurs phases

Les attaques en plusieurs phases requièrent une structure de protection à plusieurs niveaux, qui consiste à empiler des couches de sécurité. Tout comme vous pouvez utiliser plusieurs types de pare-feux pour augmenter vos chances de repousser une attaque réseau, il est logique de multiplier les mesures de sécurité dédiées à Microsoft 365 afin de bloquer les attaques en plusieurs phases.

La détection basée sur l’empreinte d’EOP est suffisante pour repérer les menaces connues, il est donc important de conserver cet avantage natif et de le compléter par une couche de sécurité de l'email supplémentaire, capable de prévoir et bloquer les menaces inconnues et dynamiques. Toute la difficulté de cette stratégie réside dans l’architecture de messagerie. Les passerelles de messagerie sécurisées, par exemple, sont installées en dehors d’EOP. Cette architecture entraîne un certain nombre de limitations :

  • Elle désactive EOP.
  • Elle impose de modifier l’enregistrement MX.
  • Elle est visible par les hackers par le biais d’une simple recherche de l’enregistrement MX.
  • Elle ne peut pas analyser les emails internes.

Pour continuer à bénéficier des avantages d’EOP, utilisez une solution de sécurité de l'email complémentaire intégrée à Microsoft 365 par le biais d’une API. Elle pourra ainsi réaliser des analyses depuis l’intérieur et compléter EOP plutôt que limiter son efficacité. La solution doit également aller plus loin que l’analyse de l’empreinte et utiliser une approche plus moderne de la détection des menaces, en combinant règles heuristiques et intelligence artificielle pour prédire et bloquer les attaques.

Par ailleurs, vous devez fournir une formation au phishing à vos utilisateurs à chaque erreur, par exemple lorsqu’ils cliquent sur une URL de phishing. Ils sont en effet plus susceptibles de comprendre une formation contextuelle basée sur un événement réel qu’une formation annuelle classique.  Enfin, faites confiance aux signalements de vos utilisateurs et exploitez-les. Mettez en place des boucles de rétroaction permettant aux utilisateurs de signaler les emails suspects et assurez-vous qu’il existe une boucle fermée avec le filtre de messagerie afin que le moteur apprenne de cette rétroaction et s’améliore en permanence.