Les outils de partage et de collaboration en ligne des entreprises ciblés par des attaques de phishing

02.10.2018 - A l'heure actuelle, de nombreuses entreprises permettent à leurs employés de partager des documents en ligne, et même d'y accéder à des suites bureautiques entières. Un simple mot de passe donnera parfois accès à un compte e-mail, mais également à de nombreux autres documents. Il n'est pas étonnant dès lors de constater que ces accès sont des cibles privilégiées pour des attaques de phishing. La compromission d'un compte est par ailleurs bien souvent utilisée comme vecteur d'attaque vers d'autres collaborateurs.

Au cours des derniers mois, MELANI a eu connaissance de nombreuses attaques de phishing ciblant ce type de produits et cherchant à obtenir des données d'identification. Des sites web imitent par exemple les pages d'accès à Microsoft Office 365 ou OneDrive. La qualité et la nature des e-mails est variable. Dans certains cas, le destinataire de l'e-mail est prié de s'identifier pour résoudre un problème sur son compte ou encore pour pouvoir consulter un document partagé. Dans tous les cas, il est redirigé vers une page imitant celle de son prestataire de service, sur laquelle on lui demande de fournir son nom d'utilisateur et mot de passe.

Image 1: exemple d'une page de phishing ciblant OneDrive
Image 1: exemple d'une page de phishing ciblant OneDrive

En ayant accès au compte, le criminel pourra par exemple:

  • Placer une règle de redirection des e-mails de sa victime, ce qui lui permettra discrètement de prendre connaissance de toute sa correspondance. La redirection se fait souvent sous forme d'une copie, afin de ne pas attirer l'attention du titulaire légitime du compte.
  • Si le compte e-mail de la plateforme est défini comme compte de récupération pour d'autres services, l'attaquant pourra chercher à réinitialiser les mots de passe de ces derniers, afin de gagner des accès supplémentaires.
  • En fonction des autorisations de l'utilisateur du compte, l'attaquant aura accès à différents documents. Il pourra par ailleurs demander aux collègues de la victime de lui donner accès à d'autres données. Ceux-ci, pensant que la demande émane de leur collègue, risquent d'accepter la requête.

Pour un criminel, cet accès sera souvent une véritable mine d'or, lui permettant de récolter les informations nécessaires à une tentative d'escroquerie ciblée: relations commerciales, affaires en cours, structure et organigramme de l'entreprise. On ne peut pas non plus exclure que ces différentes informations soient utilisées ou revendues à des fins d'espionnage économique.

Une fois un compte compromis, c'est tous les contacts de la victime qui pourront être ciblés. Ces derniers risquent bien souvent de se laisser abuser, en recevant un e-mail de phishing ou contenant un maliciel et provenant directement du compte d'un collègue ou partenaire.  Par ce moyen, l'attaquant pourra gagner des accès supplémentaires au réseau de l'entreprise.

Recommandations

Au niveau technique:

  • Privilégiez l’authentification à deux facteurs partout où celle-ci est disponible.
  • Il est recommandé de choisir un service permettant à l'utilisateur d'obtenir un journal ("log") adéquat de l'activité du compte.
  • Il est recommandé aux entreprises de chercher à identifier les actions anormales sur les comptes de leurs employés: accès depuis des lieux ou moments inhabituels, ajout de règles de redirection, etc.
  • Les e-mails devraient (au moins à l'interne) toujours être signés digitalement. Les e-mails sans signature doivent être traités avec précaution.
  • Pour l'envoi d'e-mails légitimes mais présentant un fort risque de détournement à des fins de phishing (par exemple l'envoi d'une facture électronique), il convient de veiller à ce que les liens ne soient pas dissimulés derrière du texte en format HTML, et que les e-mails et/ou documents soient signés digitalement.
  • Afin de diminuer le risque de voir son propre domaine abusé pour du phishing, il est recommandé de mettre en place les protocoles SPF, DKIM et DMARC. Ceci est également possible chez certains des principaux outils de collaboration comme Office 365.

Au niveau organisationnel:

  • Pour lutter contre le phishing, la prévention du personnel reste la clef: il est nécessaire d'apprendre aux employés à reconnaître les e-mails suspects et de savoir réagir en conséquence: ne pas suivre de lien ou ouvrir de pièce jointe,
    mais immédiatement informer son supérieur hiérarchique ou responsable IT.
  • Il convient de sensibiliser les collaborateurs à la nécessité de respecter en tout temps les processus et mesures de précaution définis par l’entreprise. En particulier, les processus concernant les paiements doivent être clairement définis et suivis en toute situation (par exemple principe des quatre yeux, signature collective, processus définis selon le système de contrôle interne).
  • Annoncez les tentatives de phishing sur www.antiphishing.ch. Les annonces sur antiphishing.ch permettent à MELANI de rapidement prendre des mesures en vue de protéger les autres utilisateurs.

Contact spécialisé
Dernière modification 02.10.2018

Début de la page

https://www.melani.admin.ch/content/melani/fr/home/documentation/lettre-d-information/phishing_online_datenaustausch_kollaborationsplattformen.html