Nous travaillons avec des outils de partage et de collaboration en ligne (Office 365)

Depuis juin 2017, des courriels de phishing s’en prennent à Office 365. Il n’est guère surprenant qu’avec plus de 100 millions d’utilisateurs mensuels, les comptes Office 365 soient devenus une proie attrayante pour les pirates. MELANI a publié une lettre d'information à ce sujet. L’attaque commence par un banal courriel signalant par exemple que l’espace de stockage est saturé, et que cliquer sur le lien indiqué permettra de régler le problème. Il va sans dire que ce lien conduit à un site frauduleux pour que les escrocs puissent obtenir les données d’accès de l’utilisateur piégé.

Les escrocs en possession des données d’accès à Office 365 de l’utilisateur peuvent procéder de diverses manières. Le scénario le plus fréquent consiste à introduire dans le compte piraté une règle de redirection des messages. Le courrier électronique tant interne qu’externe sera ensuite redirigé vers un compte défini par les escrocs, qui en prennent connaissance. Les comptes d’entreprises sont particulièrement prisés ici. Les informations ainsi collectées serviront à lancer des attaques contre d’autres employés. Comme les pirates ont accès au carnet d’adresses de leurs victimes, ils peuvent choisir de façon ciblée leurs correspondants. Ils envoient des messages qu’ils ont interceptés et manipulés afin de prier par exemple le destinataire de télécharger un document. Ce dernier doit d’abord réintroduire le mot de passe d’Office 365 (sur un site manipulé). Les escrocs se rapprochent ainsi, dans l’entreprise infiltrée, des personnes intéressantes pour eux (CEO, chef des finances, etc.).

Une fois le contact établi avec la personne souhaitée, l’arnaque au président (CEO-Fraud) devient possible à l’aide des données volées. La communication dérobée peut également servir de moyen de chantage, ou les données subtilisées être revendues à d’autres escrocs. Cette méthode peut aussi être utilisée à des fins d’espionnage économique.

Recomandations:

  • Grâce aux données volées, l'attaquant pourrait avoir accès à différents documents de l'entreprise. Il n'est aujourd'hui plus suffisant de protéger ce type de données uniquement par un mot de passe. Veillez donc à utiliser une authentification multifacteur lorsque celle-ci est disponible. 
  • Il convient de sensibiliser les collaborateurs à la nécessité de respecter en tout temps les processus et mesures de précaution définis par l’entreprise. En particulier, les processus concernant les paiements doivent être clairement définis et suivis en toute situation (par exemple principe des quatre yeux, signature collective, processus définis selon le système de contrôle interne).
 

Dernière modification 20.12.2018

Début de la page

https://www.melani.admin.ch/content/melani/fr/home/meldeformular/unternehmen/Antworunternehmen/Office-365.html