Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le fléau des attaques par compromission d’email et comment les prévenir

octobre 2021 par Unit 42

Les chercheurs de l’Unit 42, le groupe d’experts en sécurité, de Palo Alto Networks ont publié les résultats de leur récente enquête sur les attaques par compromission de mails professionnels (ou BEC pour Business Email Compromise), qui met l’accent sur ce déluge de délits informatiques impliquant de l’hameçonnage et de la fraude aux virements.

Le FBI a récemment annoncé que les attaques BEC ont généré 1,87 milliard de dollars de pertes l’an dernier, ce qui en fait l’un des crimes informatiques les plus coûteux.

Les enquêteurs ont parcouru l’ensemble des cas recensés par l’Unit 42. Ils ont ainsi découvert que le montant moyen d’une tentative de fraude au virement était de 567 000 dollars et que la plus chère était de 6 millions de dollars. En général, les victimes n’avouent pas publiquement être touchées pour éviter les atteintes à leur réputation, ce qui signifie que les attaques par compromission de mails n’attirent pas autant l’attention que d’autres menaces informatiques comme les ransomwares ou les attaques visant la chaîne logistique.

Parmi la centaine de cas sur lesquels l’Unit 42 a travaillé depuis le début de l’année dernière, les chercheurs ont découvert que 89 % des victimes n’avaient pas activé l’authentification à facteurs multiples (ou MFA) ou n’avaient pas suivi les bonnes méthodes pour l’installer et l’utiliser.

Le cauchemar des attaques par compromission d’email (et comment les bloquer)

C’était un jour comme les autres pour ce client, cadre dans une entreprise américaine du secteur financier qui s’appuie sur une application mobile d’authentification à facteurs multiples (ou MFA) bien connue pour protéger l’accès aux mails, aux fichiers clients et aux autres données sensibles. Son iPhone ne cessait de lui envoyer des demandes d’authentification pour accéder à son courrier électronique, l’interrompant dans une journée remplie de rendez-vous clients. Énervé par cette intrusion et la mettant sur le compte d’une erreur système, il rejeta toutes les demandes pour se consacrer à son travail.

Il pensait que ce serait terminé quand les requêtes cessèrent. Toutefois, des mois plus tard, il apprit qu’il avait par erreur autorisé l’une de ces multiples requêtes, donnant sans le savoir accès à ses mails à un attaquant. Il découvrit la compromission quand sa banque émit des doutes sur des transferts de fonds pour un montant total approchant du million de dollars. Notre enquête montra que des données de sa société, de ses employés et de ses clients avaient été compromises. Heureusement, la société put récupérer les sommes volées, mais des attaques de cette nature sont toujours très couteuses en termes de réputation, mais également de temps et de ressources dépensés pour en réparer les dégâts.

Ce type d’attaque est connu comme étant une attaque par compromission d’email professionnels ou BEC (pour Business Email Compromise). Chaque année, les experts en sécurité de l’Unit 42 passent des milliers d’heures à enquêter sur des BEC, fouillant à travers les logs à la recherche d’activités non autorisées, et déterminant comme ces accès non autorisés ont pu avoir lieu pour trouver les failles de sécurité et les combler.

BEC : « Ça n’arrive qu’aux autres »

De nombreuses entreprises pensent qu’elles ont déjà pris toutes les précautions pour se protéger des attaques par compromission d’email. Néanmoins, ces précautions peuvent ne pas être correctement déployées. Parmi la centaine d’attaques BEC sur lesquelles l’Unit 42 a travaillé depuis le début de l’année dernière, nos consultants ont déterminé que 89 % des victimes n’avaient pas activé la MFA ou ne l’avaient pas installé correctement. Cela peut sembler surprenant, car les principaux prestataires de messagerie — y compris Office 365 et Exchange de Microsoft ou Google Workspace - proposent plusieurs options d’implémentation. Cela montre à quel point il est important pour les entreprises de comprendre et de suivre les méthodes recommandées pour n’importe quel outil de sécurité. Les conséquences sont coûteuses. Dans les enquêtes menées par l’Unit 42 depuis le 1er janvier 2020, la tentative de détournement de fonds moyenne était de 567 000 dollars et la plus élevée de 6 millions de dollars. Le FBI estime que les BEC ont entraîné 1,87 milliard de dollars de perte l’an dernier, en faisant l’un des crimes informatiques les plus coûteux. La bonne nouvelle est qu’identifier les défauts dans l’authentification à facteurs multiples est assez simple. Les enquêteurs peuvent remonter aux problèmes dans les systèmes de contrôle mis en place et proposer des recommandations pour les pallier.

Les attaques par email rencontrées dans le monde réel par l’Unit 42 Avant de plonger dans les bonnes pratiques pour mettre en place une authentification à facteurs multiples et d’autres conseils pour éviter la compromission d’email, il est important de comprendre pourquoi celles-ci sont utiles. Voici quelques autres exemples tirés des enquêtes de l’Unit 42 qui montrent les erreurs les plus communes permettant aux attaquants d’accéder à l’environnement de messagerie, même quand la MFA est en place. La présentation de ces scénarios peut aider les entreprises à identifier les failles possibles dans leur sécurité, les exemples qui suivent étant anonymisés pour protéger l’identité des victimes.

Une authentification à facteur multiple non activée

Les criminels ont ciblé des centaines d’employés d’une compagnie d’assurance avec des mails de phishing. Ceux-ci menaient à une tentative pour récolter des identifiants de comptes à travers une fausse page de connexion à la messagerie de Microsoft 365 semblable à l’originale mise en place par la société. Les attaquants ont réussi à récupérer l’accès à certains de ces comptes, appartenant à des employés qui n’avaient pas activé la MFA, ce qui leur a permis d’accéder à des données sensibles sur un site Sharepoint interne.

Autoriser des protocoles datés pour accéder à la messagerie

Les criminels ont accédé aux messageries de deux employés d’une entreprise qui avait oublié de désactiver les anciennes authentifications pour synchroniser les messageries via IMAP4 et POP3. Cela a permis aux criminels d’accéder à tout le contenu des boîtes durant plus d’un mois, et de récolter ainsi des informations d’identification personnelles des contacts des victimes. Il s’agit d’une des façons les plus communes de contourner les MFA, tout particulièrement dans des environnements hybrides ayant une raison légitime d’utiliser ces protocoles datés. (voir ci-dessous comment gérer ces cas.)

Permettre le transfert automatique d’email hors de l’entreprise

Les criminels ont compromis les comptes de plusieurs utilisateurs d’une agence d’intérim, puis ils ont utilisé ces comptes pour faire circuler des offres d’emploi demandant aux destinataires de fournir des informations personnelles. Ils ont établi des règles pour déplacer toutes les réponses dans des fichiers cachés et les faire suivre vers un compte externe.

Les bonnes pratiques pour éviter les attaques par compromission de mail

Même s’il n’existe pas de recette miracle pour arrêter les compromissions de messagerie, l’Unit 42 recommande aux entreprises de suivre ces conseils ci-dessous. L’utilisation de l’authentification à facteurs multiples est indispensable, mais ce n’est que l’un des composants d’une stratégie globale pour réduire les risques de compromissions et les impacts des attaques réussies.

– L’éducation. Les utilisateurs finaux sont souvent le maillon faible des incidents de sécurité, car ils sont la cible de toutes sortes d’arnaques par phishing. La sensibilisation à la sécurité informatique les rend bien plus capables de repérer ces tentatives et de remonter toutes les activités suspectes aux équipes de sécurité pour qu’elles les examinent.

— Imposer la MFA. Simplement activer une authentification à facteurs multiples permet aux utilisateurs de choisir s’ils veulent l’utiliser ou non, ce qui donne aux entreprises une fausse impression de sécurité. Il est vital de non seulement activer, mais également imposer la MFA en exigeant que les utilisateurs l’ajoutent à leurs comptes et la vérifient à chacune de leurs connexions.

— Utiliser une MFA forte. Utilisez une application de mot de passe à usage unique (OTP pour One-Time Password) pour cette authentification plutôt qu’un envoi par SMS. Exiger que les utilisateurs tapent manuellement un code généré par ce type d’application (comme Google Authenticator) réduit les possibilités pour que l’un d’entre eux accepte par erreur une demande d’authentification non autorisée en cas d’attaque par force brute ou à partir d’identifiants volés.

— Contrôler les méthodes d’authentification datées. L’Unit 42 recommande de bloquer par défaut les méthodes d’authentification et d’utiliser des outils comme l’accès conditionnel d’Azure Active Directory pour permettre des exceptions bien spécifiques, concernant par exemples des appareils plus anciens ou des relais SMTP en interne.

- Vérifier les protections du réseau. Vérifier régulièrement les possibilités pour les utilisateurs finaux d’exécuter ou de télécharger du code et des applications, comme des documents Office avec macro, des logiciels non autorisés, des appareils USB, etc. Comme l’avait déjà recommandé l’Unit 42, les règles de filtrage des URL devraient être établies de façon à restreindre l’accès par défaut aux catégories suivantes de domaines : Nouvellement créés, N’ayant pas assez de contenu, avec des DNS dynamique, Inactive et Malveillante.

- Vérifier régulièrement les délégations et les permissions de compte. Vérifier régulièrement les permissions et les comptes utilisateurs, y compris les délégations accordées, les boîtes de messageries partagées et les droits administratifs. Chaque compte devrait avoir un nom unique et être lié à un individu, et les identifiants pour les comptes de services et les messageries partagées devraient être enregistrés dans un gestionnaire de mot de passe et protégé par MFA quand cela est possible.

- Bloquer les règles de transfert du côté client. Les règles de transfert côté entreprise peuvent servir d’indicateurs d’une compromission qui permet aux attaquants de se faire suivre tous les messages arrivant sur la boîte piratée vers une adresse externe. Ils peuvent également être utilisés par les utilisateurs finaux pour faire suivre des mails professionnels vers un compte personnel de messagerie. Dans les deux cas, cela crée un risque de confidentialité et il est fortement recommandé fortement de désactiver ces règles de transfert sur les postes clients. Les utilisateurs qui en ont besoin dans un cadre professionnel devraient avoir l’accord de leur supérieur et être régulièrement évalués par l’équipe IT.

- Auditer les logs. Il est important de s’assurer que le log des différents événements administratifs est activé. Suivant la plate-forme de messagerie ou le type de licence souscrit, l’audit et la conservation des logs ne sont peut-être pas activés par défaut. L’Unit 42 recommande l’agrégation des logs des serveurs de messagerie dans un même endroit comme un outil XDR (Extended detection and response) ou SIEM (security information and event management) pour les conserver et avoir une vue plus complète sur les incidents de sécurité dans les serveurs de messageries. Des données complémentaires et une contextualisation aident les entreprises à mieux comprendre à quoi ressemble une activité normale pour un compte et à déterminer quelle donnée a été compromise en cas d’incident.




Voir les articles précédents

    

Voir les articles suivants