Semaine 11 : Réaction en chaîne dans le cas du phishing Microsoft 365

Service navigation

Recherche

Navigation

Semaine 11 : Réaction en chaîne dans le cas du phishing Microsoft 365

18.03.2025 - La semaine dernière, l’OFCS a remarqué plusieurs tentatives de phishing sur des comptes Microsoft 365 d’entreprises. Ces attaques visent à rechercher des données sensibles sur les comptes piratés, qui peuvent être utilisées pour d’autres attaques. La particularité de ces attaques réside dans leur mode de propagation. Un e-mail de phishing est envoyé à tous les contacts du compte piraté. Ce phénomène est appelé « chain phishing » du nom de la méthode de propagation qui ressemble à une réaction en chaîne. Les comptes Microsoft 365, qui sont l’une des plateformes de communication et de collaboration les plus utilisées au bureau, sont une cible de choix pour les cybercriminels.

Le phishing est une tentative des criminels d’accéder aux mots de passe et autres données personnelles par le biais de faux e-mails, SMS ou messages. Les attaquants utilisent des messages qui semblent authentiques pour inciter leurs victimes à divulguer des données personnelles. La méthode de diffusion dite du « chain phishing » est particulièrement dangereuse. Cette méthode consiste à envoyer de faux e-mails depuis des comptes déjà compromis à toute la liste de contacts de la victime. Cette approche utilise l’effet boule de neige et rappelle une réaction en chaîne (en anglais « chain »). Comme les destinataires connaissent l’expéditeur présumé, la probabilité qu’ils soient victimes de phishing est nettement plus élevée. En raison de l’expéditeur connu, les destinataires sont plus enclins à réagir aux messages falsifiés et à révéler plus facilement leurs données d’accès. L’utilisation d’un expéditeur connu diminue le scepticisme des destinataires. Une seule attaque de phishing réussie peut donc avoir des conséquences considérables et conduire à la compromission de nombreux autres comptes.

Microsoft 365 dans le viseur

Les attaques par phishing en chaîne visent souvent les utilisateurs de la plateforme Microsoft 365. La popularité d’Microsoft 365 en fait une cible de choix pour les pirates qui cherchent à accéder à un large éventail de données et de fonctions sensibles. Les pirates utilisent de fausses pages de connexion Microsoft 365 pour voler des données d’accès. Une tactique courante consiste à envoyer des e-mails demandant aux utilisatrices et utilisateurs de mettre à jour les informations de leur compte ou de vérifier leur mot de passe sur une page Microsoft falsifiée, mais ressemblant à s’y méprendre à l’originale, sous prétexte d’ouvrir un document. Le design familier de la plateforme augmente la probabilité que les utilisatrices et utilisateurs saisissent leurs identifiants sans se méfier.

Voici comment se déroule une attaque typique de phishing en chaîne : un collaborateur d’une entreprise reçoit un e-mail de phishing provenant d’un collègue ou d’un partenaire commercial. L’e-mail contient un lien vers un document qui se trouverait soi-disant sur une page Microsoft OneDrive ou SharePoint et qui nécessite une connexion à Microsoft 365 pour être consulté. L’employé saisit ses identifiants et les envoie ainsi à son insu aux pirates. Ces derniers accèdent alors au compte de l’employé et l’utilisent pour envoyer à leur tour des e-mails de phishing à tous ses contacts, en particulier à ses collègues, à ses clientes et clients ou à ses partenaires commerciaux. Comme ces nouveaux e-mails semblent provenir d’une source fiable, il y a de fortes chances que les destinataires cliquent également sur les liens. L’attaque se reproduit.

E-mail contenant un lien vers un soi-disant document.
E-mail contenant un lien vers un soi-disant document.
E-Mail Microsoft 365 falsifié
E-Mail Microsoft 365 falsifié

Accès non autorisé à des données confidentielles

Les comptes Microsoft 365 compromis permettent aux pirates non seulement d’envoyer des messages de phishing, mais aussi d’accéder à des données d’entreprise sensibles, y compris à des informations personnelles et à des communications de partenaires commerciaux, de clientes et clients et de collègues. L’accès non autorisé à des communications confidentielles et à d’autres informations protégées stockées dans des services tels que la messagerie électronique, SharePoint et OneDrive peut avoir de graves conséquences. De telles fuites de données rendent la victime vulnérable au chantage et peuvent nuire à la réputation d’une entreprise et entraîner des conséquences juridiques conformément aux lois suisses sur la protection des données et, le cas échéant, au RGPD. Faites-vous une idée des données potentiellement perdues et évaluez le risque pour chacune d’entre elles.

De même, un compte d’une collaboratrice ou d’un collaborateur compromis peut servir de point de départ pour des attaques contre la chaîne d’approvisionnement. Les e-mails de phishing envoyés par un compte fiable d’un collaborateur ou d’une collaboratrice à des fournisseurs ou à des clientes et clients peuvent également les compromettre. En outre, les comptes compromis peuvent être utilisés pour diffuser des logiciels malveillants.

Attention aux règles de transfert

Souvent, les pirates créent une règle de transfert dans les comptes compromis, qui envoie une copie de tous les e-mails reçus aux pirates. De cette façon, les pirates continuent de recevoir toutes les informations, même si le mot de passe a été réinitialisé depuis longtemps. Si l’attaquant a toujours accès au compte de messagerie de cette manière, il peut même se connecter ultérieurement à d’autres services si ceux-ci proposent une fonction de réinitialisation du mot de passe par e-mail.

Mesures et recommandations

  • Vérifiez attentivement l’adresse e-mail de l’expéditeur.
  • Soyez prudent avec les e-mails dont le nom de l’expéditeur affiché ne correspond pas à l’adresse e-mail réelle.
  • Les formules de politesse génériques telles que « Cher client / Chère cliente » au lieu du nom du destinataire sont souvent un signal d’alarme.
  • Faites attention aux fautes de grammaire et d’orthographe.
  • Avant de saisir un mot de passe, vérifiez toujours l’adresse Internet ouverte (URL).
  • Méfiez-vous des e-mails qui vous demandent la réalisation d’une action. Soyez prudent si l’on vous pousse à effectuer une action. Il peut s’agir par exemple de cliquer sur un lien ou d’ouvrir un document ou une pièce jointe.
  • Ne saisissez jamais de données personnelles sur un formulaire que vous avez ouvert via un lien dans un e-mail.
  • Configurez si possible une authentification à deux facteurs. Cela offre une protection supplémentaire pour empêcher le piratage de votre compte.
  • N’oubliez pas que les adresses e-mail peuvent être facilement falsifiées.
  • Si des messages falsifiés sont envoyés en votre nom, il faut supposer que votre compte/système de messagerie a été piraté. Dans ce cas, changez immédiatement le mot de passe et vérifiez les filtres de messagerie et les règles de transfert.
  • Souvent, les pirates créent une règle de transfert d’e-mail qui envoie une copie de tous les e-mails que vous recevez aux pirates. En outre, l’OFCS recommande de vérifier le système.
  • Informez vos contacts à ce sujet, car ils ont peut-être été contactés par e-mail.
  • Conformément à l’art. 24 de la loi révisée sur la protection des données, les violations de la sécurité des données doivent être signalées au PFPDT si elles présentent un risque élevé d’atteinte à la personnalité ou aux droits fondamentaux des personnes concernées par la fuite de données. Cette disposition s’applique aussi bien aux particuliers qu’aux entreprises et aux organes fédéraux. La notification au PFPDT doit être effectuée dans les plus brefs délais. Vous trouverez le formulaire de déclaration ici: https://databreach.edoeb.admin.ch/report

Statistiques et chiffres actuels

Les annonces de la dernière semaine selon les catégories sont publiées sous:

Chiffres actuels

Dernière modification 18.03.2025

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/2025/wochenrueckblick_11.html