Alerte phishing via Microsoft Teams : quelles mesures de protection ?
Microsoft met en garde contre un nouveau type d’attaque impliquant des tenants Microsoft 365 compromis et Microsoft Teams. A la manœuvre, un groupe de hackers ciblant plusieurs dizaines d’organisations en Europe et aux Etats-Unis.
La technique consiste à utiliser des tenants Microsoft365 compromis pour créer de nouveaux domaines qui apparaissent comme des entités de support techniques. À l’aide de ces domaines, des messages Teams comportant des leurres sont envoyés aux utilisateurs, afin de tenter de dérober leurs identifiants pour s’infiltrer dans le système informatique de son organisation.
L’attaque se déroule en plusieurs étapes :
Étape 1 : Demande de discussion Teams
L'utilisateur cible reçoit une demande de message Microsoft Teams d'un utilisateur externe se faisant passer pour une équipe de support technique ou de sécurité.
Étape 2 : Demande d'action d'authentification
Si l'utilisateur cible accepte la demande de message, il reçoit un message Microsoft Teams de l'attaquant tentant de le convaincre d’insérer un code dans l'application Microsoft Authenticator sur son appareil mobile.
Étape 3 : Authentification MFA réussie
L’attaquant obtient un jeton pour s'authentifier en tant qu'utilisateur et accède au compte Microsoft 365 de l'utilisateur ayant complété le processus d'authentification.
Etape 4 : Vol de données
Il peut alors passer au vol d'informations du compte compromis. Il peut aussi tenter d'ajouter un device à l'organisation en tant qu'appareil géré via Microsoft Entra ID (anciennement Azure Active Directory), afin de contourner les mesures d'accès conditionnel configurées pour le système.
Quelles sont les recommandations ?
Pour réduire les risques, Microsoft recommande les mesures suivantes :
- Déployer des méthodes d’authentification résistantes au phishing
- Mettre en œuvre une politique d’accès conditionnel
- Définir les domaines externes autorisés ou interdits, pour le chat et les meetings
- Activer l’outil d’audit Microsoft 356 pour des analyses potentielles
- Déterminer et sélectionner les meilleurs paramètres d’accès pour la collaboration externe pour votre organisation
- Autoriser uniquement les appareils connus et conformes aux recommandations Microsoft
- Sensibiliser vos utilisateurs aux attaques de social Engineering et de phishing
- S’abstenir d’envoyer des codes MFA via toute forme de message non sollicité
- Sensibiliser les utilisateurs à vérifier l’étiquette externe sur les demandes de communication et à être prudent quant au partage d’informations
- Mettre en œuvre le contrôle d’accès conditionnel dans Microsoft Defender for Cloud Apps, pour les utilisateurs se connectant à partir d’appareils non gérés
Le déploiement de Teams se trouve au carrefour de plusieurs compétences indissociables et impératives : sécurité (gestion des identités, authentification, gouvernance des données), réseaux, infrastructures et collaboration/téléphonie.
Nos équipes sont à votre disposition pour vous accompagner dans cette réflexion.
Sources :