Office 365 est le Service Cloud le plus utilisé par les entreprises, comptant plus de 200 millions de clients. Les services d’email, de collaboration et de travail créés par Microsoft sont devenus un standard dans le monde professionnel, pour les PMEs autant que pour les multinationales.
Malheureusement, les cyber-criminels y trouvent aussi une opportunité. Les hackeurs s’intéressent de près à cette mine d’or qui rassemble les emails (Exchange), les documents de travail (SharePoint & OneDrive), ainsi que des informations internes sur la structure de l’entreprise (Directory).
Ces derniers mois, nous avons pu constater une grande croissance dans les piratages de comptes Office 365 ; plusieurs fois par semaine, des entreprises font appel à nous pour demander de l’aide à ce sujet. Le nouveau datacenter de Microsoft ayant récemment ouvert ses portes en Suisse, nous prévoyons une migration massive des entreprises helvétiques vers Office 365 et donc une augmentation de ce type d’attaques.
La majorité des incidents commence avec un email de phishing (harponnage) se faisant passer pour un email officiel venant de Microsoft. Une fois que la victime aura cliqué sur le lien, un site web identique à celui d’Office 365 lui demandera de s’identifier (nom d’utilisateur et mot de passe). Les informations entrées seront directement transmises au pirate qui pourra ensuite abuser de l’identité de sa proie.
D’autres attaques, plus classiques, impliquent l’envoi de pièces jointes malveillantes (documents de la suite Office ou PDF) qui infecteront l’ordinateur avec des malwares, virus et chevaux de Troie ; Office peut aussi être piraté par la découverte d’un mot de passe faible, qui donne directement accès au compte de l’utilisateur.
Une fois les hackeurs en contrôle du compte, ils utiliseront la boite email de la victime pour contacter ses clients, collègues, partenaires, etc. dans le but de leur demander de cliquer sur un lien, transférer de l’argent, ouvrir un document ou même encore partager des informations sensibles. Nous appelons ces attaques Business Email Compromise (BEC) ou CEO Fraud (Fraude au Président).
Comment se protéger ?
Le premier piège est de supposer que Microsoft soit responsable de la sécurité de votre compte dans son Cloud. Certes, les ingénieurs de Microsoft mettent à jour la plateforme pour patcher des vulnérabilités et mettent en place des processus de sécurité. Toutefois, au bout du compte, c’est la responsabilité de l’utilisateur de correctement configurer et protéger son service Office 365.
Comme mentionné plus haut, une de plus grandes surfaces d’attaque est l’email. Office 365 est équipé d’un service d’antispam qui a pour but de bloquer des pièces jointes dangereuses, le phishing et le spam ; additionnellement, l’utilisateur a l’option de rajouter à sa licence d’autres abonnements Office 365 pour une protection plus poussée. Toutefois, en vue de l‘importance de la part de marché d’Office 365, un pirate va forcément valider la capacité de son attaque à passer le filtre des anti-spams fournis avant de lancer une campagne sur cette plateforme. Il est donc généralement recommandé de faire appel à des services de protection tiers pour filtrer les emails rentrants. Ainsi, vous augmenterez la sécurité et vous diminuerez la possibilité de réception d’un email malveillant dans votre boite aux lettres.
Afin de pouvoir mener une attaque de Business Email Compromise (tel que les fraudes au président), le hackeur tentera d’avoir accès à votre compte Office 365. Il est donc essentiel de surveiller les connexions aux comptes : est-ce qu’un hackeur essaie d’accéder à de nombreux comptes de votre entreprise (Password Spraying) ? Tente-t-il de casser le mot de passe d’un compte spécifique (Bruteforce) ? Est-ce que des connexions réussies proviennent d’une région géographique inhabituelle, ou possiblement d’adresses IP dangereuses (botnet, TOR, etc.) ?
Grâce à des règles telles que l’authentification forte, la configuration correcte des fonctionnalités et le monitoring des activités, il est possible d’empêcher et de détecter des intrusions.
Une problématique supplémentaire concerne le backup des données. Office 365 met en place des outils pour récupérer un fichier et email effacé, toutefois il n’inclut pas un réel service de backup. Considérant qu’il est toujours recommandé d’avoir un backup hors site, on ne peut dé facto pas confier cette mission à Office 365. En déployant votre backup, il est aussi fondamental de réfléchir aux contraintes légales et régulatoires sur le maintien historique des données (même concernant des anciens employés), la granularité dans une restauration et la quantité de travail nécessaire pour la récupération des données effacées. Ainsi, de même qu’un backup d’une infrastructure « sur site » est essentiel, il est nécessaire de mettre en place un backup pour les services cloud.
Il est intéressant de noter qu’en Suède 86% des gens sont inscrits dans le registre du don d’organes, alors que seulement 4% le sont au Danemark. La raison est simple : en Suède, le consentement est présumé, tandis qu’au Danemark c’est l’inverse. C’est un exemple clair de l’impact des paramètres par défaut, qui ne sont changés que très rarement par les utilisateurs. Dans le monde digital, malheureusement, ces configurations par défaut ne sont habituellement pas optimales pour la sécurité, mais plutôt orientées vers les performances, la facilité d’utilisation ou la rétro compatibilité.
C’est d’autant plus vrai pour Office 365 qui DOIT fonctionner automatiquement pour ses centaines de millions d’utilisateurs et pour lequel Microsoft offre gratuitement du support. Configurer correctement son « Tenant », modifier les paramètres par défaut afin qu’ils répondent à vos menaces spécifiques et se tenir informés des nouvelles options (qui changent hebdomadairement) diminuent grandement votre exposition aux cyber-risques.
La majorité des attaques aboutissent à cause d’une maladresse d’un utilisateur . Il est donc essentiel de correctement sensibiliser et former tous les employés sur les politiques internes de l’entreprise et les meilleures pratiques à suivre. De plus, des tests réguliers de phishing permettent d’entretenir la vigilance et évaluer l’exposition des employés à ce genre d’attaque.
Que faire si votre compte Office 365 est piraté ou compromis ?
Une des premières indications que votre Office 365 a été hacké est l’envoi d’emails que vous n’avez pas rédigés. En consultant la rubrique « Suivi des messages » (Message Trace en Anglais) dans le panneau d’administration, vous pourrez facilement voir tous les emails envoyés depuis votre entreprise et établir si certains sont non-authentiques.
Si tel est le cas, vous devrez :
- Bloquer immédiatement le compte
- Changer son mot de passe
- Notifier les destinataires de l’incident
- Investiguer comment le compte s’est fait compromettre
- Nettoyer les modifications et la persistance mises en place par le hackeur
- Regarder si d’autres utilisateurs internes ont été victimes
La migration vers des services cloud permet d’accélérer votre croissance, optimiser vos processus et diminuer vos dépenses ; toutefois, cette évolution vient aussi avec des nouveaux risques qui doivent être correctement évalués et mitigés.