Une faille de sécurité a été découverte dans les services de messagerie de Microsoft. Les cybercriminels auraient abusé de son service client pour lire les emails de certains particuliers possédant des comptes Outlook. L’attaque aurait été perpétrée via le compte d’un employé du support de Microsoft, utilisateur à privilèges.

Proofpoint
Ryan Kalember, Vice-Président Exécutif, Stratégie Cybersécurité

La récente confirmation de la compromission de comptes Office 365, chez Microsoft même, souligne le risque croissant de piratage de comptes dans le cloud à mesure que les cybercriminels ont recours à des leurres d’hameçonnage plus créatifs, s’appuient sur des techniques ciblées comme la pulvérisation de mots de passe (password spraying) et trouvent de nouveaux moyens de contourner l’authentification multifactorielle. En observant des déploiements d’Office 365 pendant 6 mois, nous avons remarqué que 72 % des usagers étaient ciblés par des acteurs de la menace et que 40 % avaient au moins un compte compromis dans leur environnement.

Un seul compte compromis pouvant causer de nombreux dégâts, les cybercriminels ciblent souvent des employés qui sont situés au cœur d’une organisation et qui ne sont pas nécessairement connus ou activement suivis par l’équipe de sécurité, plutôt que de cibler l’infrastructure même de l’entreprise. Les comptes d’employés du service client sont ainsi particulièrement ciblés, en raison de leur niveau d’accès aux informations d’identification, et parce que ces utilisateurs doivent souvent interagir avec des liens et des pièces jointes non fiables dans le cadre de leur activité. Les comptes partagés (tels que customerservice@company.com ou support@company.com) sont également des cibles de choix, car ces boîtes aux lettres partagées atteignent de nombreux utilisateurs et sont difficiles à protéger avec une authentification multifactorielle.

 

CyberArk
David Higgins, EMEA Technical Director

Cette brèche, même si elle semble avoir eu une portée assez limitée, suit le schéma d’un grand nombre de précédentes attaques : les attaquants ont compromis des identifiants à privilèges, afin d’obtenir un accès plus large à des données clients. Cependant, il reste encore à déterminer comment la compromission initiale a eu lieu.

Les cybercriminels s’introduisent de plus en plus dans les réseaux via des techniques simples. Par conséquent, les entreprises doivent agir rapidement pour verrouiller une bonne fois pour toutes les comptes d’administrateurs et, in fine, protéger les données confidentielles de leurs clients. Les organisations doivent garantir que tout utilisateur, ou compte à privilèges de leur écosystème est digne de confiance. Il est primordial qu’elles s’assurent que les contrôles appropriés sont en place, afin d’améliorer la capacité de détection des utilisateurs compromis ou des tentatives de compromission. »