Cybersécurité : des sites Microsoft contrefaits pillent les entreprises

0

Les cybercriminels montent d’un cran dans leurs escroqueries aux faux services en ligne. Selon une étude récente de Vade Secure, ils délaissent le pillage des particuliers depuis des imitations de Paypal pour dévaliser les entreprises avec des contrefaçons de sites Office 365. Pire, leur manière de s’y prendre est si maligne qu’il faut maintenant en appeler à l’intelligence artificielle pour parvenir à déjouer leurs fraudes.

La raison de cette escalade ? La généralisation d’Office 365 chez les professionnels, un environnement collaboratif où un seul mot de passe donne accès à l’intégralité des services en ligne de Microsoft. Pour un hacker, qu’il s’agisse de voler du patrimoine numérique entier pour le monnayer sur des réseaux mafieux, ou d’exploiter les informations obtenues, cette clé unique offre de toute façon des opportunités de fraude bien plus rentables que les arnaques auprès des consommateurs en ligne.

Un seul identifiant pour tout Office 365 : une manne pour les pirates

C’est le principe technique-même d’Office 365 qui est ici attaqué : dans cet écosystème, l’identifiant de la messagerie Outlook sert aussi à se connecter à SharePoint et OneDrive. Dès lors, voler un compte e-mail revient à accéder à ces plateformes sur lesquelles les salariés partagent entre eux propriétés intellectuelles, listings de clients et autres documents secrets. Pourquoi pas des tableaux Excel d’opérations financières, ou des fichiers Word avec des feuilles de route stratégiques. Autant de prises de guerre qu’un malfaiteur saurait grassement revendre à des concurrents au détriment de sa victime ; on a déjà vu régulièrement des entreprises perdre de l’argent suite à des attaques de phishing ou spear phishing.

La tactique pour voler ces identifiants est toujours celle du phishing. La victime reçoit un e-mail qui l’invite à cliquer sur un lien pour consulter un document professionnel. Ce lien mène droit au portail d’authentification Office 365 que tout le monde commence à connaître. Pourquoi pas : même si l’ordinateur est censé se connecter automatiquement, il arrive de temps en temps qu’on demande à l’utilisateur d’entrer à nouveau son identifiant et son mot de passe pour prouver qu’il est bien légitime sur le système. Sauf que le portail en question est un faux. Sans le savoir, la victime vient de donner ses clés au serveur du hacker.

Une attaque de phishing peut également permettre à un cyber-malfaiteur de mettre en place une opération de spear phishing de type « arnaque au Président ». En couplant une attaque de phishing et de spear phishing, un hacker peut ainsi récupérer des coordonnées et ensuite se faire faire un virement. Par exemple, une fois les identifiants volés, il récupère des informations sur la société, consulte l’agenda des départs en congés et profite que sa victime soit absente pour envoyer à ses assistants une demande de virement à partir d’une adresse similaire à celle de sa victime et avec un prétexte plausible. Autre exemple, le hacker se fait passer pour le service financier suite à un vol de données et envoie un email aux clients de l’entreprise pour expliquer qu’il y a un changement de RIB et il reçoit ainsi sur son compte tous les virements effectués.

Dans bien des cas la victime ne s’est même pas aperçue qu’elle a été au préalable victime d’une attaque de phishing.

Les systèmes de sécurité traditionnels échouent contre cette menace

Problème, les dispositifs de sécurité traditionnels ne sont pas adaptés à l’environnement Office 365, et impuissants face à ce type de cyber-attaques.

D’un point de vue technique la plupart des solutions de protection de la messagerie, en mode Cloud ou Gateway, intercepte le flux d’email et le redirige vers leur plateforme pour analyser et filtrer les emails frauduleux. Les utilisateurs ont alors accès à un rapport pour visualiser s’ils le souhaitent les emails non prioritaires (emails marketing, notifications, newsletters, etc.) et spams. Au-delà de compliquer le quotidien des utilisateurs, cela complexifie également le travail des responsables sécurité des entreprises qui doivent configurer différentes interfaces d’administration.

Ce qu’il faut comprendre, c’est qu’avec cette méthode les solutions de sécurité des mails inhibent les fonctionnalités natives de protection d’Office 365 qui perdent ainsi en efficacité pour bloquer les attaques. Et cela pose également des problèmes contractuels avec Microsoft puisqu’en cas de détournement des flux ils n’assurent plus le support de leur solution. C’est pourquoi il est intéressant de se tourner vers des solutions plus récentes qui ont su tirer profit de l’architecture d’Office 365 et qui viennent s’intégrer directement sur la plateforme en complément des protections natives pour renforcer la sécurité d’Office et non la remplacer. Il n’y a plus de contraintes ergonomiques ni de détournement des flux puisque tout fonctionne directement depuis Office 365.

D’un point de vue détection des attaques, là encore les solutions classiques échouent.

Tout d’abord, les cybercriminels modifient très fréquemment quelques éléments des pages et des emails envoyés de manière à modifier leur empreinte et ainsi les rendre non détectable par les systèmes de protection classiques. Ils sont également capables d’enregistrer de nouveaux noms de domaine hébergeant leurs sites contrefaits, ou bien de réutiliser des anciers noms de domaine, ce qui complique la tâche de mise et de référencement des URL dans les listes noires.

Enfin, les cybercriminels ont également trouvé un moyen de contourner l’analyse réalisée par les solutions qui testent le contenu du site donné en lien au moment de la réception des e-mails dans la boîte. En fait, au moment où ils envoient l’e-mail frauduleux, le lien indiqué pointe vers un site tout à fait quelconque. Celui-ci ne se transforme en faux portail Office 365 qu’après un certain délai, le temps de passer au travers des dispositifs d’analyse d’URL. Seuls les solutions avancées de protection contre le phishing parviennent à détecter et déjouer ces comportements en analysant l’url et la page de destination au moment où l’utilisateur clique sur le lien et non pas lors de la réception de l’email.

En vérité, la seule technique pour protéger les utilisateurs d’une telle escroquerie est qu’un système analyse l’email, le lien et le portail indiqué par le lien avant qu’un salarié arrive dessus. Informatiquement parlant, on combine l’analyse de la page téléchargée pour tester la présence de certains éléments propres au portail Office 365 (logo, mise en page, type de texte affiché, couleurs…) à l’analyse de l’email (entête, expéditeur, contenu, pièces jointes, etc.) et on émet une alerte si plusieurs critères concordent alors que l’URL n’appartient pas à Microsoft.

L’intelligence artificielle, seul rempart efficace

Dernière technique utilisée par les laboratoires de cybersécurité, l’intégration d’intelligence artificielle dans les solutions de protection, et notamment de Machine Learning, pallie aux inconvénients des dispositifs de sécurité classiques. Le principe du Machine Learning c’est la prédiction et l’adaptation aux méthodes employées par les hackers pour créer leurs pages de phishing. Par exemple, en amont de la publication d’un logiciel comme Vade Secure Office 365, des ingénieurs ont bâti un modèle statistique des probabilités d’avoir affaire à un site contrefait. Ce modèle inclue l’analyse du site, du lien et de l’email et permet de ressortir la probabilité d’une url d’être du phishing. Ainsi, lorsque l’utilisateur veut accéder à la page, il est alors très rapide d’évaluer sa ressemblance avec un modèle-type d’une fraude et d’indiquer à l’utilisateur, en une fraction de seconde, qu’il s’agit d’un phishing.

Le modèle créé par le Machine Learning ne s’appuie pas sur une empreinte mais sur un ensemble de caractéristiques ce qui lui permet de bloquer les attaques inconnues et d’être efficace y compris lorsque le hacker fait des modifications légères sur sa page pour tromper les filtres classiques. En effet, les méthodes classiques s’appuient sur des éléments fixes et connues, en mode réactif par rapport à des attaques identifiées. A l’inverse, l’IA va essayer de comprendre la page dans son ensemble et ce qui fait que c’est une page de phishing ou pas, en s’appuyant sur un ensemble de statistiques et de probabilités. L’objectif est d’avoir le regard de l’expert et de le reproduire grâce à l’Intelligence Artificielle.

Bien évidemment, toute l’efficacité du logiciel repose sur le temps qu’ont passé les ingénieurs à enrichir leur modèle. Afin d’éviter les faux positifs, ils doivent entraîner leur intelligence artificielle en lui soumettant une grande variété de pages et en lui indiquant à chaque fois lesquelles sont légitimes et lesquelles sont frauduleuses. Le moteur de machine Learning identifie les ressemblances entre toutes les pages déclarées illégitimes et analyse partiellement le contenu soumis. Plus il a d’exemples, plus il connaît la pertinence des ressemblances. Ce sont ces ressemblances qui constitueront en production le modèle-type. Par contre, en production, l’Intelligence Artificielle est combinée aux techniques classiques pour éviter les faux positifs et obtenir les meilleurs résultats.

A l’épreuve, l’intelligence artificielle s’avère redoutable pour lutter contre le phishing, et est d’autant plus intéressante que son modèle de statistiques lui permet de détecter des phishing dont l’empreinte n’est même pas encore référencée par les logiciels classiques.

Pour être tout à fait complet sur ce sujet il faut signaler qu’une autre contre-mesure existe : le principe de l’identification multi-facteurs. Installée directement par Microsoft, cette technique consiste à vérifier la légitimité d’un utilisateur via un SMS lorsque – comme le fait un hacker – il se connecte à son compte avec les bons identifiants mais depuis une machine inconnue. Hélas, cette procédure est réputée, elle aussi, contraignante pour les collaborateurs et les entreprises ont pris l’habitude de la désactiver. Et de toute façon, l’authentification par SMS a aussi montré ses failles que les hackers ont rapidement identifiés en réussissant à récupérer le SMS de contrôle sur leur propre téléphone. Une raison de plus pour protéger sa boîte mail en passant à l’intelligence artificielle, tel que le propose Vade Secure.

About Author

Leave A Reply