Les bonnes pratiques pour éviter les attaques par compromission de mail

0

Avant de plonger dans les bonnes pratiques pour mettre en place une authentification à facteurs multiples et d’autres conseils pour éviter la compromission d’email, il est important de comprendre pourquoi celles-ci sont utiles. Voici quelques autres exemples tirés des enquêtes de l’Unit 42 qui montrent les erreurs les plus communes permettant aux attaquants d’accéder à l’environnement de messagerie, même quand la MFA est en place. La présentation de ces scénarios peut aider les entreprises à identifier les failles possibles dans leur sécurité, les exemples qui suivent étant anonymisés pour protéger l’identité des victimes.

Une authentification à facteur multiple non activée

Les criminels ont ciblé des centaines d’employés d’une compagnie d’assurance avec des mails de phishing. Ceux-ci menaient à une tentative pour récolter des identifiants de comptes à travers une fausse page de connexion à la messagerie de Microsoft 365 semblable à l’originale mise en place par la société. Les attaquants ont réussi à récupérer l’accès à certains de ces comptes, appartenant à des employés qui n’avaient pas activé la MFA, ce qui leur a permis d’accéder à des données sensibles sur un site Sharepoint interne.

Autoriser des protocoles datés pour accéder à la messagerie

Les criminels ont accédé aux messageries de deux employés d’une entreprise qui avait oublié de désactiver les anciennes authentifications pour synchroniser les messageries via IMAP4 et POP3. Cela a permis aux criminels d’accéder à tout le contenu des boîtes durant plus d’un mois, et de récolter ainsi des informations d’identification personnelles des contacts des victimes. Il s’agit d’une des façons les plus communes de contourner les MFA, tout particulièrement dans des environnements hybrides ayant une raison légitime d’utiliser ces protocoles datés. (voir ci-dessous comment gérer ces cas.)

Permettre le transfert automatique d’email hors de l’entreprise

Les criminels ont compromis les comptes de plusieurs utilisateurs d’une agence d’intérim, puis ils ont utilisé ces comptes pour faire circuler des offres d’emploi demandant aux destinataires de fournir des informations personnelles. Ils ont établi des règles pour déplacer toutes les réponses dans des fichiers cachés et les faire suivre vers un compte externe. 

Les bonnes pratiques pour éviter les attaques par compromission de mail

Même s’il n’existe pas de recette miracle pour arrêter les compromissions de messagerie, l’Unit 42 recommande aux entreprises de suivre ces conseils ci-dessous. L’utilisation de l’authentification à facteurs multiples est indispensable, mais ce n’est que l’un des composants d’une stratégie globale pour réduire les risques de compromissions et les impacts des attaques réussies.

– L’éducation. Les utilisateurs finaux sont souvent le maillon faible des incidents de sécurité, car ils sont la cible de toutes sortes d’arnaques par phishing. La sensibilisation à la sécurité informatique les rend bien plus capables de repérer ces tentatives et de remonter toutes les activités suspectes aux équipes de sécurité pour qu’elles les examinent.

— Imposer la MFA. Simplement activer une authentification à facteurs multiples permet aux utilisateurs de choisir s’ils veulent l’utiliser ou non, ce qui donne aux entreprises une fausse impression de sécurité. Il est vital de non seulement activer, mais également imposer la MFA en exigeant que les utilisateurs l’ajoutent à leurs comptes et la vérifient à chacune de leurs connexions.

— Utiliser une MFA forte. Utilisez une application de mot de passe à usage unique (OTP pour One-Time Password) pour cette authentification plutôt qu’un envoi par SMS. Exiger que les utilisateurs tapent manuellement un code généré par ce type d’application (comme Google Authenticator) réduit les possibilités pour que l’un d’entre eux accepte par erreur une demande d’authentification non autorisée en cas d’attaque par force brute ou à partir d’identifiants volés.

— Contrôler les méthodes d’authentification datées. L’Unit 42 recommande de bloquer par défaut les méthodes d’authentification et d’utiliser des outils comme l’accès conditionnel d’Azure Active Directory pour permettre des exceptions bien spécifiques, concernant par exemples des appareils plus anciens ou des relais SMTP en interne.

— Vérifier les protections du réseau. Vérifier régulièrement les possibilités pour les utilisateurs finaux d’exécuter ou de télécharger du code et des applications, comme des documents Office avec macro, des logiciels non autorisés, des appareils USB, etc. Comme l’avait déjà recommandé l’Unit 42, les règles de filtrage des URL devraient être établies de façon à restreindre l’accès par défaut aux catégories suivantes de domaines : Nouvellement créés, N’ayant pas assez de contenu, avec des DNS dynamique, Inactive et Malveillante.

— Vérifier régulièrement les délégations et les permissions de compte. Vérifier régulièrement les permissions et les comptes utilisateurs, y compris les délégations accordées, les boîtes de messageries partagées et les droits administratifs. Chaque compte devrait avoir un nom unique et être lié à un individu, et les identifiants pour les comptes de services et les messageries partagées devraient être enregistrés dans un gestionnaire de mot de passe et protégé par MFA quand cela est possible.

— Bloquer les règles de transfert du côté client. Les règles de transfert côté entreprise peuvent servir d’indicateurs d’une compromission qui permet aux attaquants de se faire suivre tous les messages arrivant sur la boîte piratée vers une adresse externe. Ils peuvent également être utilisés par les utilisateurs finaux pour faire suivre des mails professionnels vers un compte personnel de messagerie. Dans les deux cas, cela crée un risque de confidentialité et il est fortement recommandé fortement de désactiver ces règles de transfert sur les postes clients. Les utilisateurs qui en ont besoin dans un cadre professionnel devraient avoir l’accord de leur supérieur et être régulièrement évalués par l’équipe IT.

— Auditer les logs. Il est important de s’assurer que le log des différents événements administratifs est activé. Suivant la plate-forme de messagerie ou le type de licence souscrit, l’audit et la conservation des logs ne sont peut-être pas activés par défaut. L’Unit 42 recommande l’agrégation des logs des serveurs de messagerie dans un même endroit comme un outil XDR (Extended detection and response) ou SIEM (security information and event management) pour les conserver et avoir une vue plus complète sur les incidents de sécurité dans les serveurs de messageries. Des données complémentaires et une contextualisation aident les entreprises à mieux comprendre à quoi ressemble une activité normale pour un compte et à déterminer quelle donnée a été compromise en cas d’incident.

About Author

Ryan Olson

Responsable de l´Unité 42 chez Palo Alto Networks

Leave A Reply