Une campagne de phishing exploite des réglages bancals des messageries d'entreprise pour faire passer des mails externes pour des messages internes parfaitement légitimes. À la clé, vols d’identifiants et fausses demandes de paiement difficiles à repérer pour les équipes.
Pointer encore du doigt Direct Send ou une énième variante de phishing serait passer à côté de l’essentiel. Dans son dernier billet, Microsoft Threat Intelligence décrit une campagne opportuniste qui s’appuie sur une faiblesse beaucoup plus banale, à savoir la manière dont les entreprises routent leurs mails et configurent SPF, DKIM, DMARC et les connecteurs vers Microsoft 365. Le résultat tient en une illusion très efficace, un mail envoyé depuis l’extérieur qui passe pour un message interne parfaitement légitime, parfois aux couleurs d’un collègue, des RH, d’Office ou de SharePoint, parfois sous la forme d’un faux échange entre la direction et la comptabilité.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Des mails externes qui prennent l’apparence de messages internes
Le point de départ relève d’un scénario relativement courant dans les grandes structures, quand l’enregistrement MX du domaine, ce réglage DNS qui indique où livrer les mails, ne pointe pas directement vers Office 365. Dans ce cas, le message arrive d’abord sur un serveur Exchange on premise (hébergé en interne, sur l’infrastructure de l’entreprise), une passerelle de sécurité, un service d’archivage ou un filtre tiers, puis seulement sur Microsoft 365.
Ce détour crée une zone grise dans laquelle le trio anti-spoofing SPF, DKIM et DMARC ne joue plus pleinement son rôle si les connecteurs et les règles de transport n’ont pas été ajustés avec précision. Cette défaillance s’ajoute à une autre faiblesse documentée de longue date, à savoir que le protocole SMTP accepte qu’un serveur expéditeur revendique n’importe quel domaine dans le champ « De », y compris celui de l’entreprise ciblée. Or, SPF, DKIM et DMARC sont justement censés compenser cette lacune en vérifiant la légitimité de l’expéditeur et, en cas d’échec, en imposant le rejet ou la mise en quarantaine du message.
Les acteurs malveillants s’appuient ainsi sur cette combinaison de failles de configuration pour usurper le domaine de l’entreprise dans les champs techniques et visibles de l’expéditeur, puis envoient leurs messages aux adresses de la cible, le routage défini par l’enregistrement MX prenant ensuite le relais (passerelle ou serveur Exchange on premise en premier niveau, puis Microsoft 365 en bout de chaîne). Le courriel arrive alors flanqué du bon domaine dans l’adresse expéditeur, ce qui permet aux attaquants d’usurper l’identité apparente de n’importe quel collègue ou service interne, sans jamais avoir compromis de compte.
Dans le corps du mail, les thèmes choisis parlent le langage du quotidien, à base de notifications de messagerie vocale, demandes de validation de document, messages RH à propos de salaire ou d’avantages, alertes de réinitialisation de mot de passe. Objectif : dérober des identifiants et accéder à des données internes. Microsoft met aussi en avant un volet très concret de fraude financière, certains courriels repérés imitant un fil de discussion entre dirigeant et prestataire réclamant le paiement rapide d’une fausse facture, appuyée par un formulaire fiscal et une pseudo lettre de banque pour rendre la demande plus crédible.
Une campagne opportuniste qui révèle surtout des dettes de configuration
Microsoft parle a priori d’une campagne opportuniste, pensée pour arroser large plutôt que pour viser quelques organisations triées sur le volet. Les mêmes gabarits de messages sont envoyés à des entreprises de secteurs variés, avec des thèmes interchangeables, notifications, documents à valider, demandes de paiement.
On insistera également sur le fait qu’il ne s’agit pas d’une nouvelle vulnérabilité, mais bien d’une dette de configuration. Par conséquent, le premier chantier auquel s’attaquer concerne l’authentification de domaine, en rendant les politiques DMARC réellement contraignantes pour que les messages qui ne respectent pas les vérifications ne soient plus livrés comme si de rien n’était, en resserrant les enregistrements SPF afin de limiter les serveurs autorisés à envoyer des mails au nom du domaine et en généralisant l’usage de DKIM pour signer les courriels sortants et distinguer plus facilement les envois légitimes de tout le reste.
En parallèle, les organisations qui font transiter leurs mails par une passerelle, un serveur Exchange on premise ou un service tiers avant Microsoft 365 ont intérêt à revoir leurs connecteurs et leurs règles de transport pour s’assurer que les résultats de ces contrôles sont bien pris en compte tout au long du parcours, à couper l’envoi non authentifié au nom du domaine lorsqu’il n’est pas indispensable, et à s’aligner sur les réglages recommandés dans Exchange Online Protection et Defender pour Office 365.
Les équipes sécurité ont aussi un rôle à jouer côté sensibilisation, en rappelant qu’un mail affichant une adresse interne crédible n’est plus un signe suffisant de confiance, en encourageant la vérification par un autre canal dès qu’une demande paraît inhabituelle ou engageante, et en simplifiant les procédures de signalement des mails suspects, afin que les messages douteux remontent rapidement et servent de base pour ajuster les règles techniques et les protections en place.
Source : Microsoft Threat Intelligence
