🔴 French Days en direct 🔴 French Days en direct

Microsoft prévient d'une attaque par phishing visant à récupérer les identifiants de Microsoft 365

Thibaut Keutchayan
04 septembre 2021 à 18h30
16
logo Microsoft 365

La technique est vieille comme Hérode mais fait encore ses preuves. Microsoft affirme continuer de lutter contre des tentatives d'extorsion de données des utilisateurs et utilisatrices de Microsoft 365. Les pirates utilisent la méthode du hameçonnage, ou phishing.

Les hackers sont de plus en plus ingénieux, puisque leur processus d'attaque contient notamment une vérification par CAPTCHA, rendant le lien infecté et son contenu plus vrai que nature et trompant ainsi encore plus aisément les utilisateurs et utilisatrices de Microsoft.

Lire aussi :
Microsoft lance Windows 365, sa solution de Cloud computing

Le phishing, encore et toujours

Sur son site, Microsoft a annoncé le 26 août être en train de lutter contre des campagnes de phishing à répétition ciblant les utilisateurs et utilisatrices de Microsoft 365. Les équipes de la firme de Redmond font état de tentatives d'hameçonnage par des pirates à partir de liens de redirection intégrés dans des e-mails. L'innovation, dans le cadre de ces emails fallacieux, vient justement de ces mêmes liens de redirection, suffisamment peaufinés pour en tromper plus d'un.

Microsoft explique ainsi, dans le processus résumé par la figure ci-dessous, que les hackers ont pour objectif de récupérer les identifiants et mots de passe des usagers de Microsoft 365 par le biais de liens infectés. Jusque là, rien de très surprenant, mais la fourberie prend une ampleur supplémentaire lorsqu'une fenêtre impliquant une étape de vérification par CAPTCHA s'ouvre à vous. De quoi largement vous faire croire qu'il s'agit là d'un processus authentique, et ainsi mieux vous tromper.

Voici le mode opératoire employé. © Microsoft
Voici le mode opératoire employé. © Microsoft

La fenêtre suivante vous indique un message d'erreur vous demandant de retaper vos identifiants et mots de passe pour Microsoft 365. Et hop, le tour est joué, vos données sont collectées et récupérées par les pirates du Web derrière cette supercherie.

Lire aussi :
Microsoft 365 : fin du support d'Internet Explorer 11 au 17 août

Des innovations fourbes

Parmi les avancées en termes de techniques rendant l'email et les liens toujours plus authentiques, la vérification par CAPTCHA fait bonne figure, puisqu'elle est désormais employée par de nombreux sites officiels pour vérifier que l'utilisateur ou utilisatrice est un humain et non un bot. Néanmoins, une nouvelle étape concerne les liens de redirection, car ces derniers sont très fréquemment employés dans le cadre d'emails commerciaux par exemple.

Plus encore, « les attaquants pourraient abuser des redirections ouvertes pour créer un lien vers une URL dans un domaine de confiance et intégrer l'éventuelle URL malveillante finale en tant que paramètre. De tels abus peuvent empêcher les utilisateurs et les solutions de sécurité de reconnaître rapidement d'éventuelles intentions malveillantes », précise Microsoft.

La détection est rendue d'autant plus complexe que les pirates utilisent un grand nombre de domaines – au moins 350 pour l'heure –, et ils sont très variés, selon la firme de Redmond. D'après cette dernière, cela illustre l'appât du gain potentiel pour les pirates car posséder un tel nombre de domaines nécessiterait d'importants investissements préalables de leur part. Via sa solution antivirus Windows Defender, la firme annonce ainsi plancher sur une détection affinée de ces emails frauduleux, tout en rappelant que 91 % des cyberattaques ont pour origine du courrier électronique vicié. Retrouvez tous les détails de ce mode opératoire dans la source indiquée ci-dessous.

Source : Microsoft

Thibaut Keutchayan

Thibaut Keutchayan

Je m'intéresse notamment aux problématiques liant nouvelles technologies et politique tout en m'ouvrant à l'immense diversité des sujets que propose le monde de la tech' quand je ne suis pas en train...

Lire d'autres articles

Je m'intéresse notamment aux problématiques liant nouvelles technologies et politique tout en m'ouvrant à l'immense diversité des sujets que propose le monde de la tech' quand je ne suis pas en train de taper dans un ballon.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (16)

cid1
y en a marre du phishing et autres liens vérolé, enfin cette fois ils (MS) l’ont vu avant la cata.<br /> pour ne pas se faire prendre, ne pas ouvrir les liens d’inconnus, pour les mails de grande entreprise, si vous n’avez rien sollicité ne pas ouvrir et si jamais vous l’ouvrez, vérifier le lien à ouvrir en mettant votre pointeur sur le lien, là il va vous affichez le nom complet du lien, ça s’affiche en bas du mail. Il y a aussi les liens venus de personnes connues qui peuvent ètre vérolé, donc prudence, je suis ces consignes et je n’ai jamais été pawned
Pronimo
Ouai, le mieux c’est toujours de respirer un coup avant de s’alarmer sur l’urgence ou l’important du mail et de cliquer sans reflechir (ça m’est arrivé une fois et j’avais direct formaté mon pc ensuite, meme si, une page web sans forcement interagir ça va encore ).<br /> Aussi, bien regarder l’expéditeur (et encore c’est trompe œil!), dans le doute le plus simple avant c’est d’accéder au service comme vous les faites habituellement pour voir que tout fonctionne.
LeToi
Je ne suis pas forcément étonné du succès de l’hameçonnage, j’ai remarqué que pas mal de gens qui lisaient leurs mails, quel que soit leur âge, ne comprennent pas forcément grand chose au système et sont incapables de chercher l’adresse mail qui se cache derrière un alias, de repérer les innombrables fautes d’orthographe (exprès ?) contenues dans ces messages, de ne pas voir que leur nom n’est pas mentionné dans le mail, etc.<br /> On demande à des gens qui ne comprennent pas grand chose à l’informatique d’avoir une adresse mail, ne serait-ce que pour utiliser un téléphone, et ça peut leur causer quelques soucis…
idhem59
Je bosse a la sécu dans une boîte tech, et il y a quelques mois on a organisé avec mon équipe une campagne de fishing sur Office 365 pour sensibiliser à la sécurité.<br /> Un mail ressemblant à un mail Microsoft mais avec des détails douteux (police, expéditeur, etc), et renvoyant vers une fausse page d’invite de login O365.<br /> Résultat de l’expérience sur environ 300 personnes : environ 40% ont cliqué sur le lien, et environ 30% ont donné leur login/password sur la page.<br /> On parle ici d’une boîte de tech, donc les employés sont quand même sensé connaître ce genre de choses, alors ne soyons pas étonnés que ça fasse des ravages dans des milieux complètements étrangers a l’informatique, ou chez madame Michu qui ne sait pas ce qu’est une URL, un domaine d’expédition, ou du fishing.
cyrano66
Une idée pour eux.<br /> Puisque tous nos mails sont scannés,<br /> Plutôt que de coder des algorithmes pour détecter les pedophilies (avec une probabilité proche de zéro).<br /> Plutôt que de développer des IA qui censurent les contenues anti vax (pour faire plaisir à Biden).<br /> Faites plutôt dans l’utile et l’intelligent<br /> Développez donc des IA qui proposeraient automatiquement un indice de confiance par mail.<br /> Nota : je dépose un copyright sur l’idée.<br /> Je demande que 0,00001$ par mail.<br /> Dans 3 semaines je suis millionnaire
bmustang
bien dit ! Et y a pas que ça à revoir dans ces grands groupes qui perdent leur temps à nous proposer des âneries, des choses totalement inutiles.
idhem59
cyrano66:<br /> Développez donc des IA qui proposeraient automatiquement un indice de confiance par mail.<br /> Pleins de choses existent déjà en ce sens.<br /> Détection d’usurpation de domaine, détection de liens cachés dans les images, etc.<br /> Autant faut-il que l’utilisateur lise l’avertissement écrit au dessus du mail.<br /> Dans l’exemple que j’ai cité plus haut, sur le mail reçu il était clairement indiqué par O365 que ce mail usurpait le domaine de l’entreprise (domaine de l’entreprise chez Microsoft et mail envoyé depuis un relais SMTP Linux avec comme source le domaine de l’entreprise, donc c’est détecté comme usurpation), et pourtant ça clique quand même.
Squeak
On a beau dire dire aux gens «&nbsp;non, aucune société ne demande de s’authentifier par mail ou fournir un code pin ou autres&nbsp;» etc…<br /> C’est tellement classique et malgré la communication il y en a malheureusement toujours qui se font avoir. Je pense qu’il faudrait rendre obligatoire l’authentification à deux facteurs ou les codes de récupération, ce serait un vrai plus pour la sécurité qu’un simple mot de passe (qui plus est, souvent réutilisé sur plein de sites).<br /> La plupart des mails de ce genre chez moi sont directement en spam, donc c’est que la détection est déjà bien là.
cyrano66
Votre algorithme a détecté l’ironie de mon commentaire j’espère<br /> idhem59:<br /> Pleins de choses existent déjà en ce sens.<br /> Je sais bien.mais aucun n’est aussi complet et intrusif que ce qui est actuellement développé pour nous « protéger » malgré nous.<br /> idhem59:<br /> Autant faut-il que l’utilisateur lise l’avertissement écrit au dessus du mail….et pourtant ça clique quand même.<br /> Quand il est possible de mettre en place d’autres outils, à un certain stade il faut arrêter de culpabiliser l’utilisateur.<br /> La défaillance et la faille est souvent humaine. On le sait bien.<br /> C’est comme les Password.<br /> A un stade il faut arrêter de culpabiliser les gens de pas être capable de retenir de mémoire des suites complexes alphanumériques alors qu’ils existent d’autres solutions.<br /> Sinon à quoi sert l’IA ?
idhem59
cyrano66:<br /> Je sais bien.mais aucun n’est aussi complet et intrusif que ce qui est actuellement développé pour nous « protéger » malgré nous.<br /> Quand je reçois un mail avec un bandeau en haut «&nbsp;attention, usurpation de l’adresse de l’expéditeur&nbsp;» je ne vois pas en quoi ce n’est pas clair. Mais autant faut-il lire.<br /> cyrano66:<br /> Quand il est possible de mettre en place d’autres outils, à un certain stade il faut arrêter de culpabiliser l’utilisateur.<br /> Propose des solutions alors si c’est si évident.<br /> Et pas juste la phrase magique de l’IA. C’est du discours de marketeux ça, la réalité technique est toute autre. D’autant plus que l’IA… Ça n’existe pas vraiment dans ce genre de cas de figure. Une IA ne fera que réagir à des scénarios pré-pensés et programmés par des humains.<br /> Alors oui, il y a clairement une marge de progression quant à la détection des mails de phishing, mais on voit bien aujourd’hui que même avec des gros warnings clairement affichés quand le problème est détecté, ça n’empêche pas certains de tomber dans le panneau.<br /> cyrano66:<br /> C’est comme les Password.<br /> A un stade il faut arrêter de culpabiliser les gens de pas être capable de retenir de mémoire des suites complexes alphanumériques alors qu’ils existent d’autres solutions.<br /> Il existe pourtant des solutions sécurisées permettant d’avoir des mots de passe aléatoires, complexes et uniques partout sans avoir à tous les retenir. C’est à la portée de n’importe qui prenant la peine de s’y intéresser.<br /> Mais on en revient au problème éternel d’internet. Tout le monde a besoin de s’en servir au quotidien, mais on ne forme pas nécessairement aux bonnes pratiques.
abo1
Je bosse aussi dans la sécurité et ça fait super plaisir de lire ce genre de commentaire. La plupart du temps, on est uniquement dans une attitude culpabilisante ; une campagne d’entrainement au phishing comme évoqué plus haut n’a pas grand intérêt si elle n’est pas accompagnée (avant ou après) d’une campagne d’éducation. Et en toute logique, il s’agit alors de répéter tous les x temps le même entrainement et alors seulement à ce moment là les statistiques devraient montrer que le taux de «&nbsp;clic&nbsp;» diminue largement, sans jamais atteindre 0% cependant.<br /> Concernant votre idée d’aide décisionnelle, je crains que d’autres n’aient eu la même :). Il y a par exemple cette société qui propose une solution qui va dans ce sens → greathorn<br /> Il faut rester prudent concernant la double authentification, un script kiddie est capable d’utiliser ce soft (evilginx) qui permet de quand même passer par une double authentification et d’ensuite voler le session cookie, l’utilisateur final n’y voyant que du feux. La seule méthode inviolable encore à l’heure actuelle est le fait d’utiliser une hardware security key parce que le nom de domaine est enregistré à la première utilisation de celle-ci.<br /> Enfin, le fait d’utiliser un gestionnaire de mot de passe, ou là aussi les champs ne se rempliront que si on est sur la bonne page avec le bon nom de domaine est aussi une bonne méthode pour se protéger de ce type d’attaque.
idhem59
abo1:<br /> La plupart du temps, on est uniquement dans une attitude culpabilisante ; une campagne d’entrainement au phishing comme évoqué plus haut n’a pas grand intérêt si elle n’est pas accompagnée (avant ou après) d’une campagne d’éducation.<br /> Tu te doutes bien que c’est le cas… Quel intérêt sinon ?<br /> Les bases de la sécurité, on les répète en permanence. Et on s’adresse quand même à des gens sensés connaître ces problématiques et qui baignent dans l’informatique et les nouvelles technos toute la journée.<br /> Et évidemment, s’est est suivi une communication globale, ou on a expliqué toute la démarche. Est-ce que les résultats seront meilleurs la prochaine fois ? Évidemment, en tout cas je l’espère.<br /> Tout était d’ailleurs anonyme. On sait combien de personnes se sont faites avoir, mais on ne sait pas qui. Le but n’était absolument pas de taper sur les doigts mais de faire prendre conscience et de mettre en application les bonnes pratiques déjà expliquées.
cyrano66
idhem59:<br /> Quand je reçois un mail avec un bandeau en haut « attention, usurpation de l’adresse de l’expéditeur » je ne vois pas en quoi ce n’est pas clair. Mais autant faut-il lire.<br /> C’est voir le problème à l’envers.<br /> en 2021 le numérique n’est plus réservé à une élite Correctement neuronée.<br /> Si malgré le message le taux d’échec est important c’est que le bandeau n’est pas la solution et que l’outil ne fait pas correctement son travail.<br /> Quant à La formation des utilisateurs ça fait partie de la solution mais insuffisante et vouée à l’échec<br /> idhem59:<br /> Propose des solutions alors si c’est si évident.<br /> Ce qui me paraît évident c’est que du code est écrit pour analyser les corps des mails pour détecter la pedocriminalité.<br /> Que du code est écrit pour détecter les discours anti vax dans les posts de FB.<br /> Je ne vois pas trop ce qu’il y a compliquer à analyser les messages des petits brouteurs Ivoiriens (je prend ça comme exemple volontairement parce que malgré que leurs mails soient systématiquement debiles des gens continuent à ce faire avoir)<br /> idhem59:<br /> Il existe pourtant des solutions sécurisées permettant d’avoir des mots de passe aléatoires, complexes et uniques partout sans avoir à tous les retenir. C’est à la portée de n’importe qui prenant la peine de s’y intéresser.<br /> On est bien d’accord. Malheureusement des centaines d’entreprises n’en sont toujours pas là
HunterAlex
Tu pourrais même être surpris de ce que va faire Madame Michu. Si elle a peur, elle peut ne rien faire et appeler son gendre pour l’aider. Alors que l’informaticien moyen, sûr de lui, risque de cliquer sans regarder
Aloyse57
La plupart des employés, quelque soit leur âge comme souligné, n’ont que des connaissances basiques de l’informatique. Et en plus ils n’en n’ont rien à carrer de conséquences s’il ne s’agit pas de leur compte perso. Quand aux fautes d’orthographe comme indicateur, c’est subjectif : ça dépend du lecteur plus que de l’'expéditeur.<br /> Ici au Québec, l’orthographe est médiocre à tous les niveaux de la société. Ce n’est pas parce que c’est bourré de fautes que ça n’est pas officiel.
LeToi
Je ne suis pas d’accord avec la dernière phrase. 99 voire 100 % des messages que je reçois de newsletter ou de courrier de banque, marques, etc sont sans faute d’orthographe, je pense qu’il y a une relecture professionnelle avant l’envoi, alors que les mails de phishing et spam sont souvent truffés de fautes
Voir tous les messages sur le forum
Les tendances

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

De l'usurpation d'URL découverte dans les applis Zoom, Box et Google Docs De l'usurpation d'URL découverte dans les applis Zoom, Box et Google Docs
BitB : nouvelle technique de phishing pour récupérer votre mot de passe BitB : nouvelle technique de phishing pour récupérer votre mot de passe
Steam : les vols de compte se multiplient, quelle est la technique des pirates ? Steam : les vols de compte se multiplient, quelle est la technique des pirates ?
Une campagne d'hameçonnage aurait ciblé plus de 130 entreprises, dont Signal Une campagne d'hameçonnage aurait ciblé plus de 130 entreprises, dont Signal
Quelles sont les marques les plus usurpées pour le phishing ? Quelles sont les marques les plus usurpées pour le phishing ?