Microsoft révèle une campagne de phishing touchant 35 000 utilisateurs dans 13 000 organisations

Microsoft dévoile une vaste opération de phishing par vol de jetons

Microsoft a divulgué une campagne de phishing à grande échelle ayant compromis des jetons d'authentification appartenant à plus de 35 000 utilisateurs répartis dans 13 000 organisations. Les attaquants se sont fait passer pour des expéditeurs officiels en utilisant des e-mails à thème « code de conduite » conçus de manière professionnelle, une tactique d'ingénierie sociale destinée à paraître routinière et digne de confiance dans une boîte de réception d'entreprise. Les entreprises du secteur de la santé, des services financiers et de la technologie ont subi le plus gros des attaques, faisant de cette divulgation l'une des plus importantes en matière de vol d'identifiants dans la mémoire récente.

Ce qui distingue cette campagne du phishing ordinaire, c'est qu'elle vise à dérober des jetons d'authentification plutôt que des mots de passe directement. Les jetons sont de petits identifiants numériques qui prouvent qu'un utilisateur s'est déjà connecté, et en capturer un peut donner à un attaquant un accès complet à un compte sans jamais avoir besoin de connaître le mot de passe. Cela signifie que même les utilisateurs disposant de mots de passe forts et uniques auraient pu être compromis si leurs jetons de session avaient été interceptés.

Pourquoi le vol de jetons d'authentification est particulièrement dangereux

Le phishing traditionnel tente généralement d'amener les utilisateurs à saisir leur nom d'utilisateur et leur mot de passe sur une fausse page de connexion. Le vol de jetons va encore plus loin. Une fois qu'un attaquant détient un jeton d'authentification valide, il peut souvent contourner entièrement les vérifications de sécurité, y compris certaines formes d'authentification multifacteur (MFA) qui ne vérifient l'identité qu'au moment de la connexion. Du point de vue du système, la session est déjà authentifiée, il n'y a donc rien à re-vérifier.

C'est particulièrement alarmant pour les organisations des secteurs réglementés comme la santé et la finance, où des données sensibles, des dossiers clients et des systèmes financiers se trouvent derrière ces connexions. Un seul jeton volé peut servir de passe-partout pour accéder aux e-mails d'un employé, au stockage en nuage, aux outils internes et aux plateformes de communication, tant que ce jeton reste valide.

L'apparence professionnelle des e-mails leurres rend la défense encore plus difficile au niveau humain. Les avis de « code de conduite » dégagent une autorité et une urgence, deux éléments qui sont des leviers fiables en ingénierie sociale. Les employés sont conditionnés à prendre ces messages au sérieux, ce qui est précisément la raison pour laquelle les attaquants ont choisi cette mise en scène.

Ce que cela signifie pour vous

Si vous travaillez dans une organisation, notamment dans les secteurs de la santé, de la finance ou de la technologie, cette campagne rappelle concrètement que les menaces de phishing sont devenues plus sophistiquées. Cliquer sur un lien dans un e-mail bien conçu et se connecter à ce qui ressemble à un portail légitime peut exposer votre jeton de session sans que vous réalisiez que quelque chose s'est mal passé.

Plusieurs couches de défense fonctionnent ensemble pour réduire ce risque :

L'authentification multifacteur reste essentielle. Bien que les techniques avancées de vol de jetons puissent contourner certaines implémentations MFA, les clés de sécurité matérielles et l'authentification par clé d'accès sont nettement plus difficiles à contourner que les codes SMS ou les codes générés par application. Les organisations devraient, dans la mesure du possible, prioriser les normes MFA résistantes au phishing telles que FIDO2.

Les protections au niveau du réseau ajoutent une couche supplémentaire. Un VPN chiffre le trafic entre votre appareil et l'internet, ce qui limite la capacité d'un attaquant à intercepter des données en transit sur des réseaux non fiables. Lorsque les employés travaillent à distance ou se connectent via un Wi-Fi public, le trafic non chiffré est vulnérable aux interceptions. Comprendre comment les différents protocoles VPN gèrent le chiffrement et l'acheminement peut aider les organisations et les individus à choisir des configurations qui renforcent réellement leurs connexions plutôt que de simplement donner une apparence de sécurité.

La vigilance à l'égard des e-mails est plus importante que jamais. Même les utilisateurs techniquement avertis devraient marquer une pause avant de cliquer sur des liens dans des notifications e-mail inattendues, en particulier celles qui véhiculent une urgence ou une autorité administrative. Confirmer les demandes via un canal séparé, en se rendant directement sur un portail officiel plutôt qu'en utilisant les liens des e-mails, est une habitude peu contraignante à forte valeur défensive.

La durée de vie des jetons et la gestion des sessions méritent attention. Les équipes de sécurité devraient examiner la durée de validité des jetons d'authentification et imposer des fenêtres de session plus courtes pour les applications sensibles. Plus un jeton reste actif longtemps, plus un jeton volé peut être utilisé.

Enseignements pour les organisations et les individus

Cette divulgation de Microsoft est une invitation utile à auditer les pratiques de sécurité actuelles, plutôt qu'une raison de paniquer. Les campagnes de vol d'identifiants à cette échelle réussissent parce qu'elles exploitent les lacunes entre la prise de conscience et l'action. Voici quelques mesures concrètes à prendre dès maintenant :

• Examinez les paramètres MFA et évoluez, dans la mesure du possible, vers des méthodes d'authentification résistantes au phishing.
• Assurez-vous que les travailleurs à distance utilisent un VPN sur des réseaux non fiables pour chiffrer le trafic en transit. Si vous n'êtes pas sûr du protocole le mieux adapté à votre modèle de menace, passer en revue la façon dont chacun gère la sécurité et les performances constitue un point de départ pratique.
• Formez le personnel à reconnaître les leurres d'ingénierie sociale, notamment les e-mails d'autorité tels que les avis de politique et les rappels de code de conduite.
• Demandez aux équipes informatiques ou de sécurité quelles sont les politiques relatives aux jetons de session et si des fenêtres d'expiration plus courtes sont envisageables pour les systèmes critiques.

Aucun contrôle unique n'élimine entièrement le risque, mais combiner une bonne hygiène d'authentification, des connexions réseau chiffrées et la sensibilisation des utilisateurs crée des obstacles significatifs pour les attaquants. Les organisations qui n'ont pas été affectées par cette campagne disposaient probablement d'au moins certaines de ces mesures. Celles qui ont été touchées ont désormais une image claire de là où concentrer leurs efforts.