Selon une étude récente de l’IDG (International Data Group) sur la cybercriminalité, 44 % des grandes entreprises et 14 % des TPE/PME auraient été les cibles d’une attaque par consentement illicite en 2021. En effet, cette attaque informatique incite illicitement les entreprises à accorder des droits d’accès à leurs données Office 365. Mais, heureusement, il existe des solutions pour corriger et faire face à ce genre d’attaque.
Retrouvez, dans cet article, tout ce que vous devez savoir à propos des attaques par consentement illicite.
Attaque par consentement illicite : définition
Une attaque par consentement illicite consiste à accéder à des informations sensibles ou aux paramètres de configuration des applications Office 365, en obtenant les droits d’accès à travers d’un employé de l’entreprise.
Pour ce faire, le pirate informatique envoie un mail de phishing contenant un lien illicite. Ce message incite la cible des pirates informatiques à accorder des droits à des logiciels malveillants. L’utilisateur ne fait pas attention, car le nom du logiciel semble correspondre à Office 365, par exemple “SharePoint Docs”.
Une fois l’accord de permissions réalisé, le pirate informatique dispose, alors, d’un accès au périmètre de sécurité de sa cible. Et ce, sans avoir besoin de dévoiler le mot de passe ou l’adresse électronique de l’utilisateur.
Le logiciel malveillant créé, par la suite, une règle de renvoi de courriers électroniques. Dès lors, tout message envoyé ou reçu par l’utilisateur, et correspondant à un critère de la règle, sera automatiquement transmis au cyber attaquant. Les informations de celui-ci sont, alors, perdues.
Le scénario détaillé d’une attaque par consentement illicite
On vous présente dans les phrases suivantes le scénario classique tiré d’une expérience réelle.
- Le collaborateur reçoit un mail de phishing lui indiquant qu’un fichier est partagé avec lui. Le lien semble être correct et par « windows.net ».
- L’utilisateur clique sur le lien, puis il lui est demandé de donner son consentement pour accéder à ses données personnelles.
- C’est souvent la première fois que ce collaborateur utilise cette méthode de partage. Alors, il ne fait pas attention aux permissions qu’il accorde à l’hacker.
- Après accord des permissions, le fichier est supprimé de l’ordinateur. L’utilisateur réalise, alors, que le document a été volé par des pirates.
- Le logiciel modifie, pendant ce temps, la configuration du courrier électronique du collaborateur.
- Le logiciel crée une règle de renvoi de mail cachée sous un label qui peut faire penser que c’est une règle technique mise en place par son entreprise, par exemple « Anti Spam Rule »
- Tout message de l’utilisateur correspondant à la règle de renvoi sera, alors, renvoyé au cybercriminel.
- Au bout de 12 heures, Microsoft détecte toutes les activités suspectes liées au logiciel malveillant, efface les droits accordés et désactive le programme tierce.
- La règle de renvoi de mail reste toujours en vigueur tant qu’aucune mesure n’a été prise.
Le scénario ci-dessus décrit le déroulement d’une attaque par consentement frauduleux réussie tant que l’on n’aura pas connu la personne qui a effacé la règle de renvoi de mail.
Comment prévenir, détecter et réagir face aux attaques par consentement illicite ?
Heureusement, il existe des solutions pour prévenir, détecter et faire face à ce type d’attaque. On vous en parle dans les lignes suivantes.
Prévenir les éventuelles attaques en formant vos employés
Pour prévenir les attaques par consentement illicite, il est important de prendre certaines mesures.
- Sensibiliser vos collaborateurs aux risques des attaques par consentement illicite.
- Organiser des formations en réseaux informatiques présentées par un expert en cybersécurité, que ce soit en présentiel ou à distance.
Réaliser des sessions de live-hacking pour apprendre à réagir en cas d’attaque par consentement illégal.
Détecter ces attaques informatiques rapidement
Pour détecter les attaques par consentement illicite, il suffit de privilégier ces deux méthodes :
- Réaliser un inventaire des applications et de leurs permissions (droits de modification des informations, droits d’accès à la configuration des logiciels et applications, droits d’accès aux données sensibles, …).
- Faire appel à un expert pour effectuer un audit de sécurité informatique (connaître le niveau de sécurité des systèmes informatiques, protéger les données de l’entreprise, …).
Outre ces deux méthodes de révélation, il est conseillé de paramétrer des alertes d’activités liées à la mise en place de règles de renvoi de mail. Cela permettra d’avertir l’utilisateur en cas de déclenchement d’une attaque informatique.
Faire face aux attaques par consentement illicite
Les mesures correctives classiques, telles que la mise en place d’une authentification multifacteur (MFA) ou la réinitialisation des mots de passe sont inefficaces contre ce type d’attaque de grande ampleur. La seule solution pour réagir face à une attaque par consentement illicite est d’identifier la personne à l’origine de la création de la règle de renvoi, et de la supprimer. Pour cela, il est conseillé de faire appel à une entreprise d’infogérance.