Alerte aux attaques ciblées visant des collaborateurs importants

Plus d’une centaine de milliers de tentatives infructueuses d’accès aux comptes d’utilisateurs Office 365. C’est ce que Skyhigh Networks indique avoir observé depuis le début de l’année. L’ensemble proviendrait de 67 adresses IP différentes et 12 réseaux, visant des comptes appartenant à 48 de ses clients.

Dans un billet de blog, Sandeep Chandana, analyste chez le fournisseur de services de passerelle d’accès Cloud sécurisé (CASB), relève deux spécificités : les attaquants ne cherchent pas à prendre le contrôle du plus grand nombre possible de comptes utilisateurs ; ils visent « un ensemble d’entreprises et d’employés haut placés » dans le cadre d’une opération furtive, conduite précisément « pour éviter d’être remarqué par le fournisseur de services Cloud ». Et les attaquants ont mis à profit des « infrastructures de services d’hébergement publics ».

Selon Sandeep Chandana, les attaquants disposaient déjà de noms d’utilisateur et mots de passe de leurs cibles, « qui pourraient être liés à plusieurs services Cloud (pas nécessairement Office 365 ». Et c’est en s’appuyant sur ceux-ci qu’ils ont cherché à accéder à des comptes du service de Microsoft, en multipliant les tentatives de permutations et de combinaisons autour des nom et prénom des cibles, ou deux leurs possibles raccourcis. Sur un cas précis, Skyhigh aurait ainsi observé « 17 tentatives avec 17 permutations en 4 secondes, à partir de 14 adresses IP » différentes. Le mot de passe pourrait avoir été chaque fois le même car « les tentatives ont visé chaque permutation exactement une fois ». Et le spécialiste du CASB d’estimer que les attaquants misent là sur la réutilisation des mots de passe et l’absence de recours à l’authentification par facteurs multiples.

Skyhigh explique avoir découvert l’opération après son moteur de protection contre les menaces eut « détecté un motif anormal et une forte corrélation entre différents facteurs ». Ce moteur est notamment conçu pour repérer de « multiples variantes d’attaques en force brute ». Et alors que « plus d’anomalies sont apparues », affectant un nombre croissant d’utilisateurs, une menace a été déclarée.

Microsoft lui-même pourrait avoir détecté la menace. D’autant plus qu’il dispose d’un service de CASB, Cloud App Security, lancé début 2016, et fruit du rachat de la technologie d’Adallom en juillet 2015. Mais l’éditeur n’a pas évoqué le sujet. A noter, Tim Springston, de Microsoft, se penchait, en janvier, sur la manière dont les capacités d’audit des services de fédération d’identité d’Active Directory (ADFS) peuvent aider à déceler les tentatives d’attaque en force brute.

Pour l’heure, Skyhigh indique ne pas avoir connaissance de tentatives réussies sur ses clients. Mais Sandeep Chandana relève qu’une telle opération peut également servir de point de départ à une opération de hameçonnage ciblé : dans le cadre d’une infrastructure SSO, « lorsqu’un nom d’utilisateur légitime est saisi, l’utilisateur est dirigé vers une passerelle fédérée, même si le mot de passe est erroné. Mais la réponse est différente avec un nom d’utilisateur faux ». De quoi trouver le bon identifiant.

Déjà, à l’occasion du piratage de Bercy en 2011, nous évoquions le risque de telles attaques, basées sur la reconstruction d’adresses e-mail de cibles à partir d’organigrammes publiquement accessibles en ligne.