Phishing Microsoft : comment une nouvelle attaque vole vos identifiants

ParStarter Clic

Une nouvelle campagne de phishing en cours

Une nouvelle campagne de phishing exploitant une faille de sécurité menace les utilisateurs de Microsoft Outlook, Teams et OneDrive. L’attaque, signalée par l’éditeur Check Point, repose sur une technique simple et astucieuse qui détourne la manière dont les navigateurs interprètent les URL.

D’après cet article de Clubic.com, 200.000 emails de phishing ont déjà été récupérés en quelques jours, et cette campagne devrait se prolonger vu la simplicité du hack.

En se basant sur une faille de présentation des liens, les cybercriminels piègent leurs victimes en leur faisant croire qu’ils se connectent à un site de confiance. Cette méthode leur permet de récupérer des identifiants d’accès (par exemple vos accès aux services Microsoft.com) et potentiellement de compromettre l’ensemble des données d’une entreprise.

Une technique basée sur l’exploitation de l’URL

Comprendre la section « userinfo » d’une URL

Dans une adresse web, il existe une section souvent méconnue appelée « userinfo », qui se situe entre « https:// » et le symbole « @ ».

Elle permet normalement d’insérer un identifiant et un mot de passe directement dans l’URL pour se connecter à un site web. Voici un exemple d’utilisation légitime :

https://utilisateur:motdepasse@site.com

Dans ce cas, le navigateur ignore la partie « utilisateur:motdepasse » et accède directement au site « site.com ».

Un détournement simplissime pour les hackers

Les cybercriminels utilisent cette structure pour tromper l’utilisateur. Ils insèrent un faux domaine de confiance dans la section « userinfo », suivi d’un vrai domaine malveillant.

Exemple d’adresse frauduleuse :

https://microsoft.com@login.sitedupiratage.com

En lisant rapidement cette URL, un utilisateur peut croire qu’il est sur le site officiel de Microsoft. Pourtant, le navigateur va uniquement retenir le domaine « login.sitedupiratage.com » et y rediriger la victime.

Une fois sur ce site piégé, l’utilisateur est accueilli par une fausse page de connexion Microsoft, qui peut intégrer :

  • Un formulaire imitant celui de Microsoft
  • Un faux Captcha pour renforcer la crédibilité de la page
  • Des messages d’urgence (« Votre compte va être suspendu », « Vous devez confirmer votre identité »)

Si la victime saisit ses identifiants, ceux-ci sont immédiatement transmis aux cybercriminels, qui peuvent alors accéder à ses services Microsoft et compromettre ses données.

Quels risques pour votre entreprise ?

Si vos identifiants Microsoft sont compromis, les attaquants peuvent potentiellement :

  • Prendre le contrôle de votre messagerie Outlook
  • Accéder à vos fichiers sur OneDrive et SharePoint
  • Lire et envoyer des messages via Teams
  • Usurper votre identité pour attaquer vos collaborateurs ou clients

L’impact peut être catastrophique pour une entreprise, allant de la perte de données sensibles à des attaques plus larges contre son réseau interne.

Comment se protéger ?

Face à ce type de menace, il est essentiel d’adopter des bonnes pratiques de cybersécurité.

1. Vérifier les URL avant de cliquer

  • Toujours analyser une URL complète avant de cliquer
  • Se rappeler que le domaine principal est celui juste avant le premier « / » (ex: https://bonjour.vraidomaine.com/rubrique/page)
  • Passer la souris sur un lien pour voir son adresse réelle

2. Mettre en place une authentification renforcée

  • Activer l’authentification multifactorielle (MFA) pour protéger les comptes, avec une validation complétée par un SMS à usage unique, l’application Microsoft Authenticator, etc.
  • Utiliser des gestionnaires de mots de passe, qui détectent les sites frauduleux

3. Sensibiliser les collaborateurs

Avec l’aide d’un prestataire de formation ou une entreprise de cybersécurité, ou simplement en partageant du contenu d’information, vous pouvez :

  • Former les équipes aux techniques de phishing modernes
  • Expliquer les risques liés aux URL trompeuses
  • Encourager une vigilance permanente face aux e-mails suspects

4. Effectuer un audit de cybersécurité en cas de soupçon d’intrusion

De bons réflexes et des outils (plus ou moins complexes) permettent aux directeurs et administrateurs techniques d’une organisation de surveiller l’activité au quotidien. Il est possible d’avoir une vision claire de ce qui se passe sur votre réseau informatique.

Vous pouvez, avec les autorisations nécessaires et l’information préalable des collaborateurs :

  • Vérifier les connexions suspectes sur les comptes professionnels
  • Surveiller les modifications ou suppressions inhabituelles de fichiers
  • Analyser l’activité des outils collaboratifs (Teams, OneDrive, SharePoint)

Vous suspectez un piratage ?

En subtilisant des codes d’accès, des pirates peuvent mettre en place des actions plus ou moins visibles, allant de la simple visite à la suppression ou au vol de données, pour les exploiter ou les revendre. Si vous remarquez :

  • Des connexions inhabituelles sur vos comptes professionnels
  • Des fichiers qui disparaissent ou sont modifiés sans raison
  • Des collaborateurs qui signalent des anomalies sur leurs outils

Il est essentiel de réaliser un diagnostic de cybersécurité pour détecter une éventuelle intrusion.

Starter Clic vous propose l’offre d’un partenaire spécialisé, avec un diagnostic initial de cybersécurité très abordable, adapté aux TPE, PME et ETI.

Diagnostic initial de Cybersécurité : identifiez et bloquez les menaces

Installation et configuration initiale d’un antivirus / firewall (avec Bitdefender)

Publications similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *