(Crédit image : Getty Images)
Si vous utilisez régulièrement Microsoft Outlook, Teams ou Microsoft 365, une nouvelle arnaque fait le tour et mérite votre attention, notamment parce qu’elle ne ressemble pas à l’attaque de phishing typique que les gens sont habitués à repérer.
Le FBI a récemment averti que les cybercriminels utilisaient une approche plus sophistiquée pour inciter les gens à confier l’accès à leurs comptes Microsoft. Et contrairement aux anciennes escroqueries remplies de faux sites Web, de fautes d’orthographe ou de liens suspects, celle-ci peut paraître étonnamment légitime à première vue.
Les experts en sécurité affirment que l’arnaque se propage parce qu’elle est plus facile à lancer pour les cybercriminels et plus difficile à reconnaître sur le moment pour les utilisateurs ordinaires. Même les personnes qui utilisent l’authentification multifacteur (MFA) peuvent être vulnérables si elles sont amenées à approuver une demande de connexion qu’elles n’ont pas initiée.
Voici comment fonctionne cette arnaque, pourquoi elle est différente des attaques de phishing traditionnelles et ce que les utilisateurs de Microsoft peuvent faire pour mieux se protéger.
Comment fonctionne l’arnaque Microsoft Kali365
L’attaque utilise quelque chose appelé « phishing par code d’appareil », ce qui semble technique mais est en réalité assez simple une fois que vous comprenez comment cela fonctionne.
Le système de connexion par code d’appareil de Microsoft est une fonctionnalité légitime conçue pour les appareils tels que les téléviseurs intelligents ou les appareils de streaming qui ne disposent pas de claviers simples. Au lieu de saisir un mot de passe directement sur l’appareil, les utilisateurs reçoivent un code court à saisir sur une page de connexion Microsoft à partir d’un autre appareil. Les fraudeurs exploitent désormais ce processus.
Selon le FBI, l’arnaque commence généralement par un e-mail ou un message Teams prétendant provenir d’un service de confiance comme SharePoint, OneDrive, Microsoft Teams ou une autre plateforme de partage de documents. Le message crée souvent une urgence en prétendant que vous devez ouvrir un dossier, examiner un document ou répondre rapidement à une demande.
La victime est ensuite invitée à visiter une véritable page de connexion Microsoft et à saisir le code de l’appareil fourni.
Étant donné que le site Web lui-même est légitime, de nombreuses personnes supposent que la demande est sécurisée. Mais la saisie de ce code autorise en réalité l’appareil de l’attaquant à accéder au compte. Une fois que la victime a terminé le processus d’authentification, le pirate informatique peut capturer des jetons de compte qui permettent un accès continu à Outlook, Teams, OneDrive et d’autres services Microsoft 365.
Pourquoi cette attaque de phishing est plus difficile à repérer
(Crédit image : Getty Images)
La plupart des gens apprennent à surveiller les signaux d’alarme liés au phishing, tels que les faux sites Web, les noms d’entreprises mal orthographiés ou les URL suspectes. Cette attaque évite bon nombre de ces signes avant-coureurs, car la page de connexion Microsoft elle-même est réelle. Cela signifie que quelqu’un pourrait toujours être victime même s’il vérifie soigneusement l’adresse Web.
Au lieu de cela, les escrocs s’appuient largement sur des tactiques d’urgence et d’usurpation d’identité. Les messages peuvent sembler provenir de collègues, de clients ou de services familiers vous demandant de consulter rapidement un fichier ou d’effectuer une étape de connexion.
Les experts en cybersécurité affirment que ce changement reflète l’évolution des escroqueries par phishing. Plutôt que de voler directement les mots de passe, les attaquants tentent de plus en plus de voler des sessions authentifiées ou des jetons d’accès qui leur permettent de rester connectés sans déclencher à plusieurs reprises des vérifications de mot de passe ou MFA.
Les pirates peuvent-ils vraiment contourner la MFA ?
D’une certaine manière, oui, mais pas parce que le MFA lui-même est défectueux. Le FBI affirme que les attaquants ne parviennent pas techniquement à vaincre l’authentification multifacteur. Au lieu de cela, les victimes approuvent elles-mêmes, sans le savoir, la connexion via le processus légitime de Microsoft.
C’est une distinction importante car l’authentification multifacteur reste l’une des meilleures protections disponibles et ne doit pas être désactivée.
Cependant, cette arnaque montre que la MFA seule ne suffit plus si les utilisateurs sont amenés à approuver des demandes d’accès non autorisées.
Les experts en sécurité recommandent toujours d’utiliser des applications d’authentification au lieu de la vérification des SMS lorsque cela est possible, car l’authentification multifacteur basée sur les applications offre généralement une protection plus renforcée contre d’autres types d’attaques de phishing.
Ne désactivez pas l’authentification multifacteur (MFA)
Cette arnaque ne détruit pas la MFA : elle incite les utilisateurs à approuver l’accès. MFA reste l’une des défenses les plus solides contre la compromission des comptes.
Signes que votre compte Microsoft peut être compromis
L’un des défis des attaques basées sur des jetons est que les pirates peuvent parfois maintenir l’accès sans changer immédiatement votre mot de passe.
Néanmoins, il existe quelques signes avant-coureurs qui pourraient indiquer que quelqu’un a accédé à votre compte :
- Demandes d’approbation MFA ou invites de connexion inattendues
- Alertes de connexion provenant d’appareils ou d’emplacements inconnus
- E-mails envoyés depuis votre compte Outlook que vous n’avez pas envoyés
- Règles de boîte de réception étranges, e-mails supprimés ou messages manquants
- Notifications de réinitialisation de mot de passe que vous n’avez pas demandées
- Activités ou messages Teams inhabituels
- Nouvelles applications connectées ou autorisations que vous ne reconnaissez pas
Le FBI prévient également que les attaquants peuvent maintenir un accès persistant jusqu’à ce que les sessions ou les jetons suspects soient révoqués manuellement.
Comment protéger vos comptes Outlook et Microsoft 365
(Crédit image : Getty Images)
Alors que les fraudeurs continuent de trouver de nouvelles façons de cibler les utilisateurs, quelques habitudes peuvent réduire considérablement vos risques.
Ne saisissez jamais de code d’appareil à moins d’avoir initialisé la connexion
C’est l’un des principaux enseignements de l’avertissement du FBI. Si vous recevez une demande inattendue vous demandant de saisir un code de périphérique Microsoft, arrêtez et vérifiez la demande indépendamment avant de continuer.
Soyez prudent avec les équipes urgentes ou les demandes par courrier électronique
Même si un message semble provenir d’une personne que vous connaissez, vérifiez les demandes inattendues concernant les connexions, les approbations d’authentification ou le partage de documents.
Examinez régulièrement les sessions actives et les applications connectées
Les comptes Microsoft permettent aux utilisateurs de consulter les appareils connectés et les applications connectées. La vérification périodique des sessions ou des autorisations d’applications inconnues peut vous aider à détecter plus tôt les activités suspectes.
Activer les alertes de sécurité
Activez les notifications de sécurité Microsoft afin de recevoir des alertes concernant les connexions suspectes, les activités inhabituelles ou les nouveaux appareils accédant à votre compte.
Utilisez des mots de passe forts et uniques et un gestionnaire de mots de passe
Même si cette attaque ne repose pas sur le vol de mots de passe, les mots de passe forts restent importants car les attaquants combinent souvent plusieurs tactiques.
Que faire si vous avez saisi un code d’appareil suspect
Si vous pensez avoir approuvé l’accès d’un fraudeur, agissez rapidement.
Le FBI recommande de prendre ces mesures immédiatement :
- Changez votre mot de passe Microsoft
- La déconnexion de toutes les sessions peut contribuer à invalider les jetons d’authentification que les attaquants peuvent utiliser pour conserver l’accès.
- Examinez et révoquez toutes les applications et autorisations connectées inconnues
- Examiner les règles de transfert de la boîte de réception pour détecter les modifications non autorisées
- Exécutez des analyses antivirus ou de sécurité sur vos appareils
- Contactez le service informatique de votre employeur s’il s’agit d’un compte professionnel
- Surveiller les comptes financiers et personnels pour détecter toute activité suspecte
Vous pouvez également signaler les tentatives de phishing ou les activités suspectes au Centre de plaintes contre la criminalité sur Internet (IC3) du FBI et via les outils de reporting de sécurité de Microsoft.
Les cybercriminels utilisent souvent des informations accessibles au public pour rendre les attaques de phishing plus convaincantes. Les services de suppression des courtiers de données tels qu’Incogni et DeleteMe peuvent aider à réduire la quantité d’informations personnelles disponibles en ligne, notamment les adresses, les numéros de téléphone et les relations familiales.
Bien que ces services ne suppriment pas l’accès d’un pirate informatique à un compte Microsoft compromis ni n’arrêtent une attaque de phishing déjà en cours, ils peuvent contribuer à réduire la quantité d’informations personnelles que les criminels peuvent utiliser pour usurper l’identité de contacts de confiance ou créer des escroqueries ciblées.
Même si les fraudeurs évoluent dans leurs tactiques, la sensibilisation reste l’une des défenses les plus efficaces. Comprendre le fonctionnement du phishing par code d’appareil peut vous aider à reconnaître les demandes de connexion suspectes et à éviter d’accorder l’accès aux attaquants, même lorsque la page de connexion Microsoft elle-même est légitime.
