IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le nombre d'utilisateurs de Microsoft 365 augmente rapidement, les risques liés à son utilisation aussi
Par Damien Frey, Country Manager France, chez Varonis

Le , par Damien Frey

491PARTAGES

3  0 
Microsoft 365 est l’épine dorsale de plus d’un million d’entreprises. Cette suite logicielle est devenue un outil de base pour le monde du travail, largement utilisée à travers le monde. On l’utilise pour la gestion quotidienne d’éléments aussi essentiels que la messagerie ou le partage de documents.

Il n’est pas exagéré de dire que Microsoft 365 a largement participé au bon fonctionnement des entreprises durant la pandémie. À ce titre, sa base d’utilisateurs a connu une croissance trimestrielle de 15 à 20 % au cours de l’année dernière. Plus de 250 millions d’utilisateurs se servent désormais chaque mois de sa solution de chat Teams.

Ces chiffres sont attrayant mais dans le même temps une réalité émerge : les fonctionnalités qui ont fait de 365 un pilier de la bureautique sont également attrayantes pour les cybercriminels. Les organisations qui s’appuient sur cette suite doivent disposer d’un haut degré de visibilité pour empêcher les acteurs de la menace d’accéder à des informations sensibles.


Damien Frey

Accessibilité et exploitation

La clé du succès de Microsoft 365, en particulier dans un monde post-COVID, est son accessibilité. Il est extrêmement facile, même pour les novices en informatique, de partager leurs documents avec leurs collègues par courrier électronique ou via Teams et de collaborer sur des documents partagés. Les utilisateurs peuvent également facilement partager des ressources avec des partenaires et des clients extérieurs à l’entreprise en utilisant des contrôles d’accès simples.

Cette simplicité d’usage participe grandement d’une collaboration simplifiée entre collègues dispersés travaillant de plus en plus à distance. Et cela est très positif.

Mais cela exacerbe également les difficultés liées à la gestion des autorisations et à la protection des fichiers sensibles. Car le but est d’éviter qu’ils ne tombent entre de mauvaises mains. Depuis plus de deux décennies, l’accès aux fichiers est régi de la même manière. Un fichier ou un dossier est créé, puis un groupe Active Directory (AD) correspondant est créé pour y accéder. Les utilisateurs sont ensuite déposés dans le groupe AD pour y avoir accès.

Cette approche crée plusieurs problèmes de sécurité. Par exemple, les dossiers créés sont souvent ouverts par défaut à tous les membres du domaine, ce qui signifie que les acteurs de menaces externes et les initiés malveillants peuvent y accéder avec n’importe quel niveau d’autorisation. De même, plusieurs groupes peuvent avoir accès au même dossier, ce qui donne lieu à une liste labyrinthique d’autorisations extrêmement difficiles à suivre et à gérer.

Microsoft 365 exacerbe ces problèmes en facilitant le partage de l’accès avec des individus et des groupes, y compris des invités extérieurs au réseau. Il met également les utilisateurs aux commandes, en leur permettant de définir les autorisations pour les fichiers et les dossiers – un problème potentiellement grave s’ils ne fixent aucune limite.

Si un utilisateur crée un dossier SharePoint sans aucune autorisation et qu’il envoie ensuite un lien par mail à un contact extérieur à l’entreprise, alors toute personne qui voit le lien est désormais invitée à accéder au dossier et à tout son contenu. Si aucun contrôle n’est mis en place, l’organisation n’aura absolument aucune idée de la manière dont ce lien est utilisé.

Microsoft a récemment fait état d’une campagne de phishing particulièrement astucieuse qui usurpait des adresses d’expéditeur d’affichage, y compris des noms d’utilisateur cibles, pour passer à travers les filtres de messagerie et tromper les utilisateurs.

À moins que l’organisation n’ait mis en place des contrôles d’accès stricts, un compte 365 compromis permettra à l’attaquant d’accéder à toute une série de fichiers. Un adversaire peut également exploiter la messagerie et Teams pour cibler des utilisateurs à l’intérieur et à l’extérieur de l’organisation afin d’intensifier son attaque et contourner les contrôles de sécurité.

Pourquoi les macros sont-elles si dangereuses ?

L’usage des macros est un des exemples les plus courants de la façon dont les fonctionnalités de 365 peuvent être utilisées pour contourner les contrôles de sécurité des points de terminaison. Ces macros sont légitimement utiles pour effectuer rapidement des tâches répétitives. Or, les attaquants peuvent également exploiter la puissance des macros pour se connecter à des sites distants, télécharger des paquets supplémentaires ou même manipuler le code pour accéder à des outils comme PowerShell.

Les programmes Microsoft tels que Word et Excel mettent les utilisateurs en garde contre ce risque et leur demandent de cliquer sur le bouton « Activer le contenu » en haut du document avant de pouvoir activer les macros. Cependant, les utilisateurs risquent de cliquer sans réfléchir sur cette case jaune familière, surtout si le document semble provenir d’une source fiable.

Dans une récente campagne d’attaque, les acteurs de la menace ont utilisé des tactiques de phishing pour envoyer à leurs victimes un document Word qui déclenchait une chaîne d’événements exécutés par des macros, aboutissant à l’exécution du cheval de Troie bancaire Zloader.

Il n’est pas rare que les tactiques macro soient utilisées pour diffuser et exécuter une grande variété de codes malveillants sans que cela ne vienne déclencher les défenses habituelles de la sécurité du courrier électronique. Les ransomwares sont une autre option d’attaque de plus en plus populaire, en particulier la nouvelle tendance des ransomwares « Big Game », très ciblés et associés à l’exfiltration de données.


Comment les entreprises peuvent-elles assurer la sécurité de Microsoft 365 ?

La mise en œuvre d’un principe de moindre privilège est l’une des mesures les plus directes qu’une organisation puisse prendre immédiatement. Ainsi, tous les utilisateurs ne pourront accéder qu’aux fichiers et applications nécessaires à leur fonction, ce qui contribuera à réduire considérablement les possibilités d’action d’un acteur menaçant avec un compte compromis.

La classification automatisée peut être utilisée pour identifier les fichiers sensibles sur le réseau et mettre en évidence les utilisateurs et les groupes qui peuvent y accéder. Les organisations doivent être particulièrement vigilantes à l’égard des ressources auxquelles un trop grand nombre de personnes peuvent accéder, car beaucoup d’entre elles auront probablement hérité des autorisations de leurs dossiers d’origine.

Il est également important de s’assurer que la sécurité du courrier électronique est au bon niveau. Alors que les adversaires développent continuellement de nouvelles techniques d’attaque pour contourner les contrôles, les organisations doivent être sûres que leurs défenses s’attaqueront à la majeure partie des attaques de phishing entrantes. Elles doivent notamment être en mesure d’identifier les signes courants d’hameçonnage, tels que des identifiants d’expéditeur mal assortis, qui indiquent une usurpation d’identité. Le niveau de connaissance des employés est également important, car même s’il ne faut pas compter sur les collaborateurs pour repérer seul les mails trompeurs, le risque est réduit si chacun s’applique à suivre les politiques et les processus relatifs au partage de l’accès et au clic sur les liens.

Enfin, lorsque l’inévitable se produit, les organisations doivent être prêtes à identifier rapidement et à atténuer une attaque en cours. Pour ce faire, elles doivent notamment être en mesure de surveiller l’activité du système de fichiers sur le réseau et d’identifier les activités inhabituelles et inattendues associées aux ransomwares et autres actions malveillantes. À l’aide de PowerShell, il est possible de désactiver automatiquement un compte et d’arrêter une machine pour stopper immédiatement l’attaque.

Microsoft 365 est profondément ancré dans le tissu des organisations du monde entier et ne peut que gagner en valeur en facilitant la collaboration entre employés travaillant à distance. Mais toute entreprise qui fait usage de ses outils doit être consciente du risque causé par les acteurs de la menace. Il est alors indispensable de disposer d’une stratégie défensive à plusieurs niveaux pour se prémunir contre l’exploitation d’outils familiers.

Et vous ?

Votre organisation a-t-elle déjà été victime d'attaques par le biais de Microsoft 365 ?
Que pensez-vous des mesures de protection proposées pour sécuriser Microsoft 365 ?
Sont-elles déjà mises en place au sein de votre entreprise ?

Voir aussi :

71 % des utilisateurs d'Office 365 subissent des détournements de comptes malveillants, en moyenne sept fois au cours de l'année dernière, d'après une nouvelle étude de Vectra AI

La DINUM estime que Microsoft 365 n'est pas conforme à la stratégie « Cloud au centre » de l'État Français, dans une circulaire adressée aux secrétaires généraux des ministères

Microsoft 365 sera doté d'expériences d'intelligence artificielle intégrées en mode natif, qui prédisent, recherchent et suggèrent les informations

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de TotoParis
Membre expérimenté https://www.developpez.com
Le 14/02/2022 à 16:34
En effet, c'est réellement étonnant
0  0