Cybersécurité

Microsoft Teams, La nouvelle Cible des Cybercriminels

18 Septembre 2023

Microsoft Teams est devenu un pilier de la communication et de la collaboration en milieu professionnel, permettant aux équipes de travailler ensemble efficacement, que ce soit au bureau ou à distance. Cependant, comme toute technologie populaire, Microsoft Teams n’est pas à l’abri des vulnérabilités et des menaces de sécurité. Microsoft a publié dernièrement un rapport concernant des cyberattaques menées contre Microsoft Team en exploitant l’ingénierie sociale pour tromper les utilisateurs et distribuer des logiciels malveillants.

L’une de ces vulnérabilités, surnommée « Midnight Blizzard, » mérite une attention particulière. Dans cet article, nous explorerons ce phénomène et comment vous pouvez protéger votre entreprise.

Comment fonctionne ce nouveau type d’attaque?

Ces nouvelles méthodes d’attaque contre Microsoft Teams visent à tromper la vigilance des utilisateurs et à contourner les mécanismes de protection mis en place dans votre organisation Azure ou Microsoft 365.

Les acteurs malveillants utilisent des comptes compromis provenant d’entreprises pour lancer leurs attaques. En modifiant le nom et le domaine des comptes compromis, ils se font passer pour un service de Microsoft tel que, « Microsoft Identity Protection » afin de tromper la vigilance des utilisateurs.  Une demande de communication est ensuite acheminée à l’utilisateur, s’il accepte, l’attaquant tente ensuite de le convaincre à entrer un code dans l’application Authenticator dans le but de contourner l’authentification Multifacteurs (MFA).

 

Étape 1: 

Une demande de communication externe est acheminée en utilisant un pseudonyme de confiance, dans cet exemple la demande semble provenir du Service de Protection des Identités Microsoft. Un utilisateur peut se faire tromper par l’apparence légitime de cette demande s’il ne porte pas attention aux indicateurs en rouge sur cette image.

Étape 2:

Si l’utilisateur accepte la conversation, l’attaquant tentera d’obtenir accès au compte en contournant les méthodes d’Authenfication Multifacteurs (MFA).  Pour y arriver, l’attaquant a simplement besoin de faire entrer un code dans l’application Microsoft Authenticator de l’utilisateur visé, ce qui lui permettra d’obtenir le contrôle total du compte Microsoft de l’utilisateur.

Pour leurrer l’utilisateur, un message s’affiche laissant croire à de récentes modifications aux méthodes d’authentification à son compte et qu’il doit confirmer son identité.

Les fonctions incluses dans Microsoft Teams pour vous protéger

  • Demande explicite : les utilisateurs finaux ne voient pas les messages à moins qu’ils ne cliquent pour les prévisualiser, les utilisateurs se voient rappeler les risques du chat externe et sont invités à accepter ou à bloquer explicitement la demande de message.
  • Identificateur externe : visible à la fois dans la liste de discussion et dans l’en-tête de la discussion.
  • Contrôles anti-spam : avant une « acceptation » explicite, chaque message envoyé par un compte personnel Teams est soumis à des contrôles anti-spam au moment de l’exécution. Si du spam est détecté, le message de discussion n’est pas envoyé.
  • Sécurité de l’utilisateur : pour aider à protéger l’utilisateur, Microsoft affiche uniquement le nom et l’adresse e-mail, mais aucun autre identifiant comme les photos de profil.

La majorité de ces mesures permettent aux utilisateurs de détecter via certains critères la validité d’une conversation Teams. Qu’en est-il pour les incidents non décelés ou simplement non déclarés par les utilisateurs?

Utiliser Microsoft Intune et Microsoft Sentinel peut renforcer considérablement la sécurité de votre environnement Teams, SharePoint et Azure. Voici les avantages de ces solutions:

Microsoft Intune :

Gestion des appareils : Intune vous permet de gérer les appareils utilisés pour accéder à Teams. Vous pouvez appliquer des politiques de sécurité aux appareils pour garantir qu’ils sont conformes aux normes de sécurité. Seuls les appareils autorisés ont accès à vos données.

Contrôle d’accès : Utilisez Intune pour configurer des politiques de contrôle d’accès, notamment la gestion des droits d’accès aux données et aux applications sur les appareils.  Réduisez la surface d’attaque en limitant les zones géographiques ayant accès à vos données.

Configuration des applications : Vous pouvez configurer des politiques de configuration des applications Teams pour définir des paramètres de sécurité spécifiques, tels que l’authentification Multifacteurs (MFA) pour Teams et Azure.

Sécurisation des données : Intune vous permet de chiffrer les données sur les appareils pour empêcher leur accès non autorisé.

Gestion des mises à jour : Assurez-vous que les appareils utilisés pour accéder à Teams sont toujours à jour avec les derniers correctifs de sécurité en configurant des politiques de gestion des mises à jour.

Microsoft Sentinel :

Surveillance avancée : Microsoft Sentinel est une solution de gestion des événements de sécurité (SIEM) qui vous permet de surveiller en temps réel les activités de votre environnement Teams, Azure et Office 365. Microsoft Sentinel vous permet de détecter les menaces potentielles, d’alerter vos équipes de sécurité et de déclencher automatiquement des mesures de protection en fonction du type de menace.

Détection des menaces : Configurez des règles de détection des menaces dans Sentinel pour surveiller les comportements suspects, les activités de connexion anormales et les indicateurs de compromission liés à Teams, Azure et Office365 .

Réponse aux incidents : Créez des workflows automatisés dans Sentinel pour répondre rapidement aux incidents de sécurité liés à Teams, Azure et Office365, telle que la mise en quarantaine d’un utilisateur compromis.

Intégration avec Teams : Microsoft Sentinel peut être intégré avec Teams, Azure et Office365 pour collecter des journaux d’activité et d’autres données de sécurité. Cela permet une surveillance complète de votre environnement infonuagique Microsoft.

Rapports de sécurité : Utilisez Sentinel pour générer des rapports de sécurité personnalisés et pour maintenir une vue d’ensemble de la sécurité de votre environnement Teams, Azure et Office365.

La combinaison de Microsoft Intune et de Microsoft Sentinel permet d’assurer une gestion et une surveillance approfondie de votre solution infonuagique Microsoft, renforçant ainsi la sécurité globale de la plateforme. Il est essentiel de configurer ces services de manière adéquate, de suivre de près les activités et d’intervenir promptement face à toute menace potentielle afin de préserver la sécurité de vos données.

Notre équipe certifiée Azure Cybersécurité peut vous aider à identifier les risques actuels de votre environnement infonuagique Azure et à implanter des solutions adaptées à vos besoins afin de sécuriser vos solutions Microsoft Azure, SharePoint, Teams et Office365.