La fonctionnalité Direct Send de Microsoft 365, censée faciliter l’envoi d’emails par des périphériques internes comme des imprimantes et des scanners, est devenue un terrain de jeu pour les cybercriminels. Selon une analyse récente effectuée par Varonis, des attaquants exploitent une vulnérabilité de cette fonctionnalité pour envoyer des emails de phishing sans nécessiter d’authentification préalable ni compromission de comptes utilisateurs. Ces attaques ont déjà touché plus de 70 entreprises, principalement aux États-Unis.
Comment ça fonctionne ?
Les attaquants profitent d’une configuration inappropriée de Direct Send, qui leur permet de masquer leur identité en utilisant des adresses email internes valides au sein de l’entreprise ciblée. Ce mécanisme leur permet d’envoyer des courriels qui semblent authentiques, souvent déguisés en notifications de messagerie vocale accompagnées de fichiers PDF. Ces fichiers peuvent inclure des QR codes redirigeant vers des sites frauduleux visant à subtiliser les identifiants Microsoft des victimes.
Des messages peu détectables
Une des raisons pour lesquelles ces emails passent inaperçus est qu’ils sont traités comme des messages internes, échappant ainsi à de nombreux filtres de sécurité. Cela pose un défi majeur pour la cybersécurité, car beaucoup d’organisations laissent leurs paramètres de sécurité par défaut ou ne restreignent pas suffisamment les droits d’envoi, rendant la manipulation relativement simple.
Préventions à mettre en œuvre
Pour contrer ces menaces, Varonis recommande plusieurs mesures :
- Vérification des en-têtes des messages pour détecter des adresses IP externes ou des failures d’authentification.
- Activation des options de rejet explicite pour Direct Send dans le centre d’administration Exchange.
- Renforcement des politiques d’authentification, notamment avec des configurations SPF, DKIM et DMARC strictes.
- Sensibilisation des utilisateurs aux attaques par QR code, alias « quishing ».
La société Microsoft a annoncé qu’elle envisageait de désactiver par défaut la fonctionnalité Direct Send à l’avenir. Étant donné la facilité avec laquelle les cybercriminels exploitent ces failles, il est essentiel pour les entreprises de rester vigilantes et d’adapter continuellement leurs pratiques de sécurité.
Conclusion
La situation actuelle démontre un dilemme entre la simplicité d’utilisation et la sécurité des systèmes de messagerie. Alors que Direct Send est conçu pour améliorer l’efficacité, il expose également les entreprises à des risques croissants. La vigilance et des mesures de sécurité appropriées sont donc plus importantes que jamais pour protéger les données sensibles.
Pour plus d’informations, vous pouvez consulter l’article complet sur Le Monde Informatique.
