Comment se protéger d’attaques Phising sur Office 365

Comment se protéger d’attaques Phising sur Office 365

Récemment, de nombreuses attaques de phishing ont été lancées contre des comptes Office 365 (Microsoft 365 en général). Cet article très intéressant décrit l’attaque.

Pour éviter ce type d’attaque, il est vivement recommandé d’activer la vérification en deux étapes, également appelée authentification à double facteur ou double authentification. Dans cet article, nous expliquerons comment activer cette protection dans Office 365.

Attaque de type Phishing

Le phishing est une usurpation d’identité. L’attaque consiste à inciter l’utilisateur à révéler des informations personnelles (numéro de carte bancaire, mot de passe, etc.) en envoyant des e-mails frauduleux ou en le dirigeant vers un fausse page Web, ce qui semble authentique.

Lors des attaques de comptes Office 365 qui nous ont été signalés, les emails ont un format qui attire l’attention. Ils sont donc assez faciles à détecter, même si les emails n’ont pas été identifiés en tant que SPAM :

Microsoft Office 365 phising email

Par contre, la page sur laquelle vous envoient les emails ressemble énormément à celle de Microsoft :

Microsoft Office 365 Phising Page

De plus, l’URL a un format qui semble légitime : ou

Il est alors très facile pour un utilisateur de tomber dans le piège.

Au secours, nous avons été attaqués !

Si vous avez subi une attaque de phishing, vous devez d’abord stopper l’attaque, puis analyser son impact.

  1. La première chose à faire est de modifier les mots de passe de tous les utilisateurs de votre tenant Office 365. À partir de ce moment, les attaquants ne peuvent plus entrer sur votre plate-forme en utilisant le compte volé.
  2. Une fois les mots de passe mis à jour, vous devez activer la vérification en deux étapes, comme expliqué ci-dessous. Ceci afin d’éviter de futures attaques.
  3. Il faut ensuite analyser l’impact de l’attaque depuis le centre de sécurité et de conformité Microsoft 365 (Security & Compliance center)
    • identifier les comptes corrompus, analyser les registres de connexion Office 365 à partir de l’administration d’Azure Active Directory
    • identifier les types d’accès réalisés par les comptes corrompus afin de détecter un vol éventuel d’informations dans OneDrive ou SharePoint Online
    • Identifiez les fichiers téléchargés par ces utilisateurs afin de détecter d’éventuels fichiers infectés susceptibles de déclencher un autre type d’attaque dans le futur (virus, ransomware, etc.)
    • Conservez une trace des emails envoyés par les comptes corrompus, afin d’identifier les emails malveillants envoyés par ces comptes et en informer les destinataires.
    • Identifiez le ou les emails à l’origine de l’attaque, à la recherche d’adresses d’envoi suspectes.

Comment prévenir ce type d’attaque

1. Aspect humain

Comme toujours, il est très important d’informer les utilisateurs du risque qu’ils courent chaque fois qu’ils ouvrent un courrier électronique suspect. En particulier, ils devraient :

  • Savoir comment identifier l’adresse d’envoi de l’email, souvent caché dans ce type d’emails frauduleux.
  • Vérifiez si c’est la première fois que vous recevez un email de cette personne.
  • Vérifiez que le contenu de l’e-mail a un format et un style qui correspond à l’entreprise qui est censée vous l’avoir envoyé.
  • Vérifiez si le courrier électronique contient plusieurs fautes d’orthographe et s’il est écrit de manière étrange (la plupart des emails frauduleux sont écris en anglais, puis traduis automatiquement).

2. Authentification double facteur

Si un utilisateur ne suit pas les recommandations décrites ci-dessus, il est facile pour lui de tomber dans le piège. Donc, pour que l’attaque soit sans effet, vous devez activer la vérification en deux étapes.
La double authentification est une seconde vérification qui survient après que l’utilisateur a entré son mot de passe. Dans Office 365, cela s’effectue via l’une des vérifications suivantes :

  • Envoi d’un SMS à un téléphone mobile
  • Appel sur un numéro de téléphone (fixe ou mobile)
  • Notification envoyée à l’application Microsoft Authenticator (disponible pour Android et Apple)

Avec cette vérification supplémentaire, même si votre mot de passe a été volé, un attaquant ne pourra pas accéder à Office 365 sans disposer du téléphone de l’utilisateur.

Activer la vérification en deux étapes dans Office 365

Ce service est disponible sans frais supplémentaires pour tous les plans Office 365.

Pour l’activer, à partir du portail d’administration Microsoft 365, accédez au portail Azure Active Directory :

Microsoft Office 365 admin center

Dans Azure Active Directory, sélectionnez Users y Multi-Factor Authentication :

Azure Active Directory users

Sur l’écran suivant, sélectionnez tous les utilisateurs et activez l’authentification à double facteur :

Azure AD multi-factor authentication

NB: Le processus à suivre est différent si les utilisateurs d’Office 365 sont synchronisés avec Active Directory.

Pour plus d’informations, n’hésitez pas à nous contacter :

    En cochant cette case, je reconnais avoir pris connaissance et accepte les conditions décrites en bas de page
    Les données personnelles que vous fournissez en remplissant ce formulaire seront traitées par IXIT APLICACIONES INFORMATICAS SL en tant que responsable de ce site web. Le but de la collecte et du traitement des données personnelles est d'envoyer des informations sur les produits et services offerts par IXIT APLICACIONES INFORMATICAS SL. La légitimation se fait avec le consentement de l'intéressé. Vous pouvez exercer vos droits d'accès, de rectification, de limitation et de suppression des données fournies. Pour plus d'informations, consultez notre politique de confidentialité.
    Next Post Previous Post