Le nombre d’utilisateurs de Microsoft 365 augmente rapidement. Les risques liés à son utilisation aussi ! Damien Frey, Varonis

Microsoft 365 est l’épine dorsale de plus d’un million d’entreprises. Cette suite logicielle est devenue un outil incontournable pour le monde de l’entreprise, largement utilisé dans le monde entier. Il est utilisé pour la gestion quotidienne des éléments essentiels tels que la messagerie ou le partage de documents.

Il n’est pas exagéré de dire que Microsoft 365 a grandement contribué au bon fonctionnement des entreprises pendant la pandémie. Par conséquent, sa base d’utilisateurs a augmenté de 15 à 20 % par trimestre au cours de la dernière année. Plus de 250 millions d’utilisateurs utilisent désormais sa solution de chat Teams chaque mois.

Ces chiffres sont tentants mais en même temps une réalité se dessine : les fonctionnalités qui ont fait de 365 un pilier de la bureautique sont également attractives pour les cybercriminels. Les organisations qui s’appuient sur cette suite ont besoin d’un degré élevé de visibilité pour empêcher les menaces d’accéder aux informations sensibles.

Accessibilité et exploitation

La clé du succès de Microsoft 365, en particulier dans un monde post-COVID, est son accessibilité. Il est extrêmement facile, même pour les débutants en informatique, de partager leurs documents avec leurs collègues par e-mail ou via Teams et de collaborer sur des documents partagés. Les utilisateurs peuvent également partager facilement des ressources avec des partenaires et des clients extérieurs à l’entreprise à l’aide de simples contrôles d’accès.

Cette facilité d’utilisation contribue grandement à une collaboration simplifiée entre collègues dispersés et de plus en plus en télétravail. Et c’est très positif.

Mais cela exacerbe également les défis de la gestion des autorisations et de la protection des fichiers sensibles. Car le but est de les empêcher de tomber entre de mauvaises mains. Depuis plus de deux décennies, l’accès aux fichiers est réglementé de la même manière. Un fichier ou un dossier est créé, puis un groupe Active Directory (AD) correspondant est créé pour y accéder. Les utilisateurs sont ensuite glissés dans le groupe AD pour y accéder.

Cette approche crée plusieurs problèmes de sécurité. Par exemple, les dossiers créés sont souvent ouverts par défaut à tous les membres du domaine, ce qui signifie que les acteurs externes de la menace et les utilisateurs malveillants peuvent y accéder avec n’importe quel niveau d’autorisation. De même, plusieurs groupes peuvent avoir accès au même dossier, ce qui entraîne une liste labyrinthique d’autorisations extrêmement difficiles à suivre et à gérer.

Microsoft 365 exacerbe ces problèmes en facilitant le partage d’accès avec des individus et des groupes, y compris des invités en dehors du réseau. Il donne également aux utilisateurs le contrôle en leur permettant de définir des autorisations pour les fichiers et les dossiers – un problème potentiellement grave s’ils ne définissent aucune limite.

Si un utilisateur crée un dossier SharePoint sans aucune autorisation, puis envoie un lien par courrier électronique à un contact extérieur à l’entreprise, toute personne qui voit le lien est désormais invitée à accéder au dossier et à tout son contenu. S’il n’y a aucun contrôle, votre organisation n’aura absolument aucune idée de la façon dont ce lien est utilisé.

Microsoft a récemment signalé une campagne de phishing particulièrement astucieuse qui usurpait les adresses d’expéditeur affichées, y compris les noms d’utilisateur cibles, pour passer par les filtres de messagerie et tromper les utilisateurs.

À moins que l’organisation ne dispose de contrôles d’accès stricts, un compte 365 compromis permettra à l’attaquant d’accéder à une variété de fichiers. Un adversaire peut également tirer parti de la messagerie et des équipes pour cibler les utilisateurs à l’intérieur et à l’extérieur de l’organisation afin d’intensifier leur attaque et de contourner les contrôles de sécurité.

Pourquoi les macros sont-elles si dangereuses ?

L’utilisation de macros est l’un des exemples les plus courants de la façon dont les fonctionnalités de 365 peuvent être utilisées pour contourner les contrôles de sécurité des points de terminaison. Ces macros sont légitimement utiles pour effectuer rapidement des tâches répétitives. Cependant, les attaquants peuvent également tirer parti de la puissance des macros pour se connecter à des sites distants, télécharger des packages supplémentaires ou même manipuler du code pour accéder à des outils tels que PowerShell.

Les programmes Microsoft tels que Word et Excel avertissent les utilisateurs de ce risque et les obligent à cliquer sur le bouton « Activer le contenu » en haut du document avant de pouvoir activer les macros. Cependant, les utilisateurs sont susceptibles de cliquer sur cette case jaune familière sans réfléchir, surtout si le document semble provenir d’une source fiable.

Lors d’une récente campagne d’attaques, des acteurs malveillants ont utilisé des tactiques de phishing pour envoyer à leurs victimes un document Word qui a déclenché une chaîne d’événements macro-exécutés, aboutissant à l’exécution du cheval de Troie bancaire Zloader. .

Il n’est pas rare que des macros tactiques soient utilisées pour distribuer et exécuter une grande variété de codes malveillants sans activer les défenses normales de sécurité des e-mails. Les ransomwares sont une autre option d’attaque de plus en plus populaire, notamment la nouvelle tendance des ransomwares « big game », qui sont très ciblés et associés à l’infiltration de données.

Comment les entreprises peuvent-elles assurer la sécurité de Microsoft 365 ?

La mise en œuvre du principe du moindre privilège est l’une des actions les plus directes qu’une organisation puisse entreprendre immédiatement. Par conséquent, tous les utilisateurs ne pourront accéder qu’aux fichiers et applications nécessaires à leur fonction, ce qui réduira considérablement les possibilités d’action pour un acteur menaçant avec un compte compromis.

La classification automatisée peut être utilisée pour identifier les fichiers sensibles sur le réseau et mettre en évidence les utilisateurs et les groupes qui peuvent y accéder. Les organisations doivent porter une attention particulière aux ressources auxquelles trop de personnes peuvent accéder, car beaucoup d’entre elles auront probablement hérité des autorisations de leurs dossiers d’origine.

Il est également important de vous assurer que la sécurité de votre messagerie est au bon niveau. Alors que les adversaires développent continuellement de nouvelles techniques d’attaque pour contourner les contrôles, les entreprises doivent être sûres que leurs défenses feront face à la majorité des attaques de phishing entrantes. En particulier, ils doivent être en mesure d’identifier les signes courants d’hameçonnage, tels que les identifiants d’expéditeur incompatibles, qui indiquent le vol d’identité. Le niveau de connaissance des employés est également important, car même si vous ne devez pas compter sur les employés pour détecter vous-même les e-mails trompeurs, le risque est réduit si tout le monde accepte de suivre les politiques et processus de partage d’informations.

Enfin, lorsque l’inévitable se produit, les organisations doivent être prêtes à identifier et à atténuer rapidement une attaque en cours. Cela inclut la possibilité de surveiller l’activité du système de fichiers sur le réseau et d’identifier les activités inhabituelles et inattendues associées aux ransomwares et autres actions malveillantes. En utilisant PowerShell, vous pouvez désactiver automatiquement un compte et arrêter une machine pour arrêter immédiatement l’attaque.

Microsoft 365 est profondément ancré dans le tissu des organisations du monde entier et ne peut gagner de la valeur qu’en facilitant la collaboration entre les employés qui travaillent à distance. Mais toute entreprise qui utilise ses outils doit être consciente du risque posé par les acteurs de la menace. Il est donc essentiel d’avoir une stratégie défensive à plusieurs niveaux pour se prémunir contre l’exploitation d’outils familiers.