Ce que vous apprendrez dans cet article
- Le piratage d'un compte de messagerie consiste en un accès non autorisé à une boîte mail réelle, et non pas simplement en l'envoi d'un message usurpé.
- Les pirates parviennent souvent à s'introduire dans les systèmes par le biais Phishing, du « password spraying », malware, de procédures de récupération de mot de passe peu sécurisées ou d'identifiants volés.
- Un compte de messagerie piraté peut être utilisé à des fins de fraude, de Phishing interne, de surveillance, de vol d'identifiants et de divulgation de données.
- L'EAC et business email compromise sont liés, mais ce ne sont pas la même chose.
- Une sécurité accrue de la messagerie électronique repose sur des contrôles à plusieurs niveaux, la visibilité des boîtes aux lettres, la détection des anomalies et une réponse rapide aux incidents.
On parle de « compromission d'un compte de messagerie » lorsqu'un pirate parvient à accéder sans autorisation à une boîte mail légitime et commence à l' r comme plateforme fiable à des fins de surveillance, de fraude ou d'autres activités malveillantes. Cela le distingue d'un simple problème de spam de type « » ou d'un e-mail suspect isolé.
Dès qu'un véritable compte de Business Email est piraté, le pirate s'empare de la confiance accordée à ce compte, de l'historique des messages et du contexte de communication, éléments qui peuvent être utilisés à l'encontre de l'organisation. Pour les équipes d'entreprise, la compromission des e-mails marque souvent le début d'un incident bien plus .
Qu'est-ce que la compromission d'un compte de messagerie (EAC) ?
Le piratage d'un compte de messagerie consiste en un accès non autorisé à un compte de messagerie légitime. Au lieu de se faire passer pour l'utilisateur depuis l'extérieur, le pirate se trouve à l'intérieur de la véritable boîte mail et tire parti de la confiance qui y est associée.
Les pirates peuvent accéder aux comptes de messagerie de plusieurs façons. Certaines méthodes reposent sur la tromperie, tandis que d’autres exploitent de manière la faiblesse des identifiants ou des mesures de protection des comptes. Parmi les méthodes courantes, on peut citer :
- Phishing emails : inciter un employé à saisir ses identifiants de connexion sur une fausse page.
- Demandes d'autorisation malveillantes : elles consistent à demander à l'utilisateur d'autoriser l'accès d'un pirate par le biais d'une demande frauduleuse ou inattendue.
- Identifiants volés : réutiliser les noms d'utilisateur et mots de passe obtenus lors de failles de sécurité antérieures ou sur des marchés illicites.
- Attaque par « password spraying » : tester des mots de passe courants sur un grand nombre de comptes afin de repérer les points d'accès vulnérables.
- Malware : ils permettent de récupérer des identifiants, des données de session ou d'accéder à une boîte mail via un système infecté.
- Mots de passe réutilisés : ils facilitent l'accès des pirates à un compte de messagerie à l'aide d'identifiants déjà compromis ailleurs.
- Procédures de réinitialisation ou de récupération des mots de passe insuffisantes : elles offrent aux pirates une autre voie d'accès à la boîte mail lorsque les étapes de récupération ne sont pas suffisamment sécurisées.
Pourquoi une vraie boîte aux lettres est-elle si dangereuse ?
Le danger s'accroît dès lors que le pirate s'est introduit dans une boîte aux lettres réelle. À ce stade, ils n'utilisent plus une fausse identité , mais un compte légitime qui bénéficie déjà d'une certaine confiance et d'un contexte professionnel. Une véritable boîte mail, telle que , prend en compte la réputation de l'expéditeur, le contexte interne et l'historique des échanges précédents. Les messages envoyés depuis ce compte ont plus de chances d'être ouverts, considérés comme fiables et de donner lieu à une réaction.
Pourquoi l'EAC est-elle importante pour les entreprises ?
Pour les grandes entreprises, la compromission d'un compte de messagerie ne se résume pas à un simple problème de boîte de réception. Cela peut rapidement se transformer en un problème plus vaste d' , de fraude, de confiance et de risque opérationnel à l'échelle de l'entreprise.
Cela peut entraîner la falsification de factures, la divulgation d'informations sensibles, du Phishing en interne, des fraudes financières ou une cybermenace plus étendue de type « » affectant d'autres systèmes et utilisateurs. Le véritable risque réside dans la légitimité de la boîte mail elle-même, car un compte piraté peut paraître normal à première vue.
Comment se déroule le piratage d'un compte de messagerie ?
La compromission d'un compte de messagerie commence généralement par un vol d'identifiants, mais le chemin menant à cette compromission peut varier. Certaines attaques sont directes et rapides. D'autres sont plus discrètes et se révèlent progressivement.
Phishing
A Phishing attack est l'un des moyens les plus courants de compromettre un système. L'attaquant envoie un message convaincant destiné à dérober les identifiants de connexion d' , à déclencher une autorisation de connexion malveillante ou à rediriger l'utilisateur vers une fausse page de connexion. Le Phishing s'appuyant sur la confiance et le sentiment d'urgence, il reste l'un des moyens les plus efficaces dont disposent les cybercriminels pour s'introduire dans l'environnement de Business Email.
Détournement de la chaîne d'approvisionnement
Les pirates peuvent également s'introduire dans le système par l'intermédiaire d'un fournisseur, d'un partenaire ou d'un système tiers compromis. Lorsqu'une relation de confiance avec une entité externe est déjà établie, des activités malveillantes peuvent se fondre dans les échanges de Business Email existants. C'est l'une des raisons pour lesquelles il peut être difficile de détecter à un stade précoce les abus au sein de la chaîne d'approvisionne .
Vol d'identifiants
Une compromission peut également se produire par le biais d'identifiants obtenus ailleurs. Les pirates peuvent réutiliser des identifiants et des mots de passe obtenus lors de failles de sécurité antérieures, via des logiciels de vol d'informations ou sur des marchés clandestins. Si un utilisateur réutilise les mêmes mots de passe sur plusieurs services d' , le risque augmente considérablement.
Attaque par « password spraying »
Dans le cadre d'une attaque par « password spraying » de type « », le pirate teste des mots de passe courants sur de nombreux comptes, au lieu de cibler un seul compte avec de nombreuses tentatives. Cette permet d'éviter les blocages tout en identifiant les points d'accès vulnérables. Cette méthode s'avère particulièrement efficace lorsque les organisations n'appliquent pas une politique stricte en matière de mots de passe.
malware
Malware présent sur un terminal infecté peut intercepter des identifiants, des jetons de session ou d'autres informations permettant d'accéder à l' de la boîte aux lettres. Dans certains cas, les pirates n'ont même plus besoin du mot de passe s'ils parviennent à détourner une session active.
Faibles débits de récupération
Certains pirates s'attaquent aux mécanismes de réinitialisation et de récupération des mots de passe plutôt qu'à la boîte mail elle-même. Si les questions de récupération, la réinitialisation des autorisations via ou les vérifications d'identité présentent des failles, le compte peut être piraté sans passer par une attaque de phishing classique.
Accéder à
Une fois qu'ils ont obtenu l'accès, les pirates passent souvent un certain temps à observer la situation avant de passer à l'action. Ils peuvent surveiller les conversations, examiner les fils de discussion relatifs aux paiements sur , rechercher des informations confidentielles ou analyser le processus de validation. Ils peuvent également créer ou modifier des règles de la boîte de réception d' , modifier les paramètres de transfert, masquer les e-mails manquants ou envoyer des messages à partir de ce compte.
Comme l'attaquant utilise une véritable boîte mail, ses messages frauduleux peuvent paraître bien plus convaincants. Un e-mail frauduleux envoyé depuis une boîte mail piratée peut faire référence à un compte bancaire réel, à une transaction financière effective ou à un fil de discussion existant concernant un fournisseur sur . C'est pourquoi chaque attaque peut rapidement passer d'une simple surveillance discrète à une fraude active.
EAC contre BEC
La compromission d'un compte de messagerie et le business email compromise sont étroitement liées, mais ces deux notions ne sont pas interchangeables. En distinguant clairement l' , on évite tout chevauchement avec les escroqueries BEC plus générales et on aide les responsables de la sécurité à se concentrer sur les mesures de contrôle appropriées.
L'EAC fait référence à la compromission d'une boîte aux lettres réelle. Les attaques de type « Business Email Compromise » (BEC) sont de plus en plus répandues. Cela inclut les Business Email trompeurs utilisés à des fins frauduleuses, même lorsque le pirate n'a jamais accès à une véritable boîte mail. Un e-mail de type BEC ( ) peut provenir d' une usurpation d'adresse (), d'une usurpation d'identité ou d'un domaine similaire. L'EAC, en revanche, commence par un accès réel à la boîte aux lettres.
Voici en quoi elles diffèrent :
|
Aspect |
EAC |
BEC |
|
Point de départ |
Tout commence par une boîte mail piratée. |
Cela peut commencer par une usurpation d'identité, une simulation d'identité ou une boîte mail réellement piratée. |
|
But de l'attaquant |
Cela favorise souvent la surveillance, le vol d'identifiants, la fraude ou, plus généralement, des abus à long terme. |
Cela porte généralement sur une tromperie visant à obtenir de l'argent, des données ou une action. |
|
Signes courants |
Des règles de boîte de réception inhabituelles, des modifications au niveau du transfert de messages, des connexions anormales ou des messages envoyés de manière inattendue. |
Demandes de paiement urgentes, fausses factures, modifications de la paie ou demandes de cartes-cadeaux. |
|
Zoom sur les défenseurs |
Nécessite la visibilité sur les boîtes aux lettres, la détection des anomalies, des contrôles d'authentification et des mesures de réponse au sein du compte . |
Cela nécessite des mesures de protection contre l'usurpation d'identité, la protection du domaine et des processus de vérification plus rigoureux. |
Les pirates n'ont pas toujours besoin d'une boîte mail piratée pour mener une fraude au président ou une escroquerie liée aux paiements. Les escrocs pratiquant l'arnaque BEC parviennent toujours à atteindre leur but grâce à des messages falsifiés. Mais lorsque l'EAC est impliqué, l'attaquant dispose d'un contexte bien plus large et d'un niveau de confiance bien plus élevé sur lesquels s'appuyer.
Quels sont les signes indiquant qu'un compte de messagerie a été piraté ?
Il peut être difficile de détecter rapidement le piratage d'un compte de messagerie, car l'activité provient souvent d'un compte réel présentant un historique réel . Le blocage traditionnel ne suffit pas toujours à lui seul ; c'est pourquoi les équipes de sécurité ont souvent besoin d'une meilleure visibilité sur le comportement d' s et le contexte de leurs communications.
Réinitialisations inattendues du mot de passe
Des demandes de réinitialisation non planifiées peuvent indiquer qu'un pirate tente de prendre le contrôle de la boîte aux lettres ou d'entraver les étapes de la procédure de récupération . Même si l'accès n'est pas encore entièrement établi, cela peut constituer un premier signe indiquant que le compte est pris pour cible.
Messages suspects envoyés
L'utilisateur peut découvrir des messages qu'il n'a jamais envoyés, notamment des demandes liées à des modifications de la paie, à des paiements de fournisseurs ou à des mises à jour des coordonnées banc s. Comme ces messages proviennent d'un compte de messagerie légitime, les destinataires sont susceptibles d'accorder davantage de confiance à .
Règles de la boîte de réception inconnues
Les pirates créent souvent des règles qui masquent, redirigent ou surveillent discrètement les messages. Cela leur permet de rester plus longtemps connectés au compte , tout en réduisant le risque que l'utilisateur se rende compte que quelque chose ne va pas.
Lieux de connexion inhabituels
Un accès depuis des emplacements qui ne correspondent pas aux habitudes de l'utilisateur peut constituer un indicateur fort d'une intrusion. En soi , cela ne confirme pas nécessairement une activité malveillante, mais cela devient plus préoccupant lorsqu'il est associé à d'autres comportements inhabituels.
Accès à partir d'appareils inhabituels
Une connexion effectuée à partir d'un appareil que l'utilisateur n'a jamais utilisé peut indiquer un accès non autorisé. Cela revêt une importance particulière lorsque l'appareil ne correspond pas aux habitudes de travail habituelles de l'utilisateur ni aux terminaux connus.
Modifications concernant le transfert de courrier
Les attaquants peuvent mettre en place un système de redirection afin de capturer des copies de messages sensibles ou de conserver une visibilité s'ils perdent leur accès direct à l' . Ces modifications peuvent leur permettre de continuer à surveiller la boîte mail même après la découverte de la première intrusion.
Messages supprimés ou manquants
Des e-mails manquants ou des conversations supprimées peuvent indiquer une tentative de dissimulation d'activités frauduleuses ou d'effacement de preuves. Dans certains cas , les pirates suppriment des messages afin d'entraver la communication entre l'utilisateur et l'équipe de sécurité.
Conversations externes inhabituelles
Les équipes de sécurité pourraient détecter des communications suspectes adressées à des clients, des fournisseurs ou des partenaires et provenant de la boîte mail piratée. Cela peut notamment inclure le détournement de paiements, des demandes d'informations personnelles ou des tentatives visant à poursuivre une campagne plus large d' Phishing.
Le problème, c'est qu'un compte de messagerie piraté semble toujours légitime à première vue. Elle s'appuie sur l'expéditeur approprié, l'historique pertinent de l' , ainsi que le contexte métier adéquat ; c'est pourquoi les responsables de la sécurité ont souvent besoin de mesures allant au-delà du simple blocage des expéditeurs.
Comment les organisations peuvent se prémunir contre le piratage des comptes de messagerie
Pour se prémunir contre le piratage des comptes de messagerie, il est nécessaire de mettre en place une protection multicouche des Business Email. Une seule mesure de contrôle ne suffira pas à résoudre le problème, car les attaquants peuvent cibler les personnes, les identifiants, les sessions et les flux de travail de différentes manières.
Renforcer l'accès et l'authentification
Pour réduire le nombre de comptes de messagerie piratés, il faut avant tout rendre les identifiants volés moins utiles. L'authentification multifactorielle ajoute un niveau de sécurité supplémentaire, tandis que des contrôles plus stricts en matière de mots de passe contribuent à réduire le risque d'utilisation d'identifiants faibles ou réutilisés.
Les organisations doivent également sécuriser les procédures de réinitialisation des mots de passe et de récupération de compte, car les pirates peuvent les cibler lorsque les tentatives de connexion directes à échouent. La surveillance des anomalies de connexion apporte une protection supplémentaire en signalant les accès inhabituels provenant d' s, d'appareils ou de schémas de comportement inconnus.
Améliorer la visibilité, la réactivité et la protection des utilisateurs
Une fois l'accès obtenu, le prochain défi consiste à détecter les utilisations abusives avant qu'elles ne se transforment en une fraude à grande échelle ou en une fuite de données d'. Les pirates s'appuient souvent sur une activité de messagerie d'apparence normale pour passer inaperçus tout en étendant leur champ d'action.
- Détection des messages suspects : permet d'identifier plus tôt les activités frauduleuses ou anormales liées aux e-mails.
- Surveillance des boîtes de messagerie : permet de détecter les modifications et les comportements susceptibles d'indiquer une intrusion ou une utilisation abusive.
- Mesures de protection contre le phishing : réduisez le risque que le phishing permette d'accéder à une boîte mail.
-
Mesures d'intervention plus rapides : la coupure de session ou les réinitialisations forcées peuvent permettre de contenir rapidement les abus dès lors qu'une intrusion est confirmée.
Mimecast soutient ce type de défense en aidant les organisations à améliorer leur visibilité sur les comportements anormaux liés aux e-mails, les risques d'usurpation d' et les menaces ciblant les personnes. Cela est important car une protection efficace des Business Email ne repose pas seulement sur le blocage des e-mails suspects, mais aussi sur la capacité à détecter lorsqu’une boîte mail légitime commence à présenter un comportement suspect.
Le rôle de la compromission des comptes de messagerie dans la sécurité des entreprises
La compromission d'un compte de messagerie constitue une menace importante à prendre en compte, car elle peut rapidement dépasser le simple cadre d'un problème lié à la boîte de réception. Une single boîte mail compromise au sein d' peut exposer des informations sensibles, donner lieu à des fraudes par abus de confiance, déclencher des attaques de Phishing internes ou favoriser la survenue d'incidents de sécurité à plus grande échelle au sein de l'organisation. Cela peut avoir des répercussions à la fois sur les paiements aux fournisseurs, la communication avec les clients et l'accès de l' à des informations contextuelles précieuses pour l'entreprise.
Pour les responsables de la sécurité des entreprises, l'EAC constitue un risque pour l'activité, et pas seulement un problème lié à la messagerie électronique. Une détection plus efficace, une maîtrise plus rapide, une meilleure authentification et une visibilité accrue sur les boîtes de réception peuvent contribuer à empêcher qu’un compte compromis ne se transforme en un incident de violation de données ( ) de plus grande ampleur. Mimecast aide les entreprises à réduire les intrusions par e-mail, à améliorer leur capacité de réaction et à limiter l'impact de l' t de l'utilisation frauduleuse de comptes de confiance.