A photograph of someone holding a smartphone with the Microsoft Teams icon on it. In the background is a slightly blurred image of the Microsoft Teams logo.

Les attaquants abusent de Microsoft Teams pour usurper l’identité du service d’assistance informatique dans le cadre d’un nouveau manuel d’intrusion dans l’entreprise.

Lucas Morel

Microsoft détaille une technique d’ingénierie sociale entre locataires qui incite les employés à accorder un accès à distance et permet une exfiltration furtive des données.

Selon une nouvelle étude de Microsoft, les attaquants exploitent de plus en plus les plateformes de collaboration d’entreprise telles que Microsoft Teams pour obtenir un accès initial, se faisant passer pour le personnel du service d’assistance informatique et persuadant les employés d’accorder le contrôle à distance.

Dans un article de blog, Microsoft a décrit une technique « d’usurpation d’identité du service d’assistance entre locataires » dans laquelle les acteurs malveillants engagent des conversations avec les employés via la fonctionnalité d’accès externe de Teams.

« Les attaquants utilisent l’ingénierie sociale pour convaincre les utilisateurs d’accorder l’accès », a déclaré Microsoft, soulignant que cette approche permet aux adversaires d’opérer au sein de canaux de communication fiables et de contourner les défenses traditionnelles contre le phishing.

Contrairement aux attaques de phishing classiques ou aux attaques basées sur des exploits, cette technique repose sur ce que Microsoft qualifie d’accès approuvé par l’utilisateur. Les victimes sont persuadées d’initier des sessions à distance, souvent à l’aide d’outils légitimes, ce qui permet de confier efficacement le contrôle aux attaquants sans déclencher de détections typiques basées sur des logiciels malveillants, indique le blog.

Passer aux applications de collaboration

Bien que cette technique puisse paraître nouvelle, les analystes affirment qu’elle reflète une évolution plutôt qu’une réinvention des méthodes d’attaque.

« De mon point de vue, il s’agit davantage d’une évolution des tactiques d’ingénierie sociale existantes que d’un changement fondamental », a déclaré Prabhjyot Kaur, analyste principal chez Everest Group. « L’objectif sous-jacent n’a pas changé. Les attaquants continuent d’exploiter la confiance et l’urgence des utilisateurs pour obtenir un accès initial. Ce qui change, c’est le canal. »

À mesure que les plateformes telles que Teams deviennent essentielles à la communication sur le lieu de travail, les attaquants suivent les utilisateurs dans ces environnements. Contrairement au courrier électronique, ces plates-formes permettent un engagement en temps réel, ce qui rend l’usurpation d’identité du personnel informatique ou du service d’assistance plus convaincante.

Kaur a déclaré que les plates-formes de collaboration permettent une interaction en temps réel, ce qui rend l’usurpation d’identité du personnel informatique ou du service d’assistance plus convaincante que le phishing par courrier électronique. « Ainsi, plutôt que de remplacer le phishing, cela élargit la surface d’attaque et rend l’ingénierie sociale plus efficace sur le plan opérationnel », a déclaré Kaur.

Offrant une vision plus précise de ce changement, Sanchit Vir Gogia, analyste en chef chez Greyhound Research, a déclaré que le changement concerne moins le canal que la manière dont les attaques se déroulent. « Le phishing demande de l’attention. Ce modèle exige la participation », a-t-il déclaré.

« Les attaquants s’insèrent dans des flux de travail légitimes et guident les utilisateurs étape par étape à travers des actions qui accordent l’accès », a ajouté Gogia, décrivant cela comme une évolution vers une « exécution guidée » plutôt que vers une simple tromperie.

Les découvertes de Microsoft font suite à des incidents antérieurs au cours desquels des attaquants ont utilisé les discussions et les appels Teams pour usurper l’identité du support informatique et lancer un accès à distance.

Le risque entre locataires augmente

La chaîne d’attaque utilise la capacité de communication entre locataires de Teams, qui permet aux utilisateurs externes d’initier des discussions avec les employés, a écrit Microsoft sur le blog.

« Le risque entre locataires est important et de nombreuses organisations le sous-estiment probablement », a déclaré Sunil Varkey, conseiller chez Beagle Security.

« Les outils de collaboration ont été conçus pour réduire les frictions, mais de nombreuses organisations ont permis cette commodité avant d’appliquer pleinement les contrôles Zero Trust », a déclaré Varkey. « L’approche durable consiste à conserver la valeur commerciale de ces plateformes tout en traitant chaque interaction externe, demande d’assistance et approbation d’accès comme quelque chose qui doit être vérifié, limité et surveillé. »

Il a comparé le risque à une faille de sécurité physique. Permettre à quiconque d’entrer dans un hall ne devrait pas signifier qu’il peut accompagner les employés dans des zones restreintes et demander l’accès.

Kaur a ajouté que de nombreuses entreprises considèrent encore les plateformes de collaboration principalement comme des outils de productivité plutôt que comme une partie de leur surface d’attaque. « L’accès entre locataires est nécessaire pour les entreprises, mais il introduit une frontière de confiance qui est souvent mal comprise ou étroitement contrôlée », a-t-elle déclaré.

Gogia a déclaré que le problème réside dans la manière dont la confiance est appliquée dans les environnements modernes. « Les acteurs externes peuvent désormais initier des interactions au sein d’environnements que les employés associent à la coordination interne », a-t-il déclaré, ajoutant que cela crée un « faux sentiment de sécurité ».

La détection devient plus difficile

Microsoft a déclaré que les attaquants utilisent des outils d’administration légitimes et des utilitaires d’accès à distance après avoir accédé au système, ce qui rend l’activité plus difficile à distinguer des opérations normales.

Étant donné que les attaquants utilisent des outils légitimes et des flux de travail approuvés, « très peu de choses semblent ouvertement malveillantes isolément », a déclaré Kaur. « Ces attaques se fondent dans les opérations informatiques normales. »

Microsoft a également noté que les attaquants s’appuient sur des outils d’administration natifs et des utilitaires de transfert de données légitimes pour se déplacer latéralement et exfiltrer les données tout en apparaissant comme une activité de routine.

Cela déplace l’attention vers la détection comportementale. « Les équipes de sécurité devraient donner la priorité à la détection des séquences d’activité », a déclaré Kaur, soulignant des modèles tels qu’une interaction externe non sollicitée des équipes suivie d’une activité d’assistance à distance et d’un mouvement latéral.

Gogia a déclaré que cela nécessite un changement dans l’approche de détection. « Ces attaques ne reposent pas sur des exploits. Elles reposent sur une séquence », a-t-il déclaré. « Chaque action individuelle semble légitime. Le compromis n’émerge que lorsque ces actions sont liées. »

Varkey a ajouté que les défenseurs doivent aller au-delà des indicateurs traditionnels. « Étant donné que ces attaques reposent sur des outils légitimes et des actions approuvées par les utilisateurs, les équipes de sécurité doivent se concentrer sur le contexte et le comportement, et pas seulement sur les logiciels malveillants », a-t-il déclaré.

Des contrôles plus stricts sont nécessaires

Pour réduire les risques, les experts affirment que les organisations ont besoin d’une gouvernance plus forte sur les environnements de collaboration.

« Les plates-formes de collaboration sont souvent configurées d’abord pour la commodité, avec un chat externe, des appels, un partage d’écran et une assistance à distance faciles, sans vraiment considérer la manière dont ces fonctionnalités peuvent être utilisées ensemble », a déclaré Varkey.

Kaur a souligné la nécessité d’une visibilité intégrée. « Les défenses les plus efficaces viendront de l’intégration de la collaboration, de l’identité, des points finaux et de la visibilité du SOC plutôt que de les traiter comme des couches distinctes », a-t-elle déclaré.

Les mesures recommandées incluent le renforcement des contrôles d’accès externes, la limitation des outils d’assistance à distance aux flux de travail approuvés, l’application d’un accès conditionnel et d’une authentification multifacteur et la sensibilisation des utilisateurs à la manière dont les interactions légitimes d’assistance informatique se produisent, a écrit Microsoft.

SécuritéIngénierie socialeCybercriminalité

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Malware
Plus de fausses extensions liées à GlassWorm trouvées sur le marché du code Open VSX
Business Conference Presentation: Visionary Startup CEO Presents New Product, Does Motivational Talk Science, Lecture, Technology, Entrepreneurship, Development, Leadership. Background with Code.
Ce que les RSSI doivent faire à l’heure où l’identité entre dans l’ère agentique
Poznan, Poland – April 14, 2025: Close-up of Cursor app icon on the macOS dock, showcasing a modern code editor enhanced with AI features for developers
Un bug critique du curseur pourrait transformer la routine Git en RCE