Compromission de mails

Dernière mise à jour : 24/07/2020

Les factures, les ordres de paiement, les contrats… Tous ces documents qui ne passionnent personne et que personne n’a envie de voir, sauf les comptables, on croit en effet que cela n’intéresse personne. Ben si. Surtout quand ils sont échangés par mail.

Business Email Compromise

Pour reprendre un acronyme marketing en vogue à l’époque de l’écriture de ce billet, le Business Email Compromise a le vent en poupe. En gros, des attaquants cherchent à récupérer les documents échangés par mail professionnel, dans le but de s’en servir dans des scénarios d’attaque, comme par exemple se faire passer pour un débiteur auquel une entreprise doit de l’argent. Les infos ainsi récupérées servent à crédibiliser le scénario, sachant que le contexte d’un impayé est généralement anxiogène, ce qui conduit souvent à une baisse de vigilance.

ProofPoint, en présentant sa solution, explique assez bien le contexte et les grandes mesures à prendre.

Pour les attaques BEC, ils préconisent :

  • Blocage des mails provenant de domaines notoirement connus pour être compromis ;
  • Analyse du contenu du mail mais aussi des en-têtes (headers), avec of course un peu de machine learning ;
  • Création d’une politique d’authentification des mails ;
  • Suppression complète des mails douteux des boîtes mails ;
  • Affichage du statut d’authentification (pour les fournisseurs, les partenaires, la chaîne d’approvisionnement) ;
  • Et bien sûr l’information et la sensibilisation des utilisateurs.

Vendor Email Compromise

Autre scénario, encore moins technique : envoyer des mails usurpant les fournisseurs habituels, via de l’ingénierie sociale. Le Vendor Email Compromise peut prendre la forme du fraude au changement de RIB mais aussi l’envoi de factures bidons aux clients de l’entreprise attaquée…

Email Account Compromise

Autre acronyme utilisé pour caractériser les menaces par mail. On parle ici de la compromission d’un compte personnel, et là les seuls indicateurs de compromission qu’on peut regarder sont le comportement de l’utilisateur du compte, ou l’indication extérieure de compromission (mot de passe ou adresse mail dans une liste de compromission connue, par exemple).

Pour cela, ProofPoint préconise :

  • Identifier les personnes les plus attaquées (Very Attacked People) ;
  • Surveiller les tentatives de brute force et les comportements suspects sur les services cloud (connus de l’entreprise ?) ;
  • Réinitialiser les mots de passe dès détection d’une compromission ;
  • N’autoriser que la lecture seule pour la navigation sur des sites web douteux (?) ;
  • Evaluer la vulnérabilité des utilisateurs à ces attaques (par des tests, je suppose).

Sources