Une nouvelle menace plane sur vos environnements de travail. Et c'est le FBI qui tire la sonnette d'alarme concernant un outil redoutable capable de pirater les comptes Microsoft 365, et ce, même si vous utilisez la double authentification.

Concrètement, de quoi parle-t-on ?

Vendu sur Telegram pour 250 € / mois

Depuis le mois d'avril dernier, une plateforme nommée Kali365 fait des ravages dans les entreprises européennes. C'est un service vendu sur Telegram pour seulement deux cent cinquante dollars par mois. Et à ce prix dérisoire, n'importe quel cybercriminel achète une solution clé en main pour lancer des campagnes de hameçonnage ultra perfectionnées.

Et en ce moment, des centaines de comptes sont compromis chaque jour.

Concrètement, les pirates ciblent en priorité les profils professionnels liés à la paie et à la comptabilité. En clair, le pirate peut accéder librement aux boîtes de réception, aux fichiers partagés sur OneDrive et aux conversations confidentielles sur Teams de votre direction financière.

Kali365 contourne la double authentification

Mais attention, la véritable rupture technologique de cette attaque réside dans sa méthode. Jusqu'ici, on pensait que la fameuse double authentification (MFA), c'est à dire le fait de valider sa connexion avec un code sur son téléphone, était une barrière infranchissable.

Et bien Kali365 contourne complètement cet obstacle. L'outil capture ce que l'on appelle le token de session.

Pour ce faire, les pirates vous envoient un mail très crédible avec un lien vers une vraie page Microsoft. Vous entrez votre code de sécurité en pensant bien faire. Et c'est ce geste précis qui leur livre le laissez-passer.

Le premier rempart reste l'humain

Alors, comment protéger efficacement vos infrastructures face à cette nouvelle technique de piratage ?

Le premier rempart reste l'humain. Il faut marteler un réflexe vital à tous vos collaborateurs. Si vous recevez un code de vérification Microsoft sans avoir initié de connexion, ne cliquez surtout pas et signalez le message.

De plus, il faut exiger la vérification systématique de l'adresse internet. Elle doit impérativement commencer par login point microsoftonline point com.

Le FBI recommande aussi vivement de déployer des politiques d'accès conditionnelles.

Ce dispositif vérifie l'appareil utilisé, croise la localisation géographique et analyse le comportement de connexion avant d'accorder l'accès.

C'est aujourd'hui la seule parade technique véritablement robuste contre le vol de session.

Le ZD Tech est sur toutes les plateformes de podcast ! Abonnez-vous !

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.