Une vulnérabilité critique dans un outil de sécurité de Microsoft permettant de simuler des attaques d’hameçonnage a facilité des attaques réelles. La correction de cette vulnérabilité a pris près d’un an.
La formation du personnel est un élément important de la cybersécurité. Il existe donc toutes sortes d’outils qui permettent de tester et de perfectionner les réflexes des employés sans conséquences potentiellement irréversibles pour l’entreprise. Avec la formation à la simulation d’attaque (« Attack simulation training »), Microsoft dispose également d’un outil dans son offre 365 qui peut être utilisé pour envoyer des e-mails d’hameçonnage aux employés via Outlook. Heureusement, ils ne sont pas réels, mais une vulnérabilité dans l’outil aurait pu changer la donne.
Début 2023, l’expert néerlandais en cybersécurité Vaisha Bernard, qui travaille chez Eye Security, a découvert quelque chose d’étrange dans l’outil. Il a testé l’outil et a découvert un modèle qui te redirige vers une page web qui imite Atlassian Confluence. Bernard a enregistré la page à son nom.
Domaines non enregistrés
À peine quelques jours plus tard, Bernard a reçu des demandes d’accès de personnes du monde entier à la page enregistrée à son nom. Ces demandes ont révélé deux problèmes majeurs dans l’outil de simulation d’hameçonnage. Les modèles contenaient des liens vers des pages et des domaines non enregistrés, et les adresses e-mail utilisées par Microsoft pour les simulations d’hameçonnage étaient également liées à des domaines non enregistrés.
Bernard a immédiatement informé Microsoft de sa découverte. Pour seulement dix dollars, il était possible d’enregistrer les domaines, même par des personnes mal intentionnées. Autrement dit, la vulnérabilité a permis d’utiliser le simulateur d’hameçonnage pour mener des attaques d’hameçonnage. C’est exactement le contraire de son but. Il y aura toujours des gens qui cliqueront sur un lien. Au final, le problème n’a été complètement corrigé qu’au début du mois de novembre.
Tout est bien qui finit bien
Dans une réponse à BNR Nieuwsradio où Bernard a déjà partagé son histoire, Microsoft a souligné qu’il n’y avait aucune preuve d’abus par des personnes malintentionnées. Cependant, si un criminel avait découvert la vulnérabilité plus tôt que Bernard, potentiellement des milliers de personnes auraient pu être exposées à des attaques d’hameçonnage.
Selon l’expert néerlandais, on peut tirer une leçon très claire de cet incident. Dans une optique plus large, il montre que les mesures préventives – telles que la formation de sensibilisation, la sécurité des points finaux et du cloud – ne sont que la première ligne de défense. Il faut assumer qu’on sera piraté, alors veillez à détecter rapidement les cyberattaques et à y répondre adéquatement.