Philip Steury - stock.adobe.com

Arnaque au président : récit d’une attaque menée en moins de 3 h

Les équipes de Microsoft viennent de détailler la chronologie d’une cyberattaque en compromission d’e-mail professionnel menée en l’espace de quelques heures seulement.

Cet article est extrait d'un de nos magazines. Téléchargez gratuitement ce numéro de : Information Sécurité: Information sécurité 26 – MFA : une option indispensable

L’acronyme n’est pas très accrocheur : BEC en anglais, pour Business Email Compromise, soit en français, compromission d’e-mail professionnel. En 2017, le Cert-IST décrivait ces attaques de la sorte : « une classe d’attaques dans laquelle des e-mails sont utilisés pour convaincre une société victime de réaliser des virements bancaires au bénéfice des attaquants ». La fameuse « arnaque au président », ou « arnaque FOVI », pour Faux Ordre de Virement International. 

Europol propose une fiche de sensibilisation au sujet. Et cela n’a probablement rien de superflu. Car selon la chronologie d’une telle attaque récemment détaillée par Microsoft, tout peut aller très vite.

Seulement quelques heures

Tout commence par un e-mail de phishing, le 5 décembre 2022. Un mois plus tard, une connexion à la messagerie de la victime est établie, en exploitant un cookie de session volé. De quoi contourner l’authentification à facteurs multiples (MFA). Deux heures durant, à partir de 14 h, l’attaquant cherche des conversations susceptibles de lui sembler intéressantes pour aller plus loin. 

À 16 h, des domaines homoglyphes sont enregistrés. De quoi usurper l’identité de l’organisation compromise et celle de l’un de ses partenaires. Cinq minutes plus tard, l’attaquant crée une règle de messagerie pour transférer les messages venant du partenaire vers un dossier « historique de conversation ». Dans la minute qui suit, un e-mail est adressé à l’organisation partenaire avec un ordre de virement. Ce courriel est immédiatement effacé de la liste des messages envoyés, juste après son envoi effectif. 

L’histoire se finit bien : les mécanismes de sécurité déployés ont détecté les actions suspectes. Le compte utilisateur compromis est désactivé à 16h27. Côté partenaire, le destinataire demande des clarifications à 17h05. Son e-mail ne parviendra jamais à l’attaquant. 

Des enseignements multiples

De toute évidence, cet exemple permet à Microsoft de mettre en avant ses solutions. Mais il illustre également l’importance de la gestion du temps – le partenaire visé n’a pas agi tout de suite ; son délai de réponse a joué un rôle non négligeable –, et de la prudence – la cible a demandé des explications. 

Cet événement souligne également l’impuissance des solutions purement techniques de sécurité de la messagerie électronique : l’e-mail de l’attaquant au partenaire de l’organisation compromise a largement de quoi passer au travers des filtres de messagerie entrante puisqu’il est envoyé depuis un compte de messagerie légitime détourné et que l’expéditeur est connu du partenaire. 

Enfin, cet exemple rappelle que, si l’authentification à facteurs multiples est tout aussi utile que nécessaire, elle n’est pas infaillible. Les cas le soulignant se multiplient à mesure que progresse l’adoption de la MFA. 

Pour approfondir sur Menaces, Ransomwares, DDoS