Que faire lorsqu’un compte Office 365 est compromis ?

Tous les accès dans Office 365, qu’il s’agisse de votre boîte aux lettres, OneDrive, SharePoint ou Teams, sont contrôlés via l’UPN des utilisateurs ou le nom d’utilisateur principal et leur mot de passe. Le mot de passe peut être défini au niveau du cloud à l’aide d’Azure Active Directory, ou si le locataire est dans un scénario hybride, il peut provenir d’un contrôleur de domaine Active Directory interne. Si ces deux informations sont compromises, un attaquant peut causer un tort irréparable, non seulement au compte des utilisateurs, mais également en fonction de leurs autorisations, à l’organisation.

Une attaque courante que nous avons tous vue est l’envoi de courriels en masse aux utilisateurs internes et externes, en utilisant un compte compromis. C’est ce qu’on appelle l’exfiltration des données. Un autre peut être de définir une politique de stockage et de transfert sur la boîte aux lettres compromise pour envoyer tous les e-mails à un tiers.

Alors, comment savoir si un compte Office 365 a été compromis?

Microsoft a répertorié les symptômes suivants qui sont des signes de comportement compromis:

  • Activité suspecte, comme les e-mails manquants ou supprimés.
  • D’autres utilisateurs peuvent recevoir des e-mails du compte compromis sans que l’e-mail correspondant n’existe dans le dossier Éléments envoyés de l’expéditeur.
  • La présence de règles de boîte de réception qui n’ont pas été créées par l’utilisateur prévu ou l’administrateur. Ces règles peuvent transférer automatiquement les e-mails vers des adresses inconnues ou les déplacer vers les dossiers Notes, Courrier indésirable ou Abonnements RSS.
  • Le nom d’affichage de l’utilisateur peut être modifié dans la liste d’adresses globale.
  • La boîte aux lettres de l’utilisateur ne peut pas envoyer d’e-mails.
  • Les dossiers Éléments envoyés ou supprimés dans Microsoft Outlook ou Outlook sur le Web (anciennement Outlook Web App) contiennent des messages de compte piratés courants, tels que «Je suis bloqué à Londres, envoie de l’argent».
  • Les modifications inhabituelles du profil, telles que le nom, le numéro de téléphone ou le code postal ont été mises à jour.
  • Des modifications inhabituelles des informations d’identification, telles que plusieurs modifications de mot de passe, sont requises.
  • Le transfert de courrier a été récemment ajouté.
  • Une signature inhabituelle a récemment été ajoutée, comme une fausse signature bancaire ou une signature de médicament sur ordonnance.

Si l’un de ces symptômes est détecté, vous devez effectuer les actions suivantes

1. Réinitialiser le mot de passe de l’utilisateur

Demandez à un administrateur global de se connecter au Centre d’administration Microsoft 365 et réinitialisez le mot de passe de l’utilisateur.
Confirmez que des mots de passe forts sont requis sur le compte d’utilisateur.
Demandez à l’utilisateur de créer un nouveau mot de passe unique qui n’a pas été utilisé auparavant.

2. Supprimer les transferts de mail

  • Demandez à un administrateur global de se connecter au Centre d’administration Exchange Online.
  • Accédez à Destinataires> Boîtes aux lettres.
  • Localisez l’utilisateur en question et double-cliquez sur son compte.
    Cliquez sur Fonctionnalités de boîte aux lettres.
  • Faites défiler vers le bas jusqu’à Flux de messagerie et cliquez sur Afficher les détails sous Options de livraison.
  • Retirez le transfert et cliquez sur OK.

Si vous souhaitez supprimer le transfert via PowerShell, vous pouvez le faire à l’aide de la commande suivante:

Set-Mailbox -Identity “user@contoso.com” -ForwardingSMTPAddress $ null

3. Supprimer les règles de boîte de réception suspectes

  • Demandez à l’utilisateur ou à un administrateur global disposant des autorisations complètes de se connecter à la boîte aux lettres dans Outlook Web Mail.
  • Cliquez sur l’icône d’engrenage en haut à droite et cliquez sur Afficher tous les paramètres Outlook.
  • Cliquez sur Courrier dans le volet gauche.
  • Cliquez sur Règles et passez en revue les règles actuellement définies.
  • Si des règles semblent suspectes, cliquez sur le bouton de la corbeille pour les supprimer.

Si vous souhaitez supprimer toutes les règles de boîte de réception d’un compte d’utilisateur via PowerShell, vous pouvez le faire à l’aide des commandes suivantes:

Découvrez les règles de la boîte de réception:

Get-InboxRule -Mailbox user@contoso.com

Supprimer toutes les règles de boîte de réception:

Get-InboxRule -Mailbox user@contoso.com | Remove-InboxRule

4. Débloquer le compte utilisateur

Si le compte compromis a été utilisé pour envoyer des messages en masse à des destinataires internes ou externes, il est très probable que Microsoft ait reconnu ce comportement et empêché le compte de pouvoir envoyer des messages sortants. Après avoir suivi les étapes décrites ci-dessus, veuillez effectuer les opérations suivantes:

  • Demandez à un administrateur global de se connecter au Centre d’administration Exchange Online.
  • Cliquez sur Protection dans le volet gauche.
  • Cliquez sur Action Center.
  • Si le compte des utilisateurs a été bloqué, il sera répertorié sur cette page. Cliquez sur le compte des utilisateurs.
  • Cliquez sur le bouton Débloquer.

Cela pourrait prendre au moins une heure pour reproduire ce changement. Si l’utilisateur n’est pas en mesure d’envoyer un e-mail immédiatement, il s’agit d’un comportement normal. Microsoft le déplace également vers le Centre de sécurité et de conformité sous la page Utilisateurs restreints. Ainsi, cette action peut également y être effectuée.

5. Activer l’authentification multifacteur

L’authentification multifacteur permet une sécurité supplémentaire pour se connecter à un compte Office 365. Une deuxième couche d’authentification serait requise de la part de l’utilisateur pour se connecter à l’un des services Office 365 à sa disposition. Cela peut être fait via une application d’authentification sur leur appareil mobile, une messagerie texte, un appel téléphonique ou un e-mail vers un compte personnel.

6. Activer l’audit des boîtes aux lettres

#Update: En janvier 2019, Microsoft a annoncé que toutes les boîtes aux lettres de leur service Office 365 auraient activé l’audit des boîtes aux lettres par défaut, car jusqu’à ce moment-là, c’était une option désactivée lors de la création de la boîte aux lettres. Depuis la publication de cet article, Microsoft n’a pas confirmé qu’il a été déployé sur tous les clients et boîtes aux lettres Office 365.

Pour activer l’audit des boîtes aux lettres, cela doit être fait à l’aide des commandes PowerShell suivantes:

Pour activer pour tous les utilisateurs

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq “UserMailbox”} | Set-Mailbox -AuditEnabled $ true

Pour activer pour un seul utilisateur

Set-Mailbox -Identity user@contoso.com -AuditEnabled $ true

Un commentaire sur “Que faire lorsqu’un compte Office 365 est compromis ?

Ajouter un commentaire

  1. Ping: Quelle est la différence entre la Protection d’Identité Azure Active Directory (AIP) et l’accès conditionnel (Azure AC) ? – Oghma Information

Laisser un commentaire

Propulsé par WordPress.com.

Retour en haut ↑