Le portail Microsoft 365 Admin utilisé pour envoyer des e-mails de sextorsion : quand la sécurité devient complice involontaire
microsoft-abused-portal
Il semblerait que même les meilleurs outils de sécurité aient parfois leurs failles. Le portail Microsoft 365 Admin est récemment devenu la nouvelle arme des cybercriminels, qui l’utilisent pour envoyer des e-mails de sextorsion, rendant les messages presque dignes de confiance et permettant ainsi de contourner les plateformes de sécurité des e-mails.
Un schéma classique : le chantage par sextorsion
microsoft-abused-portal-00
Pour ceux qui n’ont pas encore été confrontés à cette arnaque, la sextorsion consiste à vous faire croire que votre ordinateur ou votre smartphone a été piraté. Les cybercriminels prétendent avoir des vidéos compromettantes de vous et menacent de les partager avec votre entourage. Pour éviter cela, ils vous demandent un paiement en Bitcoin, qui peut varier entre 500 et 5 000 dollars. Évidemment, la plupart de ces affirmations sont fausses, mais cela n’empêche pas certains de tomber dans le piège.
Depuis 2018, ces arnaques ont rapporté beaucoup d’argent aux escrocs, générant plus de 50 000 dollars par semaine à leur apogée. Et malgré l’amélioration des filtres anti-spam, ces attaques n’ont pas totalement disparu. Les variantes d’extorsion incluent même des menaces plus « créatives », comme des photos de votre domicile ou des accusations d’infidélité.
L'astuce : exploiter le portail Microsoft 365 Admin
microsoft-abused-portal-01
La vraie nouveauté cette fois-ci, c’est que ces e-mails de sextorsion arrivent directement dans votre boîte de réception, sans être capturés par les filtres anti-spam. Comment ? Les cybercriminels ont trouvé le moyen de détourner le Microsoft 365 Admin Portal pour envoyer ces messages via le centre de messages de Microsoft.
Ces e-mails proviennent de l’adresse officielle o365mc@microsoft.com, utilisée légitimement par Microsoft pour envoyer des notifications sur les changements de services ou les nouvelles fonctionnalités. Cela rend les messages encore plus crédibles, puisqu’ils viennent apparemment de Microsoft lui-même.
Le modus operandi des cybercriminels
microsoft-abused-portal-02
Le portail Microsoft 365 Admin dispose d’une option de « partage » qui permet d’envoyer des avis de service à d’autres personnes, internes ou externes à l’organisation. Il est possible d’ajouter un « message personnel » qui accompagne l’avis envoyé. Les pirates abusent de cette fonctionnalité pour insérer leur message d’extorsion dans le champ « message personnel ». Ce champ est normalement limité à 1 000 caractères, mais grâce à quelques astuces techniques (comme la modification des balises HTML avec des outils de développeur), ils parviennent à contourner cette limite.
Sans vérification côté serveur de Microsoft sur la longueur du texte, les escrocs parviennent ainsi à envoyer des messages complets d’extorsion, accompagnés des notifications légitimes de Microsoft, directement dans les boîtes de réception des victimes. Et comme on pourrait s’y attendre, cela passe facilement sous les radars des systèmes de filtrage d’e-mails.
Les failles qui persistent
microsoft-abused-portal-03
Bien que cette technique soit ingénieuse, il faut noter que pour exploiter cette faille, les escrocs doivent d’abord obtenir des privilèges administrateur sur le compte Microsoft 365 ciblé. Mais, malheureusement, ce genre d’accès n’est pas si difficile à obtenir dans certains environnements mal sécurisés.
Contacté à ce sujet, Microsoft a déclaré : « Nous prenons la sécurité et la confidentialité très au sérieux. Nous enquêtons actuellement sur ces activités malveillantes et prendrons les mesures nécessaires pour protéger nos utilisateurs. » Toutefois, à l’heure actuelle, il semble que Microsoft n’ait pas encore mis en place de vérifications supplémentaires côté serveur pour empêcher ces abus.
Un conseil : ne tombez pas dans le piège
Si vous recevez l’un de ces e-mails de sextorsion, souvenez-vous qu’il ne s’agit que d’une arnaque. Ne cédez pas à la panique, ne cliquez sur aucun lien et surtout, ne payez pas la rançon demandée en Bitcoin. Supprimez simplement le message.
Avec la recrudescence des arnaques par e-mail ces dernières années, la plupart des gens savent désormais les reconnaître. Mais pour ceux qui n’en ont jamais reçu, ces messages peuvent être intimidants. C’est pourquoi il est essentiel de sensibiliser vos équipes et collaborateurs à ces arnaques, notamment dans un contexte où des outils de confiance comme Microsoft 365 peuvent être détournés pour nuire.
Conclusion
En résumé, même les grandes plateformes comme Microsoft 365 ne sont pas à l’abri des abus. Cela nous rappelle qu’il est toujours important d’être vigilant, même avec des outils que nous utilisons quotidiennement. Les cybercriminels, eux, ne dorment jamais.
