Evernote, nouvel outil de compromission des messageries d’entreprise

Les attaques de compromission de messagerie d’entreprise (BEC) constituent l’une des attaques les plus rapides et les plus difficiles à stopper dans le domaine de la cybersécurité.

Il existe un certain nombre de variantes mais en général, ces attaques usurpent le nom d’une personne d’une entreprise, souvent un cadre, et n’utilisent aucun malware ou lien malveillant. A noter que si certaines attaques BEC utilisent des logiciels ou liens malveillants, les plus difficiles à arrêter sont essentiellement basées sur du texte.

Ces attaques entrainent en général d’importantes pertes financières, en grande partie parce qu’elles paraissent réelles. Imaginons un utilisateur en entreprise qui reçoit un e-mail de son « PDG » lui demandant de payer une facture, ou pire de réclamer de l’argent à un client, refusera-t-il ? C’est exactement ce sur quoi comptent les pirates.

Dans cette attaque BEC, ces derniers ont fait preuve d’une grande créativité.

Dans cette attaque, les pirates utilisent des liens Evernote (logiciel permettant l’enregistrement d’informations sous forme de notes, d’images, de vidéos ou de pages web) pour héberger des factures qui sont envoyées dans le cadre d’attaques BEC.

• Vecteur: Email
• Type:  Phishing
• Techniques: Business Email Compromise
• Cible: Tout utilisateur final

Les attaques de Business Email Compromise sont difficiles à arrêter en termes de sécurité. Et difficiles à reconnaître pour l’utilisateur final.

Cette attaque est la preuve de cette difficulté. Elle commence par un e-mail du PDG d’une entreprise. Le compte ayant été compromis, l’e-mail franchira toutes les mesures d’authentification. Le message lui-même n’est pas malveillant. Il renvoie à un document sur Evernote, pas à un site malveillant.

Côté sécurité, tout cela semble normal. Si vous êtes un utilisateur final, tout cela semble normal. L’utilisation d’un site légitime comme Evernote, surtout si cette entreprise l’utilise déjà, donne beaucoup de crédibilité.

En un mot, il s’agit d’une attaque incroyablement bien conçue.

Il devient donc extrêmement important d’arrêter les attaques BEC. Et il faut faire un certain nombre de choses.

• Tout d’abord, il est nécessaire de faire appel à l’IA et au ML. Il faut être capable de comprendre le contenu d’un e-mail, le contexte et le ton, et comprendre quand les choses sont différentes. Par exemple, est-ce que le PDG de l’entreprise envoie souvent des liens vers Evernote ?

• À partir de là, l’entreprise doit être capable de réécrire et de détecter les liens et les pièces jointes malveillants. Evernote n’est pas malveillant, le document en pièce jointe l’est. Le service de sécurité peut-il suivre ce lien et cette pièce jointe jusqu’au bout, pour comprendre s’ils sont effectivement malveillants ? Et l’entreprise dispose-t-elle d’une protection contre la prise de contrôle du compte ?

Nous ne savons pas comment cet utilisateur a été initialement compromis, mais le monde numérique offre au pirate de nombreux moyens de le faire : e-mail, texte, message vocal, chat, partage de fichiers. Il est essentiel de comprendre les événements de connexion, les changements de configuration et les activités de l’utilisateur final dans l’ensemble de la suite de productivité.

Pour se défendre de ces attaques, les professionnels de la sécurité peuvent prendre les mesures suivantes :

• Créer des processus à suivre par les employés pour le paiement de factures ou la saisie d’identifiants ;

• Mettre en place une sécurité avancée qui vérifie plus d’un indicateur pour déterminer si un e-mail est authentique ou non.

• Se servir de la détection et de la réécriture des URL malveillantes pour suivre le lien jusqu’à sa destination prévue en toute sécurité.