C'est l'histoire d'un PDF frauduleux...
Comment réagir lorsque nous recevons un mail douteux avec risque de cyber-attaque ? C'est la mésaventure qui est arrivée à un membre de notre équipe dont la messagerie a été piratée et le carnet d'adresses détourné pour envoyer massivement à tous ses contacts une pièce jointe qui propage un virus.
C'est l'histoire d'un mail envoyé par Émilie à l'aspect graphique désuet et au message peu protocolaire qui a suscité immédiatement la méfiance de ceux qui l'ont reçu.
La première question à se poser : pourquoi Émilie m'a-t-elle envoyé un PDF sécurisé, au graphisme dégradé, sans aucune formule d'explication ou de courtoisie ? Et un jour férié, de surcroît !
On peut douter intuitivement de l'authenticité du message même si cela semblerait logique qu'un membre du pôle Éco-Gestion de l'Urogec Île-de-France adresse un document sécurisé à un établissement : un rapport Indices ? Un formulaire à renseigner ?
Comment réagir ?
- Contacter la personne avant de cliquer pour s'assurer qu'elle est en est bien l'auteur ou l'informer de cet envoi indésirable. Dans ce cas précis, sans autre gravité qu'un détournement de messagerie (pas de vol de données ou de rançongiciel), il s'agit d'un scénario de cyber-attaque qui circule actuellement.
- L'utilisateur ou l'administrateur du compte doit réinitialiser le mot de passe pour bloquer toute récidive d'intrusion. Dans le journal des logs, on peut facilement trouver des traces de connexion depuis un lieu inhabituel (étranger notamment). Ce qui confirme le piratage.
- Il est recommandé d'installer une procédure de double authentification (en plus du mot de passe - robuste ! -, envoi d'un code par SMS ou approbation de connexion par une application sur son mobile).
Une mise en quarantaine du compte imposée par Microsoft
Pour les messageries gérées par Microsoft Office 365, il est possible que le compte soit bloqué en quarantaine. L'utilisateur ne peut plus recevoir ou envoyer de mail. Après la mise en place de mesures renforcées de sécurisation, seul l'administrateur peut sortir le compte de la quarantaine.
Dans l'interface d'administration :
Cliquez sur "Afficher tout" pour dérouler le menu étendu.
Puis sur "Sécurité" :
Un nouvel onglet s'ouvre sur Microsoft365 Defender.
Aller dans "E-mail et collaboration" / Révision / Entités restreintes" pour débloquer le compte mis en quarantaine.
Dans le cas d'Émilie, une fois son compte débloqué, elle pouvait envoyer des mails mais ne plus en recevoir...
Une règle de filtrage installée à l'insu de l'utilisateur
Lors de l'intrusion, une règle de filtrage a été installée pour détourner les mails entrants de sa boite de réception vers une boite "Archives". Il faut simplement supprimer la règle et retrouver les mails reçus dans l'onglet "archives" pendant le temps de la quarantaine.
Et n'oubliez jamais que, en informatique, le doute est la meilleure des mesures de prudence !