Adversary-in-the-middle : quand les attaquants s'approprient discrètement (et facilement) les e-mails professionnels
Depuis quelques années, les organisations sont confrontées à une croissance des cyberattaques adversary-in-the-middle (AitM). Selon le Microsoft digital defense report de 2024, elles ont augmenté de 146% par rapport à l'année précédente. "Actuellement, on les détecte quasiment tous les jours chez nos clients", confirme Grégoire Clermont, analyste chez Sekoia. L'AitM désigne une situation dans laquelle l'attaquant s'intercale entre sa cible et le service auquel elle souhaite accéder au moyen d'un logiciel malveillant. Cela lui permet de récupérer les identifiants de connexion de la victime, même si elle utilise l'authentification multifacteurs (MFA). "Cette forte augmentation des attaques AitM affecte avant tout les services Microsoft 365 et en particulier les boîtes mail", constate Grégoire Clermont.
Le mode opératoire
Une attaque AitM débute généralement par l'envoi d'un e-mail de phishing. Le lien contenu dans cet e-mail redirige la victime vers une page imitant celles des services de Microsoft ou Google. "Une page de phishing AitM peut être indiscernable de la page qu'elle imite. Elle est souvent très bien réalisée et est désormais facile à produire. Seul le nom de domaine est différent", précise Grégoire Clermont. Après avoir cliqué sur le lien, la victime est alors invitée à saisir ses identifiants. Persuadée qu'elle se situe sur la page web légitime, elle s'exécute. Ces informations sont automatiquement utilisées pour connecter l'attaquant au site légitime.
"Une page de phishing AitM ne nécessite aucune action humaine de la part de l'attaquant. Il s'agit seulement d'un relais automatisé", ajoute l'analyste. Quand le logiciel connecte l'attaquant au compte de la victime, celle-ci reçoit son code MFA qu'elle saisit sur la page de phishing. De nouveau, le logiciel intercepte le code MFA et le transmet immédiatement au site légitime pour compléter l'authentification à la place de la victime. L'attaquant est alors connecté au compte de la victime. "Puis, il conserve le cookie de session en l'important dans son navigateur pour rester connecté même après l'expiration du code MFA", précise Yaz Bekkar, architecte de solutions chez Barracuda Networks.
Appropriation de la boîte mail
"Quand l'attaquant réussit à accéder à la boite mail de la victime, il y reste environ 115 jours d'après nos statistiques", observe Yaz Bekkar. Son premier objectif est d'analyser les e-mails et pièces jointes à caractère financier, précise Grégoire Clermont : "Ce que l'on observe dans les logs est que l'attaquant fait des recherches pour trouver des mails ou des documents liés à des transactions financières. C'est pour cela que ses victimes préférées sont celles qui ont des postes liés aux finances de l'entreprise." Puis il repère les contacts avec lesquels la victime a régulièrement des conversations d'ordre financier comme les fournisseurs et les clients. "A l'aide de toutes ces informations, il crée ensuite des inbox rules. Celles-ci peuvent transférer automatiquement vers des dossiers discrets des messages envoyés par des expéditeurs qui l'intéressent ou contenant des mots clés qu'il définit. Aussi, il peut faire en sorte que ces messages soient marqués comme lus afin que la victime les ignore".
Une fois qu'il s'est approprié discrètement la boite mail, l'attaquant l'utilise pour envoyer des messages à des clients auxquels la victime a envoyé des factures. Dedans, il leur demande de payer sur un compte bancaire qui lui appartient. "Ceux qui intéressent l'attaquant sont ceux qui effectuent des paiements", insiste Grégoire Clermont. Aussi, il envoie des mails de phishing aux contacts de la victime avec lesquels elle correspond régulièrement pour compromettre de nouveaux comptes : "Ces mails de phishing peuvent être envoyés à des contacts internes à l'entreprise plus intéressants ou à des contacts externes comme des fournisseurs", continue Grégoire Clermont. "En général, les attaquants effacent les traces des e-mails qu'ils envoient afin que la victime ne les repère pas", indique Yaz Bekkar.
Une attaque difficilement détectable
"Lancer une attaque AitM ne nécessite pas de connaissances techniques en informatique. C'est à la portée de tout le monde puisque c'est automatisé", indique Yaz Bekkar. D'autant que de plus en plus d'acteurs du darkweb vendent des kits permettant de simplifier sa réalisation, selon Grégoire Clermont. En plus de la facilité avec laquelle elle peut être commise, l'attaque AitM est "difficile à détecter étant donné que l'attaquant utilise la session de sa victime", tient à souligner Yaz Bekkar. Toutefois, il existe des signes permettant de repérer la présence d'un attaquant dans une boîte mail. Ceux-ci sont par exemple "une connexion à la session via un virtual private network, ce qui est inhabituel chez nos clients, ou encore la mise en place d'inbox rules particulières", indique Grégoire Clermont.