Office 365 et G Suite, les mots de passe sont-ils lâchés dans la nature ? 

Dans un billet de blog, la société anglaise Proofpoint a évoqué des attaques visant IMAP d’une centaine de milliers d’ouvertures de sessions non autorisées sur des comptes utilisateurs surveillés.  

Les outils Microsoft et Google ciblés par des attaques par mot de passe IMAP

C’est au cours d’une étude de six mois portant sur les principaux locataires de services Cloud que les chercheurs de Proofpoint ont découvert qu’environ 60% des locataires de Microsoft Office 365 et G Suite étaient ciblés par des attaques par mot de passe IMAP. Environ 25% d’entre eux ont réussi une violation avec un taux de succès de 44% par attaquant. D’après les chercheurs, les campagnes de pulvérisation de mots de passe sur IMAP sont particulièrement efficaces. De plus, ces opérations visent spécifiquement des utilisateurs à haute valeur comme des dirigeants et leurs assistants administratifs.

Pour cacher leurs traces, les attaquants passent par des appareils connectés répartis dans le monde entier. On a pu voir que plus de la moitié des opérations visant des accès IMAP se trouvaient en Chine. L’étude montre également que les adresses IP brésiliennes représentent 39% des attaques et celles des Etats-Unis représentent 31%. Cependant, Proofpoint insiste en rappelant qu’il n’y a pas forcément de lien entre la localisation de l’adresse IP et la nationalité réelle des attaquants. La difficulté avec IMAP, est qu’il est indispensable lors d’une consultation de la messagerie électronique de Google via des clients tels qu’Outlook ou Apple mail.

IMAP (protocole d’accès aux messages internet) est un protocole d’authentification qui permet d’accéder à un compte à partir de plusieurs appareils. Il est notamment utilisé par les clients de messagerie de bureau pour récupérer les emails du serveur de la messagerie. De plus, le support IMAP est activé par défaut sur Office 365 et G Suite, les hackers misent sur le fait que les administrateurs laissent IMAP en place. Ces attaques par mot de passe sont effectuées en utilisant un grand nombre d’utilisateurs et en combinant avec un seul mot de passe. L’avantage avec les attaques par mot de passe est qu’elles évitent le verrouillage des comptes qui déclenchent des alarmes parce qu’elles montrent un échec de connexion isolé.

Les hackers ont utilisé des milliers de réseaux périphériques piratés dans le monde entier. En particulier des routeurs et des serveurs vulnérables. Selon Proofpoint, le secteur de l’éducation semble être plus vulnérable aux attaques. En effet, plus de 13% des attaques réussies visaient des établissements d’enseignement. Les hackers cherchent à accéder à des données précieuses comme la recherche scientifique. Cependant, ils utilisent des comptes facilement compromis pour lancer des campagnes de spam et les impacts des attaques vont bien au-delà des établissements d’enseignement. Il est conseillé que les administrateurs désactivent l’IMAP et les autres protocoles existants pour leur domaine. Si ce n’est pas le cas, ils deviennent des cibles pour toutes tentatives d’utilisation de mot de passe.