Office 365 : quand le phishing se nourrit des certificats de sécurité

Usurper l’identité du fournisseur d’un service en ligne passe aussi par les certificats de sécurité.

Une campagne de phishing repérée par l’éditeur américain Netskope en témoigne. Opérationnelle au moins depuis le mois d’août, elle a pour objectif d’obtenir l’accès à des comptes Office 365, vraisemblablement d’utilisateurs localisés aux États-Unis.

Le levier exploité est classique : des documents joints à des e-mails légitimes en apparence (semblant provenir tantôt d’un cabinet d’avocats, tantôt d’un fabricant d’équipement dentaire…). Y figure une image cliquable invitant à télécharger un fichier PDF.

Le faux formulaire de connexion Office 365 vers lequel mène le lien a une particularité : il est hébergé sur le cloud Azure, via le service Stockage Blob. Conséquence : le certificat SSL est signalé comme fourni par Microsoft. De quoi tromper la vigilance des utilisateurs qui iraient vérifier sa provenance.

Pour assurer la collecte de données valides, l’attaque se déroule en deux temps. Après l’envoi du formulaire, la victime est dirigée vers une autre page hébergée sur Azure qui l’avertit que l’e-mail et le mot de passe ne correspondent pas. Une fois les informations ressaisies, on est finalement acheminé vers le site commercial de Microsoft, sur la page de présentation de SharePoint.

Cette technique n’avait pas été exploitée dans le cadre de l’attaque qui avait visé Gmail l’an dernier. Les utilisateurs n’étaient d’ailleurs pas invités à saisir leurs identifiants, mais à accorder l’accès à leur compte par une application malveillante déguisée en Google Docs.

Photo d’illustration via VisualHunt