10min

Compromission d’un compte de messagerie : qualifier et endiguer un incident

Comment réagir si votre système d’information est touché par un incident de sécurité impliquant la compromission d’un ou plusieurs comptes de messagerie ?
Cybersecurity - Data

La première étape consiste à confirmer la nature de l’incident, le ou les comptes de messageries compromis, puis à évaluer la gravite de l’incident, le périmètre et l’impact sur votre organisation, et sa criticité. Voici des conseils pratiques issus des fiches réflexes d’InterCERT France.

Qualifier la compromission d’un compte de messagerie 

Prérequis pour qualifier la compromission d’un compte de messagerie 

Une organisation doit solliciter des ressources internes et éventuellement externes pour qualifier l’incident de sécurité. Les personnes impliquées ont alors besoin d’accéder à l’administration et au monitoring du système d’information, aux équipements de sécurité, et elles doivent aussi avoir connaissance des priorités métier de l’organisation ainsi que de la liste des contacts d’urgence.

L'organisation doit par ailleurs ouvrir une main courante et la stocker en dehors du système d’information compromis (par exemple sur un support externe, un fichier partagé en Cloud voire au format papier). Les actions entreprises en réponse à l’incident doivent y être consignées.  
Cette main courante va permettre de dresser l'historique du traitement de l’incident, suivre la remédiation et mesurer son efficacité. Elle doit notamment comporter :

  • La date et l’heure de l’action ou de l’événement
  • Le nom de la personne ou du service qui a détecté ou informé de l’événement
  • La description détaillée de l’action ou de l’événement.

Mais concrètement, comment confirmer qu’un compte de messagerie a été compromis ? Comment évaluer le périmètre de l’incident, son impact et sa criticité ?

Compte de messagerie compromis : méthode d’évaluation de l‘incident 

Identifier en situation de crisele compte de messagerie suspecté 

Un compte suspecté d’avoir été compromis peut être détecté par des outils de sécurité ou signalé par un membre de l’organisation.

Voici quelques exemples qui peuvent indiquer la compromission d’une messagerie :

  • Signalement de la réception ou de l’envoi de mails suspects (par exemple une réponse à un email non envoyé, disparition de messages de la boîte email), de la notification de la fuite d’identifiants, de la présence de règles de messagerie qui n’ont pas été créées par l’utilisateur ou les administrateurs, du changement illégitime de mot de passe...
  • Détection d’attaque par force brute suivie d’une authentification réussie sur un compte de messagerie, activité inhabituelle sur la messagerie, notification de tentatives de connexion illégitime...

Pour identifier le périmètre de l’incident, il est alors nécessaire de vérifier les éventuelles délégations de droit d’autres comptes sur cette boîte aux lettres, et du compte lui-même sur d’autres boîtes aux lettres.

Confirmer le signalement de messagerie compromise 

D’autres actions peuvent aussi être le signe d’une compromission, telles que le transfert ou la suppression automatique de messages, des actions à des horaires inhabituels, des permissions suspectes, l’installation frauduleuse d’applications tierces, la réinitialisation d’appareils de confiance...  

Si un ou plusieurs de ces événements sont détectés, la compromission de compte de messagerie peut être avérée et des actions d’endiguement entreprises.

Si la compromission n’est pas confirmée, il est malgré tout conseillé de forcer un renouvellement du mot de passe et du MFA par mesure de précaution. Prudence est mère de sûreté !

Evaluer le périmètre de l’incident en cas de messagerie compromise 

Définir le périmètre de l’incident consiste notamment à vérifier si l'incident est circonscrit à la messagerie, si un seul compte de messagerie ou plusieurs sont touchés et lesquels, et remonter à l’accès initial (phishing, attaque par force brute, code malveillant, infostealer...).

Utilisateur standardsensible ou compte d’administration : le type de compte de messagerie affecté a aussi une importance pour évaluer la criticité de l’incident.

Par ailleurs, ce compte a-t-il accès à des fichiers partagés, un VPN, des services Cloud, des applications ou un extranet ? D’autres comptes sont-ils compromis à l’identique ?

Pour répondre à ces questions, des outils de détection tels qu’un EDR ou un EPP permettent de savoir si d’autres postes sont concernés et lesquels, par exemple via la présence de fichiers malveillants ou de messages comportant des éléments suspects.

En ce qui concerne l’accès initial, il faut savoir que l’hameçonnage ou le vol de données a pu permettre à un attaquant de récupérer un seul couple identifiant-mot de passe mais qui peut servir à différentes applications. En outre, un infostealer a pu lui permettre d’extraire un seul couple identifiant-mot de passe mais aussi des jetons de sessions actives. Les conséquences peuvent être ainsi plus larges que le compte de messagerie en lui-même.

Compte de messagerie compromis : évaluer l’impact de l’incident 

Pour aller plus loin dans l’évaluation de l’impact de la compromission d’un compte de messagerie, d’autres questions doivent être abordées : des données ont-elles pu être exfiltrées et s’agit-il de données sensibles ? La compromission a-t-elle pu donner accès à un autre compte, système ou application ? Quels sont les impacts métier ? Et quel est l’impact réglementaire si le compte stocke des données sensibles ?

Compte de messagerie compromis : quel est le degré d’urgence à agir ? 

Après avoir confirmé le signalement ou la détection, évalué le périmètre et l’impact de la compromission de compte de messagerie, à quel point est-il urgent d’agir ? L’activité malveillante est-elle récente, peut-elle évoluer et avec quelles conséquences ? Ou est-elle au contraire ancienne et stable ? Si le risque de propagation au reste du système d’information est important et peut avoir des conséquences critiques pour l’organisation, il y a urgence à agir. Aussi, l’impact sur l’activité de l’organisation et les pertes financières peuvent être un critère décisif.

La compromission peut alors être qualifiée en tant qu’anomalie courante, incident mineurincident majeur ou éventuellement crise cyber. Pour mener à bien les actions d’endiguement et de remédiation, l’aide de ressources externes peut être nécessaire (InterCERT France indique les contacts utiles dans ses fiches réflexe).

Et plus précisément, quelles sont les actions d’endiguement à prévoir en cas de compromission d’un compte de messagerie ?

L’endiguement d’un incident de sécurité à la suite d’un compte de messagerie compromis 

Après avoir qualifié l’incident, la phase d’endiguement doit démarrer en s’assurant que les personnes en charge ont les droits d’accès au système d’administration de la messagerie, aux comptes affectés et aux journaux des solutions liées.

Protéger la messagerie  

Cette première étape de l’endiguement vise à reprendre le contrôle du compte compromis et nettoyer les accès illégitimes de l’attaquant. Par exemple : bloquer le compte de messagerie jusqu’à la levée de doute, réinitialiser le compte compromis avec une révocation des sessions actives, une réinitialisation du mot de passe, le réenregistrement de la MFA, le nettoyage des persistances et des accès illégitimes sur le compte compromis (et suppression des comptes illégitimes créés par l’attaquant le cas échéant).

Il peut aussi être nécessaire de revoir règles de gestion de la messagerie, les accès aux applications tierces, ou toute autre action d’administration pour vérifier leur légitimité.

Protéger l’environnement de l’utilisateur dont la messagerie est compromise 

Après la protection du compte de messagerie compromis, il faut également protéger les autres accès que l’utilisateur a au sein de l’organisation, et son poste de travail.

Une analyse antivirus est alors utile, voire une désinstallation complète du poste et une réinitialisation des accès de l’utilisateur aux autres applications de l’organisation (applications en ligne, VPN, services Cloud...).

Préparer l’investigation autour de la messagerie compromise 

Les traces sont essentielles pour les investigations. Dans ce sens, augmenter la verbosité et la rétention des logs, et les conserver, est crucial pour les investigations.

Par ailleurs, ces éléments de preuve sont nécessaires pour les forces de l’ordre lors de poursuites judiciaires.

Limiter l’extension de la compromission aux autres comptes de messagerie 

Entraver l’attaquant fait partie des mesures d’endiguement essentielles pour limiter la propagation depuis la messagerie compromise.

A cette fin, il faut :

  • Vérifier le contenu des messages du compte compromis (e-mails frauduleux envoyés, supprimés, contenant des identifiants, ou indiquant des réinitialisations de mots de passe ou d’appareils de confiance...)
  • Vérifier les fichiers sensibles accessibles par le compte compromis et si l’attaquant a pu y accéder
  • Mettre en détection les IP suspectes (mieux vaut mettre ces IP en détection pour continuer à collecter des informations plutôt que de les bloquer, sachant que si l’attaquant change régulièrement d’IP, le blocage sera inefficace)
  • Investiguer sur l’accès initial (phishinginfostealer...) et mettre en quarantaine ou bloquer l’expéditeur ou le domaine malveillant, les types de fichiers identifiés, les requêtes web venant de l’URL malveillante...  

Dans certains cas, les actions de blocage sont indispensables. Néanmoins, il faut garder en tête la détection permet une meilleure supervision, par exemple pour voir quels autres comptes l’attaquant a obtenus et avec lesquels il tente de se connecter.
 

Compte de messagerie compromis : vers les investigations et la remédiation 

Au-delà de l’endiguement, les fiches réflexe d’InterCERT France proposent des mesures pour lancer les investigations.

Ces premières étapes visent notamment à détecter les anomalies sur les postes de travail, et aussi à : 

  • Sécuriser l’organisation dans son ensemble (renforcement de la politique de mots de passe, renouvellement des mots de passe, généralisation de l’usage de la MFA...)
  • Sécuriser la solution de messagerie (mise à jour, patching des vulnérabilités)
  • Sensibiliser l’utilisateur... 

Investigation forensique, remédiation, communication, dépôt de plainte, déclarations... un incident de sécurité doit être géré en coordination toutes les parties prenantes, avec si besoin l’appui d’experts externes.

Enfin, dans le cas où une organisation est susceptible de transmettre des messages frauduleux à l’extérieur, ces contacts externes doivent aussi être prévenus en cas de compromission, et il peut être nécessaire d’envisager une communication plus large si le domaine est compromis dans son ensemble.


En situation de crise, découvrez comment communiquer 
en interne et en externe, et comment organiser vos équipes :


Crise cyber : comment communiquer

Plus d'articles

Cybersecurity crisis

Après la crise : l'importance de l’investigation

Déterminer la fin d'une crise cyber demeure complexe, celle-ci étant souvent marquée par la cessation des mesures d'urgence et la…

En savoir plus
4min
Gestion de crise
Cybersecurity Metrics

Cybersécurité : choisir un EDR, les points à évaluer

Comment choisir la solution adaptée à votre organisation pour protéger vos endpoints contre les menaces ? Quels sont les critères…

En savoir plus
9min
Méthodologie
Cybersecurity Platform Management

Déploiement ou changement d'EDR, un travail d'équipe(s)

Qui impliquer dans un projet de déploiement ou de changement d'EDR, avant et pendant la mise en place d'un chantier…

En savoir plus
3min
Méthodologie
Blog Cybersecurity Platform

Gestion des alertes en cybersécurité : les faux positifs

Pouvoir réagir au plus vite en cas d’incident de sécurité est crucial, mais encore faut-il disposer des bonnes informations au…

En savoir plus
9min
Méthodologie