Les chercheurs de Trend Micro ont récemment révélé qu’Outlook Web App aurait été utilisé pour pirater un grand nombre d’organisations à travers le monde.

Outlook Web App utilisé pour voler des identifiants de messagerie

Les chercheurs de Trend Micro ont récemment révélé qu’Outlook Web App aurait été utilisé pour pirater un grand nombre d’organisations à travers le monde. Médias, ambassades, agences militaires et entreprises chargées de la défense nationale sont concernés.

 

Les organisations internationales victimes de piratage

La nouvelle a été annoncée par l’entreprise de sécurité Trend Micro : plusieurs organisations ont été récemment victimes de piratage à grande échelle. Un groupe d’espions a déployé des techniques de phishing avancées pour voler les identifiants de messagerie des personnes œuvrant pour les organismes publics, parapublics et privés. Le piratage baptisé Operation Pawn Storm par Trend Micro est l’œuvre de pirates opérant depuis 2007. De nombreuses techniques ont ainsi déjà été utilisées pour pirater différentes cibles. La plupart consisteraient en une campagne de phishing propageant des malwares dans les pièces jointes Microsoft Office. D’autres prendraient la forme de backdoors installés sur le réseau local.

La dernière attaque en date diffère cependant par le procédé utilisé : Outlook Web App du service Office 365 a servi à collecter les informations personnelles des utilisateurs, et ce, à travers deux faux domaines. Le premier était censé reproduire un site web connu des cibles et le second ressemblait au domaine servant à déployer Outlook Web App au sein de l’organisation. Il a ensuite suffi d’envoyer des courriels contenant un lien menant vers le premier domaine pour rediriger les utilisateurs vers une page de phishing. Ceux-ci croyaient que leur session Outlook Web App avait expiré et qu’il était nécessaire de rentrer à nouveau leurs identifiants. Les pirates avaient alors accès à leur compte uniquement par action sur les pages des navigateurs utilisés.

 Médias, ambassades, agences militaires et entreprises chargées de la défense nationale sont concernés.

Tous les navigateurs concernés

Trend Micro a révélé que le procédé était compatible avec tous les navigateurs actuels. Google Chrome, Mozilla Firefox, Internet Explorer et Safari peuvent être affectés. Cependant, le piratage ne fonctionne qu’à certaines conditions : la cible doit avant tout utiliser Outlook Web App et cliquer ensuite sur les liens visibles dans le volet de prévisualisation de l’outil. L’utilisateur ne remarque à aucun moment que sa session Outlook Web App et l’URL utilisée pour rentrer les identifiants est fausse. Les pirates ont d’ailleurs poussé leur technique à l’extrême en achetant des certificats SSL légitimes. Les sites de phishing présentaient ainsi les indicateurs de connexion sécurisée HTTPS.

Au final, de nombreuses personnes et organisations ont vu leur compte piraté. Il s’agit entre autres d’employés de l’entreprise américaine Academi, du département d’État des États-Unis, de l’Organisation pour la sécurité et la coopération en Europe, d’une multinationale allemande, du Science Applications International Corporation, de l’ambassade du Vatican en Irak, des ministères de la Défense hongroise et française, des médias de radiodiffusion dans de nombreux pays, de responsables militaires au Pakistan ainsi que des attachés militaires et des employés du gouvernement polonais. Les appâts utilisés par les pirates prenaient la forme de conférences ou événements susceptibles d’intéresser les victimes. Ils ont été associés à d’autres attaques comme les variantes de SEDNIT pour faciliter le vol de données. Les cibles n’ont ainsi rien remarqué.