Réponse à un compte de messagerie compromis

• S’applique à:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation de 90 jours de Defender pour Office 365 sur le hub d’évaluation du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

Les informations d’identification contrôlent l’accès aux boîtes aux lettres, aux données et aux autres services Microsoft 365. Lorsqu’une personne vole ces informations d’identification, le compte associé est considéré comme compromis.

Une fois qu’un attaquant a volé les informations d’identification et obtenu l’accès au compte, il peut accéder à la boîte aux lettres Microsoft 365, aux dossiers SharePoint ou aux fichiers associés dans le OneDrive de l’utilisateur. Les attaquants utilisent souvent la boîte aux lettres compromise pour envoyer des e-mails en tant qu’utilisateur d’origine aux destinataires à l’intérieur et à l’extérieur de l’organisation. Les attaquants qui utilisent des e-mails pour envoyer des données à des destinataires externes sont appelés exfiltration de données.

Cet article explique les symptômes de la compromission de compte et comment reprendre le contrôle du compte compromis.

Symptômes d’un compte de messagerie Microsoft compromis

Les utilisateurs peuvent noter et rapporter des activités inhabituelles dans leur boîte aux lettres Microsoft 365. Par exemple :

• Activité suspecte, telle que des e-mails manquants ou supprimés.
• Utilisateurs recevant des e-mails du compte compromis sans l’e-mail correspondant dans le dossier Éléments envoyés de l’expéditeur.
• Règles de boîte de réception suspectes. Ces règles peuvent transférer automatiquement les e-mails vers des adresses inconnues ou déplacer des messages vers les dossiers Notes, Courrier indésirable ou Abonnements RSS .
• Le nom complet de l’utilisateur est modifié dans la liste d’adresses globale.
• La boîte aux lettres de l’utilisateur peut se trouver bloquée et ne peut plus envoyer de messages électroniques.
• Les dossiers Éléments envoyés ou Éléments supprimés dans Microsoft Outlook ou Outlook sur le web (anciennement Outlook Web App) contiennent des messages typiques pour les comptes compromis (par exemple, « Je suis bloqué à Londres, envoyer de l’argent »).
• Changements de profil inhabituels. Par exemple, des mises à jour de nom, de numéro de téléphone ou de code postal.
• Changements de mot de passe multiples et fréquents.
• Transfert de courrier externe récemment ajouté.
• Signatures d’e-mail inhabituelles. Par exemple, une fausse signature bancaire ou une signature de médicament sur ordonnance.

Vous devez immédiatement examiner si un utilisateur signale ces symptômes ou d’autres symptômes inhabituels. Le portail Microsoft Defender et le portail Azure offrent les outils suivants pour vous aider à examiner les activités suspectes sur un compte d’utilisateur :

• Journaux d’audit unifiés dans le portail Microsoft Defender : filtrez les journaux d’activité à l’aide d’une plage de dates qui commence immédiatement avant que l’activité suspecte ne s’est produite aujourd’hui. Ne filtrez pas sur des activités spécifiques pendant la recherche. Pour plus d’informations, consultez Rechercher dans le journal d’audit.

• Journaux de connexion Microsoft Entra et autres rapports de risque dans le Centre d’administration Microsoft Entra : examinez les valeurs dans ces colonnes :

  • Examen des adresses IP
  • emplacements de connexion
  • heure de connexion
  • réussite ou échec des connexions

Importante

Le bouton suivant vous permet de tester et d’identifier les activités suspectes des comptes. Vous pouvez utiliser ces informations pour récupérer un compte compromis.

Exécuter des tests : comptes compromis

Sécuriser et restaurer la fonction de messagerie dans un compte et une boîte aux lettres Microsoft 365 compromis

Même une fois que l’utilisateur a récupéré l’accès à son compte, l’attaquant peut laisser des entrées de porte arrière qui peuvent reprendre le contrôle du compte.

Effectuez toutes les étapes suivantes pour reprendre le contrôle du compte. Suivez les étapes dès que vous soupçonnez un problème et le plus rapidement possible pour vous assurer que l’attaquant ne reprend pas le contrôle du compte. Ces étapes vous aident également à supprimer toutes les entrées de porte arrière que l’attaquant a ajoutées au compte. Après avoir suivi ces étapes, nous vous recommandons d’exécuter une analyse antivirus pour vous assurer que l’ordinateur client n’est pas compromis.

Étape 1 : Réinitialiser le mot de passe de l’utilisateur

Suivez les procédures décrites dans Réinitialiser un mot de passe d’entreprise pour une autre personne.

Importante

• N’envoyez pas le nouveau mot de passe à l’utilisateur par e-mail, car l’attaquant a toujours accès à la boîte aux lettres à ce stade.

• Veillez à utiliser un mot de passe fort : lettres majuscules et minuscules, au moins un chiffre et au moins un caractère spécial.

• Même si l’historique des mots de passe le permet, ne réutilisez aucun des cinq derniers mots de passe. Utilisez un mot de passe unique que l’attaquant ne peut pas deviner.

• Si l’identité de l’utilisateur est fédérée avec Microsoft 365, vous devez modifier le mot de passe du compte dans l’environnement local, puis informer l’administrateur de la compromission.

• Veillez à mettre à jour les mots de passe d’application. Les mots de passe d’application ne sont pas automatiquement révoqués lorsque vous réinitialisez le mot de passe. L’utilisateur doit supprimer les mots de passe d’application existants et en créer de nouveaux. Pour obtenir des instructions, consultez Gérer les mots de passe d’application pour la vérification en deux étapes.

• Nous vous recommandons vivement d’activer l’authentification multifacteur (MFA) pour le compte. L’authentification multifacteur est un bon moyen d’empêcher la compromission des comptes. Elle est très importante pour les comptes disposant de privilèges administratifs. Pour consulter des instructions, voir Configurer Multi-factor Authentification (MFA).

Étape 2 : Supprimer les adresses de transfert de courrier suspectes

1. Dans le Centre d’administration Microsoft 365, https://admin.microsoft.comaccédez à Utilisateurs>Utilisateurs actifs. Ou, pour accéder directement à la page Utilisateurs actifs , utilisez https://admin.microsoft.com/Adminportal/Home#/users.

2. Dans la page Utilisateurs actifs , recherchez le compte d’utilisateur et sélectionnez-le en cliquant n’importe où dans la ligne autre que la case à cocher en regard du nom.

3. Dans le menu volant de détails qui s’ouvre, sélectionnez l’onglet Courrier .

4. Sous l’onglet Courrier , la valeur Appliquée dans la section Transfert d’e-mail indique que le transfert de courrier est configuré sur le compte. Pour le supprimer, procédez comme suit :

   • Sélectionnez Gérer le transfert de courrier électronique.
   • Dans le menu volant Gérer le transfert de courrier qui s’ouvre, désactivez la case à cocher Transférer tous les messages électroniques envoyés à cette boîte aux lettres , puis sélectionnez Enregistrer les modifications.

Étape 3 : Désactiver les règles de boîte de réception suspectes

1. Ouvrez la boîte aux lettres d’archivage avec Outlook sur le web.

2. Sélectionnez Paramètres (icône d’engrenage), entrez « règles » dans la zone Paramètres de recherche, puis sélectionnez Règles de boîte de réception dans les résultats.

3. Dans le menu volant Règles qui s’ouvre, passez en revue les règles existantes, puis désactivez ou supprimez les règles suspectes.

Étape 4 : Débloquer l’envoi de messages par l’utilisateur

Si le compte a été utilisé pour envoyer du courrier indésirable ou un volume élevé d’e-mails, il est probable que la boîte aux lettres soit bloquée.

Pour débloquer une boîte aux lettres de l’envoi d’e-mails, suivez les procédures décrites dans Supprimer les utilisateurs bloqués de la page Entités restreintes.

Étape 5 (facultatif) : Empêcher le compte d’utilisateur de se connecter

Importante

Vous pouvez empêcher le compte de se connecter jusqu’à ce que vous croyiez qu’il est sûr de réactiver l’accès.

1. Effectuez les étapes suivantes dans le Centre d’administration Microsoft 365 à l’adresse https://admin.microsoft.com:

   1. Accédez à Utilisateurs>Utilisateurs actifs. Ou, pour accéder directement à la page Utilisateurs actifs , utilisez https://admin.microsoft.com/Adminportal/Home#/users.
   2. Dans la page Utilisateurs actifs , recherchez et sélectionnez le compte d’utilisateur dans la liste en effectuant l’une des étapes suivantes :
      • Sélectionnez l’utilisateur en cliquant n’importe où dans la ligne autre que la case à cocher en regard du nom. Dans le menu volant de détails qui s’ouvre, sélectionnez Bloquer la connexion en haut du menu volant.
      • Sélectionnez l’utilisateur en coché la case en regard du nom. Sélectionnez Autres actions>Modifier l’état de connexion.
   3. Dans le menu volant Bloquer la connexion qui s’ouvre, lisez les informations, sélectionnez Empêcher cet utilisateur de se connecter, sélectionnez Enregistrer les modifications, puis sélectionnez Fermer en haut du menu volant.

2. Effectuez les étapes suivantes dans le Centre d’administration Exchange (EAC) à l’adresse https://admin.exchange.microsoft.com:

   1. Accédez à Destinataires>Boîtes aux lettres. Ou, pour accéder directement à la page Boîtes aux lettres , utilisez https://admin.exchange.microsoft.com/#/mailboxes.

   2. Dans la page Gérer les boîtes aux lettres , recherchez et sélectionnez l’utilisateur dans la liste en cliquant n’importe où dans la ligne autre que la case à cocher ronde qui s’affiche en regard du nom.

   3. Dans le menu volant de détails qui s’ouvre, procédez comme suit :

      1. Vérifiez que l’onglet Général est sélectionné, puis sélectionnez Gérer les paramètres des applications de messagerie dans la section Applications de messagerie & appareils mobiles .
      2. Dans le menu volant Gérer les paramètres des applications de messagerie qui s’ouvre, désactivez tous les paramètres disponibles en définissant les bascules sur Désactivé :
         • Bureau Outlook (MAPI)
         • Services Web Exchange
         • Mobile (Exchange ActiveSync)
         • IMAP
         • POP3
         • Outlook sur le Web

      Lorsque vous avez terminé dans le menu volant Gérer les paramètres des applications de messagerie, sélectionnez Enregistrer, puis Fermer en haut du menu volant.

Étape 6 Facultative : Supprimer le compte présumé compromis de tous les rôles d’administration

Remarque

Vous pouvez restaurer l’appartenance de l’utilisateur aux rôles d’administration une fois le compte sécurisé.

1. Dans le Centre d’administration Microsoft 365 à https://admin.microsoft.com, procédez comme suit :

   1. Accédez à Utilisateurs>Utilisateurs actifs. Ou, pour accéder directement à la page Utilisateurs actifs , utilisez https://admin.microsoft.com/Adminportal/Home#/users.

   2. Dans la page Utilisateurs actifs , recherchez et sélectionnez le compte d’utilisateur dans la liste en effectuant l’une des étapes suivantes :

      • Sélectionnez l’utilisateur en cliquant n’importe où dans la ligne autre que la case à cocher en regard du nom. Dans le menu volant de détails qui s’ouvre, vérifiez que l’onglet Compte est sélectionné, puis sélectionnez Gérer les rôles dans la section Rôles .
      • Sélectionnez l’utilisateur en coché la case en regard du nom. Sélectionnez Autres actions>Gérer les rôles.

   3. Dans le menu volant Gérer les rôles d’administrateur qui s’ouvre, procédez comme suit :

      • Enregistrez les informations que vous souhaitez restaurer ultérieurement.
      • Supprimez l’appartenance au rôle d’administration en sélectionnant Utilisateur (aucun accès au centre d’administration).

      Lorsque vous avez terminé dans le menu volant Gérer les rôles d’administrateur , sélectionnez Enregistrer les modifications.

2. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, procédez comme suit :

   1. Accédez à Autorisations>E-mail & rôles de> collaborationRôles. Ou, pour accéder directement à la page Autorisations, utilisez https://security.microsoft.com/emailandcollabpermissions.

   2. Dans la page Autorisations , sélectionnez un groupe de rôles dans la liste en cochée la case en regard du nom (par exemple, Gestion de l’organisation), puis en sélectionnant Modifier l’action qui s’affiche.

   3. Dans la page Modifier les membres du groupe de rôles qui s’ouvre, passez en revue la liste des membres. Si le groupe de rôles contient le compte d’utilisateur, supprimez l’utilisateur en coché la case en regard du nom, puis en sélectionnant Supprimer les membres.

      Lorsque vous avez terminé d’accéder à la page Modifier les membres du groupe de rôles , sélectionnez Suivant

   4. Dans la page Vérifier le groupe de rôles et terminer , passez en revue les informations, puis sélectionnez Enregistrer.

   5. Répétez les étapes précédentes pour chaque groupe de rôles dans la liste.

3. Dans le Centre d’administration Exchange à https://admin.exchange.microsoft.com/, procédez comme suit :

   1. Accédez à Rôles Rôles>Rôles d’administrateur. Ou pour accéder directement à la page Rôles d’administrateur , utilisez https://admin.exchange.microsoft.com/#/adminRoles.

   2. Dans la page Rôles d’administrateur , sélectionnez un groupe de rôles dans la liste en cliquant n’importe où dans la ligne autre que la case à cocher ronde qui apparaît en regard du nom.

   3. Dans le menu volant de détails qui s’ouvre, sélectionnez l’onglet Affecté , puis recherchez le compte d’utilisateur. Si le groupe de rôles contient le compte d’utilisateur, procédez comme suit :

      1. Sélectionnez le compte d’utilisateur en mettant à cocher la case ronde qui s’affiche en regard du nom.
      2. Sélectionnez l’action Supprimer qui s’affiche, sélectionnez Oui, supprimer dans la boîte de dialogue d’avertissement, puis sélectionnez Fermer en haut du menu volant.

   4. Répétez les étapes précédentes pour chaque groupe de rôles dans la liste.

Étape 7 (facultatif) : Mesures de précaution supplémentaires

1. Vérifiez le contenu du dossier Éléments envoyés du compte dans Outlook ou Outlook sur le web.

   Vous devrez peut-être informer les contacts de l’utilisateur que le compte a été compromis. Par exemple, l’attaquant peut avoir envoyé des messages demandant de l’argent à des contacts, ou l’attaquant peut avoir envoyé un virus pour détourner ses ordinateurs.

2. D’autres services qui utilisent ce compte comme adresse e-mail alternative peuvent également être compromis. Après avoir suivi les étapes décrites dans cet article pour le compte de cette organisation Microsoft 365, effectuez les étapes correspondantes dans les autres services.

3. Vérifiez les informations de contact (par exemple, les numéros de téléphone et les adresses) du compte.

Voir aussi

• Détecter et résoudre les attaques par injections sur les règles d’Outlook et les formulaires personnalisés dans Microsoft 365
• Détecter et corriger les octrois de consentement illicites
• Centre de plaintes contre la criminalité sur Internet
• Securities and Exchange Commission (SEC) : fraude à « l’hameçonnage » (phishing)
• Utilisez le complément Signaler un message pour signaler les courriers indésirables directement à Microsoft et/ou aux administrateurs (en fonction de la façon dont les paramètres signalés par l’utilisateur sont configurés).