Répondre à un compte de messagerie compromis

2025-03-31
S’applique à: ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.

Les informations d’identification de l’utilisateur contrôlent l’accès aux comptes Microsoft Entra ID, qui sont au cœur des enquêtes de compromission. Une fois qu’un attaquant accède au compte, il peut accéder à la boîte aux lettres Microsoft 365, aux dossiers SharePoint ou aux fichiers associés dans le OneDrive de l’utilisateur. La correction et l’examen d’un utilisateur compromis se concentrent sur le compte affecté et les services associés au compte.

Les attaquants utilisent souvent la boîte aux lettres d’un utilisateur compromis pour envoyer aux destinataires à l’intérieur et à l’extérieur du organization. Business Email Compromis (BEC) est un type d’attaque prolifique et est traité dans cet article.

Cet article traite des symptômes de la compromission de compte (en particulier, la boîte aux lettres) et de la façon de reprendre le contrôle du compte compromis.

Importante

Le bouton suivant vous permet de tester et d’identifier les activités suspectes des comptes. Utilisez ce test avec les instructions de cet article pour obtenir des informations sur les comptes potentiellement compromis et déterminer les actions de correction nécessaires.

Exécuter des tests : comptes compromis

Symptômes courants d’un compte de messagerie Microsoft 365 compromis

Une ou plusieurs des activités suivantes peuvent indiquer qu’un compte associé à une boîte aux lettres Microsoft 365 est compromis :

La boîte aux lettres ne peut pas envoyer d’e-mail.
Activité suspecte. Par exemple, courrier électronique manquant ou supprimé.
Règles de boîte de réception suspectes. Par exemple :
- Règles qui transfèrent automatiquement les e-mails à des adresses inconnues.
- Règles qui déplacent les messages vers les dossiers Notes, Courrier indésirable Email ou Abonnements RSS.
Les dossiers Éléments envoyés ou Éléments supprimés contiennent des messages suspects. Par exemple, « Je suis coincé à Londres, envoyez de l’argent ».
Modifications apportées au contact de l’utilisateur dans la liste d’adresses globale (GAL). Par exemple, le nom, le numéro de téléphone ou le code postal.
Changements fréquents de mot de passe ou verrouillages de compte inexpliqués.
Transfert de courrier externe récemment ajouté.
Signatures d’e-mail suspectes. Par exemple, une fausse signature bancaire ou une signature de médicament sur ordonnance.

Si la boîte aux lettres présente l’un de ces symptômes, suivez les étapes de la section suivante pour reprendre le contrôle du compte.

Sécuriser et restaurer Email fonction sur un compte microsoft 365 messagerie compromis

Une fois que l’attaquant a obtenu l’accès à un compte, vous devez bloquer l’accès au compte dès que possible.

Les étapes suivantes traitent des méthodes connues qui peuvent permettre à l’attaquant de maintenir la persistance et de reprendre le contrôle du compte ultérieurement. Veillez à traiter chaque étape.

Étape 1 : Désactiver le compte d’utilisateur affecté

La désactivation du compte compromis est recommandée et fortement recommandée tant que vous n’avez pas terminé l’examen.
1. Si nécessaire, installez le module Microsoft Graph PowerShell dans PowerShell en exécutant la commande suivante :
```
Install-Module -Name Microsoft.Graph -Scope CurrentUser
```
2. Connectez-vous à Microsoft Graph en exécutant la commande suivante :
```
Connect-MgGraph -Scopes "User.ReadWrite.All"
```
3. Pour stocker les détails du compte d’utilisateur dans la variable nommée $user, remplacez UPN> par <le nom du compte de l’utilisateur (nom d’utilisateur principal ou UPN), puis exécutez la commande suivante :
```
$user = Get-MgUser -Search UserPrincipalName:'<UPN>' -ConsistencyLevel Eventual
```
  Par exemple :
```
$user = Get-MgUser -Search UserPrincipalName:'jason@contoso.onmicrosoft.com' -ConsistencyLevel Eventual
```
4. Exécutez la commande suivante pour désactiver le compte d’utilisateur :
```
Update-MgUser -UserId $user.Id -AccountEnabled $false
```
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Update-MgUser.
Si vous ne pouvez pas désactiver le compte, la meilleure étape suivante consiste à réinitialiser le mot de passe. Pour obtenir des instructions, consultez Réinitialiser les mots de passe dans Microsoft 365 pour les entreprises.
- Veillez à utiliser un mot de passe fort : lettres majuscules et minuscules, au moins un chiffre et au moins un caractère spécial.
- N’envoyez pas le nouveau mot de passe à l’utilisateur par e-mail, car l’attaquant pourrait avoir accès à la boîte aux lettres à ce stade.
- Utilisez un mot de passe unique que l’attaquant ne peut pas deviner. Même si l’historique des mots de passe le permet, ne réutilisez aucun des cinq derniers mots de passe.
- Si le compte est synchronisé à partir d’Active Directory, réinitialisez le mot de passe dans Active Directory et réinitialisez-le deux fois pour atténuer le risque d’attaques pass-the-hash . Pour obtenir des instructions, consultez Set-ADAccountPassword.
- Si l’identité de l’utilisateur est fédérée avec Microsoft 365, vous devez modifier le mot de passe du compte dans l’environnement local, puis informer l’administrateur de la compromission.
- Veillez à mettre à jour les mots de passe d’application. Les mots de passe d’application ne sont pas automatiquement révoqués lorsque vous réinitialisez le mot de passe. L’utilisateur doit supprimer les mots de passe d’application existants et en créer de nouveaux. Pour plus d’informations, consultez Gérer les mots de passe d’application pour la vérification en deux étapes.
Nous vous recommandons vivement d’activer et d’appliquer l’authentification multifacteur (MFA) pour le compte. L’authentification multifacteur protège efficacement contre la compromission des comptes et est essentielle pour les comptes disposant de privilèges d’administrateur.

Si vous souhaitez en savoir plus, consultez les articles suivants :
- Configuration de l’authentification multifacteur
- Exiger une authentification multifacteur résistante au hameçonnage pour les administrateurs

Étape 2 : Révoquer l’accès utilisateur

Cette étape invalide immédiatement tout accès actif à l’aide des informations d’identification volées et empêche l’attaquant d’accéder à des données plus sensibles ou d’effectuer des actions non autorisées sur le compte compromis.

Exécutez la commande suivante dans une fenêtre PowerShell avec élévation de privilèges (une fenêtre PowerShell que vous ouvrez en sélectionnant Exécuter en tant qu’administrateur) :
```
Set-ExecutionPolicy RemoteSigned
```
Si nécessaire, exécutez les commandes suivantes pour installer les modules requis pour Microsoft Graph PowerShell :
```
Install-Module Microsoft.Graph.Authentication

Install-Module Microsoft.Graph.Users.Actions
```
Connectez-vous à Microsoft Graph en exécutant la commande suivante :
```
Connect-MgGraph -Scopes User.RevokeSessions.All
```
Remplacez UPN> par <le compte de l’utilisateur (nom d’utilisateur principal ou UPN), puis exécutez la commande suivante :
```
Revoke-MgUserSignInSession -UserId <UPN>
```
Par exemple :
```
Revoke-MgUserSignInSession -UserId jason@contoso.onmicrosoft.com
```

Pour plus d’informations, consultez Révoquer l’accès utilisateur en cas d’urgence dans Microsoft Entra ID.

Étape 3 : Passer en revue les appareils inscrits MFA pour l’utilisateur concerné

Identifiez et supprimez tous les appareils suspects ajoutés par un attaquant. Vérifiez également que toutes les méthodes MFA non reconnues sont supprimées pour sécuriser le compte de l’utilisateur.

Pour obtenir des instructions, consultez Méthodes MFA supprimées

Supprimez et révoquez toutes les applications qui ne doivent pas être autorisées.

Pour obtenir des instructions, consultez Révision de l’application.

Étape 5 : Passer en revue les rôles d’administration attribués à l’utilisateur

Supprimez tous les rôles qui ne doivent pas être autorisés.

Si vous souhaitez en savoir plus, consultez les articles suivants :

Étape 6 : Passer en revue les redirecteurs de courrier

Supprimez tout transfert de boîte aux lettres suspect ajouté par l’attaquant.

Connectez-vous à Exchange Online PowerShell.
Pour voir si le transfert de boîte aux lettres (également appelé transfert SMTP) est configuré sur la boîte aux lettres, remplacez Identity> par <le nom, l’adresse e-mail ou le nom du compte de la boîte aux lettres, puis exécutez la commande suivante :
```
Get-Mailbox -Identity \<Identity\> | Format-List Forwarding*Address,DeliverTo*
```
Par exemple :
```
Get-Mailbox -Identity jason@contoso.com | Format-List Forwarding*Address,DeliverTo*
```
Observez les valeurs des propriétés suivantes :
- ForwardingAddress : une valeur non vide signifie que l’e-mail est transféré au destinataire interne spécifié.
- ForwardingSmtpAddress : une valeur non vide signifie que l’e-mail est transféré au destinataire externe spécifié. Si ForwardingAddress et ForwardingSmtpAddress sont configurés, l’e-mail est transféré uniquement au destinataire interne ForwardingAddress .
- DeliverToMailboxAndForward : contrôle la façon dont les messages sont remis et transférés aux destinataires spécifiés par ForwardingAddress ou ForwardingSmtpAddress :
  - True : les messages sont remis à cette boîte aux lettres et transférés au destinataire spécifié.
  - False : les messages sont transférés au destinataire spécifié. Les messages ne sont pas remis à cette boîte aux lettres.
Pour voir si des règles de boîte de réception transfèrent des e-mails à partir de la boîte aux lettres, remplacez Identity> par <le nom, l’adresse e-mail ou le nom du compte de la boîte aux lettres, puis exécutez la commande suivante :
```
Get-InboxRule -Mailbox <Identity> -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
```
Par exemple :
```
Get-InboxRule -Mailbox jason@contoso.com -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
```
Observez les valeurs des propriétés suivantes :
- Activé : indique si la règle est activée (True) ou désactivée (False).
- RedirectTo : une valeur non vide signifie que l’e-mail est redirigé vers les destinataires spécifiés. Les messages ne sont pas remis à cette boîte aux lettres.
- ForwardTo : une valeur non vide signifie que le courrier électronique est transféré aux destinataires spécifiés.
- ForwardAsAttachmentTo : une valeur non vide signifie que le courrier électronique est transféré aux destinataires spécifiés sous forme de pièce jointe.
- Identité : valeur globale unique de la règle. Pour afficher les détails complets de la règle, remplacez Identity> par <la valeur Identity, puis exécutez la commande suivante :
```
Get-InboxRule -Identity "<Identity>" -IncludeHidden | Format-List
```
  Par exemple :
```
Get-InboxRule -Identity "jason\10210541742734704641" -IncludeHidden | Format-List
```

Pour plus d’informations, consultez Configuration et contrôle du transfert de courrier électronique externe dans Microsoft 365.

Effectuer une investigation

Lorsqu’un utilisateur signale des symptômes inhabituels, il est essentiel de mener une investigation approfondie. Le centre d’administration Microsoft Entra et le portail Microsoft Defender fournissent plusieurs outils pour vous aider à examiner les activités suspectes sur les comptes d’utilisateur. Veillez à consulter les journaux d’audit depuis le début de l’activité suspecte jusqu’à ce que vous complétiez les étapes de correction.

Microsoft Entra journaux de connexion et d’autres rapports de risque dans le centre d’administration Microsoft Entra : Examinez les valeurs dans ces colonnes :
- Adresse IP
- Emplacements de connexion
- Heures de connexion
- Réussite ou échec de la connexion
Si vous souhaitez en savoir plus, consultez les articles suivants :
- Que sont les journaux d’audit Microsoft Entra ?
- Que sont Microsoft Entra journaux de connexion ?
Journaux d’audit Azure : pour plus d’informations, consultez Journalisation et audit de sécurité Azure.
Journaux d’audit dans le portail Defender : filtrez les journaux d’activité à l’aide d’une plage de dates qui commence immédiatement avant que l’activité suspecte ne se produise. Ne filtrez pas d’activités spécifiques pendant la recherche initiale.

Pour plus d’informations, consultez Rechercher dans le journal d’audit.

En analysant les journaux fournis, vous pouvez identifier la période spécifique qui nécessite une attention particulière. Une fois identifié, passez en revue les messages envoyés par l’utilisateur pendant cette période pour obtenir plus d’informations.

Suivi des messages dans le portail Defender : vérifiez le contenu du dossier Éléments envoyés du compte dans Outlook ou Outlook sur le web.

Pour plus d’informations, consultez Suivi des messages dans le portail Microsoft Defender.

Une fois l’enquête terminée

Si vous avez désactivé le compte pendant l’examen, réinitialisez le mot de passe, puis activez le compte comme décrit plus haut dans cet article
Si le compte a été utilisé pour envoyer du courrier indésirable ou un volume élevé d’e-mails, il est probable que la boîte aux lettres soit bloquée. Supprimez l’utilisateur de la page Entités restreintes, comme décrit dans Supprimer les utilisateurs bloqués de la page Entités restreintes.

Plus de ressources

Détecter et résoudre les attaques par injections sur les règles d’Outlook et les formulaires personnalisés dans Microsoft 365

Détecter et corriger les octrois de consentement illicites

Signaler le courrier indésirable, le courrier indésirable, l’hameçonnage, les e-mails suspects et les fichiers à Microsoft