Réponse à un compte de messagerie compromis

• S’applique à:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

L’accès aux boîtes aux lettres, aux données et aux autres services Microsoft 365 est contrôlé par les informations d’identification (par exemple, un nom d’utilisateur et un mot de passe ou un code pin). Lorsqu’une personne autre que l’utilisateur prévu vole ces informations d’identification, le compte associé est considéré comme compromis.

Une fois qu’un attaquant a volé les informations d’identification et obtenu l’accès au compte, il peut accéder à la boîte aux lettres Microsoft 365, aux dossiers SharePoint ou aux fichiers associés dans le OneDrive de l’utilisateur. Les attaquants utilisent souvent la boîte aux lettres compromise pour envoyer des e-mails en tant qu’utilisateur d’origine aux destinataires à l’intérieur et à l’extérieur du organization. Les attaquants qui utilisent des e-mails pour envoyer des données à des destinataires externes sont appelés exfiltration de données.

Cet article explique les symptômes de la compromission de compte et comment reprendre le contrôle du compte compromis.

Symptômes d’un compte de messagerie Microsoft compromis

Les utilisateurs peuvent noter et rapporter des activités inhabituelles dans leur boîte aux lettres Microsoft 365. Par exemple :

• Activité suspecte, telle que des e-mails manquants ou supprimés.
• Utilisateurs recevant des e-mails du compte compromis sans l’e-mail correspondant dans le dossier Éléments envoyés de l’expéditeur.
• Règles de boîte de réception qui n’ont pas été créées par l’utilisateur ou les administrateurs. Ces règles peuvent transférer automatiquement le courrier électronique à des adresses inconnues ou déplacer des messages vers les dossiers Notes, Email indésirables ou Abonnements RSS.
• Le nom complet de l’utilisateur est modifié dans la liste d’adresses globale.
• La boîte aux lettres de l’utilisateur peut se trouver bloquée et ne peut plus envoyer de messages électroniques.
• Les dossiers Éléments envoyés ou Éléments supprimés dans Microsoft Outlook ou Outlook sur le web (anciennement Outlook Web App) contiennent des messages typiques pour les comptes compromis (par exemple, « Je suis bloqué à Londres, envoyer de l’argent »).
• Changements de profil inhabituels. Par exemple, le nom, le numéro de téléphone ou les mises à jour du code postal.
• Changements de mot de passe multiples et fréquents.
• La fonctionnalité de transfert du courrier a été ajoutée récemment.
• Des signatures inhabituelles ont été ajoutées récemment. Par exemple, une fausse signature bancaire ou une signature de médicament sur ordonnance.

Si un utilisateur signale ces symptômes ou d’autres symptômes inhabituels, vous devez examiner. Le portail Microsoft Defender et le Portail Azure offrent les outils suivants pour vous aider à examiner les activités suspectes sur un compte d’utilisateur.

• Journaux d’audit unifiés dans le portail Microsoft Defender : filtrez les journaux d’activité à l’aide d’une plage de dates qui commence immédiatement avant que l’activité suspecte ne s’est produite aujourd’hui. Ne filtrez pas sur des activités spécifiques pendant la recherche. Pour plus d’informations, consultez Recherche le journal d’audit.

• Microsoft Entra journaux de connexion et d’autres rapports de risque dans le centre d'administration Microsoft Entra : Examinez les valeurs dans ces colonnes :

  • Examen des adresses IP
  • emplacements de connexion
  • heure de connexion
  • réussite ou échec des connexions

Importante

Le bouton suivant vous permet de tester et d’identifier les activités suspectes des comptes. Vous pouvez utiliser ces informations pour récupérer un compte compromis.

Exécuter des tests : comptes compromis

Sécuriser et restaurer la fonction de messagerie dans un compte et une boîte aux lettres Microsoft 365 compromis

Même après que l’utilisateur a récupéré l’accès à son compte, l’attaquant peut avoir des entrées de porte arrière gauche qui permettent à l’attaquant de reprendre le contrôle du compte.

Effectuez toutes les étapes suivantes pour reprendre le contrôle du compte. Suivez les étapes dès que vous soupçonnez un problème et le plus rapidement possible pour vous assurer que l’attaquant ne reprend pas le contrôle du compte. Ces étapes vous aident également à supprimer toutes les entrées de porte arrière que l’attaquant a peut-être ajoutées au compte. Après avoir suivi ces étapes, nous vous recommandons d’exécuter une analyse antivirus pour vous assurer que l’ordinateur client n’est pas compromis.

Étape 1 : Réinitialiser le mot de passe de l’utilisateur

Suivez les procédures décrites dans Réinitialiser un mot de passe d’entreprise pour une autre personne.

Importante

• N’envoyez pas le nouveau mot de passe à l’utilisateur par e-mail, car l’attaquant a toujours accès à la boîte aux lettres à ce stade.

• Veillez à utiliser un mot de passe fort : lettres majuscules et minuscules, au moins un chiffre et au moins un caractère spécial.

• Même si l’historique des mots de passe le permet, ne réutilisez aucun des cinq derniers mots de passe. Utilisez un mot de passe unique que l’attaquant ne peut pas deviner.

• Si l’identité locale est fédérée avec Microsoft 365, vous devez modifier le mot de passe du compte local, puis informer l’administrateur de la compromission.

• Veillez à mettre à jour les mots de passe d’application. Les mots de passe d’application ne sont pas automatiquement révoqués lorsque vous réinitialisez le mot de passe. L’utilisateur doit supprimer les mots de passe d’application existants et en créer de nouveaux. Pour obtenir des instructions, consultez Gérer les mots de passe d’application pour la vérification en deux étapes.

• Nous vous recommandons vivement d’activer l’authentification multifacteur (MFA) pour le compte. L’authentification multifacteur est un bon moyen d’empêcher la compromission des comptes. Elle est très importante pour les comptes disposant de privilèges administratifs. Pour consulter des instructions, voir Configurer Multi-factor Authentification (MFA).

Étape 2 : Supprimer les adresses de transfert de courrier suspectes

1. Dans le Centre d'administration Microsoft 365 sur https://admin.microsoft.com, accédez à Utilisateurs>Utilisateurs actifs. Ou, pour accéder directement à la page Utilisateurs actifs , utilisez https://admin.microsoft.com/Adminportal/Home#/users.

2. Dans la page Utilisateurs actifs, recherchez le compte d’utilisateur, puis sélectionnez-le en cliquant n’importe où dans la ligne autre que la zone case activée en regard du nom.

3. Dans le menu volant de détails qui s’ouvre, sélectionnez l’onglet Courrier .

4. La valeur Appliquée dans la section de transfert Email indique que le transfert de courrier est configuré sur le compte.

   Sélectionnez Gérer le transfert de courrier électronique, désactivez la zone Transférer tous les messages électroniques envoyés à cette boîte aux lettres case activée dans le menu volant Gérer le transfert de courrier électronique qui s’ouvre, puis sélectionnez Enregistrer les modifications.

Étape 3 : Désactiver les règles de boîte de réception suspectes

1. Ouvrez la boîte aux lettres d’archivage avec Outlook sur le web.

2. Sélectionnez Paramètres (icône d’engrenage), entrez « règles » dans la zone Recherche, puis sélectionnez Règles de boîte de réception dans les résultats.

3. Sous l’onglet Règles du menu volant qui s’ouvre, passez en revue les règles existantes et désactivez ou supprimez les règles suspectes.

Étape 4 : Débloquer l’envoi de messages par l’utilisateur

Si le compte a été utilisé pour envoyer du courrier indésirable ou un volume élevé d’e-mails, il est probable que la boîte aux lettres ait été bloquée.

Pour débloquer une boîte aux lettres de l’envoi d’e-mails, suivez les procédures décrites dans Supprimer les utilisateurs bloqués de la page Entités restreintes.

Étape 5 (facultatif) : Empêcher le compte d’utilisateur de se connecter

Importante

Vous pouvez empêcher le compte de se connecter jusqu’à ce que vous croyiez qu’il est sûr de réactiver l’accès.

1. Procédez comme suit dans le Centre d'administration Microsoft 365 à l’adresse https://admin.microsoft.com:

   1. Accédez à Utilisateurs>Utilisateurs actifs. Ou, pour accéder directement à la page Utilisateurs actifs , utilisez https://admin.microsoft.com/Adminportal/Home#/users.
   2. Dans la page Utilisateurs actifs , recherchez et sélectionnez le compte d’utilisateur dans la liste en effectuant l’une des étapes suivantes :
      • Sélectionnez l’utilisateur en cliquant n’importe où dans la ligne autre que la zone case activée en regard du nom. Dans le menu volant de détails qui s’ouvre, sélectionnez Bloquer la connexion en haut du menu volant.
      • Sélectionnez l’utilisateur en sélectionnant la zone case activée en regard du nom. Sélectionnez Autres actions>Modifier la connexion status.
   3. Dans le menu volant Bloquer la connexion qui s’ouvre, lisez les informations, sélectionnez Empêcher cet utilisateur de se connecter, sélectionnez Enregistrer les modifications, puis sélectionnez Fermer en haut du menu volant.

2. Effectuez les étapes suivantes dans le Centre d’administration Exchange (EAC) à l’adresse https://admin.exchange.microsoft.com:

   1. Accédez à Destinataires>Boîtes aux lettres. Ou, pour accéder directement à la page Boîtes aux lettres , utilisez https://admin.exchange.microsoft.com/#/mailboxes.
   2. Dans la page Boîtes aux lettres , recherchez et sélectionnez l’utilisateur dans la liste en effectuant l’une des étapes suivantes :
      • Sélectionnez l’utilisateur en cliquant n’importe où dans la ligne autre que la zone de case activée arrondie qui s’affiche en regard du nom.
      • Sélectionnez l’utilisateur en sélectionnant la zone de case activée arrondie qui s’affiche en regard du nom, puis en sélectionnant l’action Modifier qui apparaît sur la page.
   3. Dans le menu volant de détails qui s’ouvre, procédez comme suit :

      1. Vérifiez que l’onglet Général est sélectionné, puis sélectionnez Gérer les paramètres des applications de messagerie dans la section applications Email & appareils mobiles.

      2. Dans le menu volant Gérer les paramètres des applications de messagerie qui s’ouvre, désactivez tous les paramètres disponibles en définissant les bascules sur Désactivé :

         • Bureau Outlook (MAPI)
         • Services Web Exchange
         • Mobile (Exchange ActiveSync)
         • IMAP
         • POP3
         • Outlook sur le Web

         Lorsque vous avez terminé dans le menu volant Gérer les paramètres des applications de messagerie, sélectionnez Enregistrer, puis Fermer en haut du menu volant.

Étape 6 (facultatif) : Supprimer le compte soupçonné d'avoir été compromis de tous les groupes de rôles d’administration

Remarque

Vous pouvez restaurer l’appartenance de l’utilisateur aux groupes de rôles d’administration une fois le compte sécurisé.

1. Dans le Centre d’administration Microsoft 365 à https://admin.microsoft.com, procédez comme suit :

   1. Accédez à Utilisateurs>Utilisateurs actifs. Ou, pour accéder directement à la page Utilisateurs actifs , utilisez https://admin.microsoft.com/Adminportal/Home#/users.

   2. Dans la page Utilisateurs actifs , recherchez et sélectionnez le compte d’utilisateur dans la liste en effectuant l’une des étapes suivantes :

      • Sélectionnez l’utilisateur en cliquant n’importe où dans la ligne autre que la zone case activée en regard du nom. Dans le menu volant de détails qui s’ouvre, vérifiez que l’onglet Compte est sélectionné, puis sélectionnez Gérer les rôles dans la section Rôles .
      • Sélectionnez l’utilisateur en sélectionnant la zone case activée en regard du nom. Sélectionnez Autres actions>Gérer les rôles.

   3. Dans le menu volant Gérer les rôles d’administrateur qui s’ouvre, procédez comme suit :

      • Enregistrez les informations que vous souhaitez restaurer ultérieurement.
      • Supprimez l’appartenance au rôle d’administration en sélectionnant Utilisateur (aucun accès au centre d’administration).

      Lorsque vous avez terminé dans le menu volant Gérer les rôles d’administrateur , sélectionnez Enregistrer les modifications.

2. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, procédez comme suit :

   1. Accédez à Autorisations>Email & rôles de> collaborationRôles. Ou, pour accéder directement à la page Autorisations, utilisez https://security.microsoft.com/emailandcollabpermissions.
   2. Dans la page Autorisations , sélectionnez un groupe de rôles dans la liste.
   3. Recherchez le compte d’utilisateur dans la section Membres du menu volant de détails qui s’ouvre. Si le groupe de rôles contient le compte d’utilisateur, procédez comme suit :
      1. Dans la section Membres , sélectionnez Modifier.
      2. Sous l’onglet Choisir les membres du menu volant qui s’ouvre, sélectionnez Modifier.
      3. Dans le menu volant Choisir les membres qui s’ouvre, sélectionnez Supprimer.
      4. Dans la section Membres qui s’affiche, sélectionnez le compte d’utilisateur en sélectionnant la zone case activée en regard du nom, sélectionnez Supprimer, puis sélectionnez Terminé.
      5. Dans le menu volant Modifier Choisir des membres , sélectionnez Enregistrer.
      6. Dans le menu volant détails du groupe de rôles, sélectionnez Fermer.
   4. Répétez les étapes précédentes pour chaque groupe de rôles dans la liste.

3. Dans le Centre d’administration Exchange à https://admin.exchange.microsoft.com/, procédez comme suit :

   1. Accédez à Rôles>Administration rôles. Ou pour accéder directement à la page des rôles Administration, utilisez https://admin.exchange.microsoft.com/#/adminRoles.

   2. Dans la page Administration rôles, sélectionnez un groupe de rôles dans la liste en cliquant n’importe où dans la ligne autre que la zone de case activée ronde qui s’affiche en regard du nom.

   3. Dans le menu volant de détails qui s’ouvre, sélectionnez l’onglet Affecté , puis recherchez le compte d’utilisateur. Si le groupe de rôles contient le compte d’utilisateur, procédez comme suit :

      1. Sélectionnez le compte d’utilisateur.
      2. Sélectionnez l’action Supprimer qui s’affiche, sélectionnez Oui, supprimer dans la boîte de dialogue d’avertissement, puis sélectionnez Fermer en haut du menu volant.

   4. Répétez les étapes précédentes pour chaque groupe de rôles dans la liste.

Étape 7 (facultatif) : Mesures de précaution supplémentaires

1. Vérifiez le contenu du dossier Éléments envoyés du compte dans Outlook ou Outlook sur le web.

   Vous devrez peut-être informer les personnes de votre liste de contacts que votre compte a été compromis. Par exemple, l’attaquant peut avoir envoyé des messages demandant de l’argent à vos contacts, ou l’attaquant peut avoir envoyé un virus pour détourner leurs ordinateurs.

2. Les comptes de tous les autres services qui utilisent ce compte comme compte de messagerie de remplacement ont peut-être également été compromis. Après avoir suivi les étapes décrites dans cet article pour le compte de ce organization Microsoft 365, procédez comme suit pour vos autres comptes.

3. Vérifiez les informations de contact (par exemple, les numéros de téléphone et les adresses) du compte.

Voir aussi

• Détecter et résoudre les attaques par injections sur les règles d’Outlook et les formulaires personnalisés dans Microsoft 365
• Détecter et corriger les octrois de consentement illicites
• Centre de plaintes contre la criminalité sur Internet
• Securities and Exchange Commission (SEC) : fraude à « l’hameçonnage » (phishing)
• Pour signaler un courrier électronique indésirable directement à Microsoft et à votre administrateur Utiliser le complément Message de Rapport