Accueil > Actualités > Recrudescence des attaques AiTM (Adversary-in-the-Middle) : explication et recommandations

Recrudescence des attaques AiTM (Adversary-in-the-Middle) : explication et recommandations

10 Juin. 2021

Cybermenace comprendre l’attaque AiTM

Une menace en forte recrudescence cible depuis plusieurs mois les environnements Microsoft 365 : les attaques de type AiTM (Adversary-in-the-Middle).

Déclenchées par un simple partage de fichier à l’apparence légitime, ces attaques proviennent souvent d’un phishing et restent difficiles à contrer, les barrières techniques étant encore limitées ou insuffisamment déployées.

Comment s’en prémunir et quelles solutions mettre en place ?

ACESI vous en dit plus ⬇️

Le scénario d’attaque observé

Le processus des attaques AiTM suit souvent le même schéma :

  1. Tout d’abord, vous recevez une notification légitime du type « Quelqu’un a partagé un fichier avec vous ».
  2. Le lien mène ensuite vers un fichier, illégitimement hébergé dans l’environnement M365 de votre interlocuteur : OneNote, OneDrive, etc.
  3. Ce fichier contient un lien vous invitant à entrer vos identifiants, votre mot de passe, votre MFA Microsoft ou un code qui validera une session depuis un nouvel appareil.
  4. C’est à ce moment que l’attaquant intercepte votre session valide.
  5. Votre compte est alors compromis sans nouvelle demande d’authentification.

L’attaque se propage ensuite en cascade :

  • Accès aux emails, fichiers OneDrive / SharePoint
  • Création de règles de redirection,
  • Envoi de partages ou emails frauduleux depuis votre compte, à vos contacts externes
  • Compromission de partenaires, clients ou collègues.
Schéma d’attaque

Une menace difficile à bloquer aujourd’hui

Aujourd’hui, peu de barrières techniques empêchent efficacement ce type d’attaque :

  • les attaquants utilisent des outils très sophistiqués,
  • le MFA seul ne suffit plus face au vol de cookies de session,
  • les emails et notifications exploités sont parfaitement crédibles.

Mesures de protection recommandées

Pour réduire efficacement le risque, les équipes Cyber d’ACESI recommandent la mise en place de contrôles de sécurité avancés :

  • Microsoft Entra ID – User Risk & Sign-in Risk (licence Microsoft E5)
    • Détection et blocage automatique des connexions à risque
    • Réponse en temps réel aux attaques AiTM
  • Sophos ITDR (Identity Threat Detection & Response)
    • Détection des comportements anormaux sur les identités
    • Blocage rapide des comptes compromis
    • Réduction de la propagation en cascade

Dans ce type d’attaque, la rapidité de réaction est la clé pour limiter l’impact.

Acesi vous accompagne Evaluez votre exposition aux cybermenaces

Demandez une expertise

Nos équipes sont à votre disposition pour approfondir ces mécanismes, évaluer votre exposition et vous accompagner dans la mise en place des protections adaptées.

Contactez-nous pour planifier un rendez-vous avec l’un de nos consultants.

Retour aux actualités
Ces articles peuvent vous intéresser