Lorsqu’une entreprise technologique majeure comme Microsoft détecte des attaques de hackers parrainés par un État, on s’attendrait à ce qu’elle avertisse ses clients de manière claire et efficace. Pourtant, les récents emails d’alerte de Microsoft concernant des hacks russes ont semé la confusion, beaucoup les prenant pour des tentatives de phishing.
Des Emails D’Alerte Qui Ressemblent à Du Spam
En mars, Microsoft a confirmé que des hackers du gouvernement russe connus sous le nom de Midnight Blizzard (ou APT29) s’étaient introduits dans ses systèmes pour voler diverses informations, y compris des données sur les clients de Microsoft. Des mois plus tard, Microsoft est toujours en train de notifier ses clients affectés, mais le processus ne se déroule pas très bien.
Les experts critiquent Microsoft pour avoir envoyé des emails qui ressemblent à du spam, voire à des tentatives de phishing. Kevin Beaumont, un ancien employé de Microsoft devenu chercheur en cybersécurité, a averti les entreprises de faire attention à ces emails :
Microsoft a subi une violation par la Russie impactant les données client et n’a pas suivi le processus de violation des données client Microsoft 365. Les notifications ne sont pas dans le portail, ils ont plutôt envoyé un e-mail aux administrateurs locataires.
– Kevin Beaumont, chercheur en cybersécurité
Un des principaux problèmes avec l’email de notification de Microsoft est qu’il inclut un « lien sécurisé » vers un domaine qui n’a aucun lien apparent avec Microsoft. Au lieu de cela, l’e-mail inclut un lien vers : « purviewcustomer.powerappsportals.com ». Ce lien a été soumis plus d’une centaine de fois à urlscan.io, un site qui peut aider à repérer les liens malveillants, suggérant que de nombreuses organisations ont cru que cet e-mail officiel légitime de Microsoft était malveillant.
Une Confusion Généralisée Chez Les Clients Microsoft
Au-delà des avertissements de Beaumont, il y a des preuves que les clients de Microsoft sont légitimement confus. Sur un portail de support Microsoft, un client a partagé l’e-mail que son organisation a reçu pour tenter d’obtenir des éclaircissements sur la légitimité de cet email :
Cet e-mail a plusieurs drapeaux rouges pour moi, la demande de TenantID et essentiellement d’adresses e-mail admin ou de haut niveau, la page powerapps étant sommaire, et une recherche rapide sur Google ne trouvant rien de lié au titre de cet e-mail ou à son contenu. Quelqu’un peut-il confirmer qu’il s’agit d’une demande d’e-mail légitime de Microsoft ?
– Un client Microsoft confus
Un consultant en cybersécurité a déclaré que « plusieurs » de ses clients ont reçu l’e-mail et que « tous étaient inquiets qu’il s’agisse d’un phishing ». Microsoft n’a pas répondu lorsque TechCrunch a demandé combien d’organisations ont été notifiées, ou si l’entreprise prévoit de changer la façon dont elle notifie les clients affectés.
Les Leçons à Tirer Pour La Cybersécurité
Cet incident met en lumière plusieurs points importants concernant la communication en matière de cybersécurité :
- Les entreprises doivent avoir des protocoles clairs pour notifier les clients des violations de données, en utilisant des canaux de communication vérifiés.
- Les emails d’alerte doivent être facilement identifiables comme légitimes et ne pas ressembler à du spam ou du phishing.
- La confusion crée par des communications peu claires peut aggraver l’impact d’une violation de données.
Avec la multiplication des cyberattaques parrainées par des États ciblant de grandes entreprises technologiques, il est crucial que ces entreprises aient des stratégies de communication efficaces pour alerter leurs clients. Microsoft devra tirer les leçons de cet incident pour améliorer ses processus à l’avenir.
