Les spécialistes de l'ingénierie sociale ne disparaissent jamais complètement ; ils évoluent et se perfectionnent. Voici l'histoire d'un groupe d'attaquants assez audacieux pour maintenir des infrastructures compromises au vu et au su de tous, ainsi que des conseils pour s'en prémunir.
Fin mai 2024, Microsoft a observé un groupe de cybercriminels à motivation financière qu'il surveille sous le nom de Storm-1811 faire quelque chose que les contrôles périmétriques traditionnels n'étaient pas conçus pour voir : il s'est connecté à Teams, a dit bonjour et a demandé de l'aide.
L'équipe de veille sur les menaces du géant du cloud et des logiciels avait déjà documenté Les mêmes opérateurs abusaient de l'outil d'assistance à distance Quick Assist depuis la mi-avril de cette année-là, mais le passage à Teams leur a offert une nouvelle porte d'entrée. Storm-1811, écrivent les analystes de Microsoft, « est un groupe de cybercriminels à motivation financière connu pour déployer le ransomware BlackBasta », et les comptes qu'ils ont enregistrés pour cette opération portaient des noms d'affichage si génériques qu'ils sont passés inaperçus : « Help Desk », « Help Desk IT », « Help Desk Support », « IT Support ».
Depuis, ce schéma s'est répété. Le 4 novembre de l'année dernière, un utilisateur externe connecté à un environnement client Sous le nom d'affichage « Support informatique », en utilisant le compte mostafa.s@dhic.edu.eg, ils ont ouvert en vingt-huit minutes une session de partage d'écran Quick Assist contre une cible qui pensait parler à des collègues.
Cinq mois plus tard, en mars de cette année, BlueVoyant publié L'analyse forensique d'une campagne connexe, utilisant une charge utile inédite nommée A0Backdoor, a conclu à « une évolution des tactiques, techniques et procédures associées au groupe de ransomware BlackBasta, dissous après la fuite des journaux de discussion internes de l'opération ». L'équipe a changé, mais le mode opératoire reste le même.
Il s'agit d'un problème persistant. Teams a laissé, pendant quatre ans, des usurpateurs d'identité contourner le modèle de confiance de l'intérieur. Check Point Research, dans une étude publiée entre mars 2024 et la mise en place du correctif final fin octobre 2025, documenté que les attaquants pourraient silencieusement écraser les conversations en réutilisant un identifiant de message client, usurper l'identité des expéditeurs de notifications, modifier les noms d'affichage dans les conversations privées et falsifier l'identité des appelants lors d'appels audio et vidéo.
Des outils légitimes entre les mains de criminels
Si ce système fonctionne à grande échelle, c'est grâce à son architecture, et non à son comportement. Presque chaque composant est autorisé. Quick Assist est installé par défaut sur Windows 11 et s'active avec un code à six chiffres ; les installateurs MSI sont signés numériquement et hébergés sur un espace de stockage cloud personnel Microsoft ; le fichier malveillant hostfxr.dll s'exécute en parallèle dans un processus légitime et ne déchiffre A0Backdoor qu'une fois en mémoire, lorsque la plupart des inspections des terminaux sont déjà terminées.
Même le système de commande et de contrôle se dissimule à la vue de tous : plutôt que les tunnels DNS à enregistrement TXT que les centres d’opérations de sécurité matures ont appris à signaler, A0Backdoor encode ses instructions dans des requêtes DNS MX.
L'heure est à une gouvernance concertée
Alors, à quoi ressemble la gouvernance lorsque des attaquants retournent vos propres processus contre vous, en utilisant des fonctionnalités activées par défaut ?
Un examen plus approfondi de ces fonctionnalités est essentiel, tout comme la désactivation de celles qui sont activées par défaut. Les équipes de sécurité pourraient refuser les invitations de chat B2B en modifiant le comportement par défaut de la commande Set-CsTeamsMessagingPolicy. Elles pourraient configurer l'Assistance rapide selon un flux de travail de support connu, tout en considérant les événements Teams ChatCreated comme un signal de premier ordre au même titre que les données de télémétrie des terminaux et des identités.
Mais ces décisions ne doivent pas être prises de manière isolée. Ces attaques fonctionnent précisément parce qu'aucun responsable ne dispose d'informations suffisantes pour agir. L'équipe en charge de l'identité ne reçoit aucune alerte concernant un événement ChatCreated qu'elle n'exploite pas, tandis que le SOC ne dispose d'aucune règle pour une requête MX qu'il n'a jamais analysée. Une approche de gouvernance unifiée implique une vision globale et unifiée des flux de travail de l'entreprise qui les utilisent.
Un système de gestion intégré (SGI) constitue le principe organisateur d'un flux de travail de gouvernance de bout en bout. Par exemple, selon la norme ISO 27001, les équipes de sécurité et de gouvernance peuvent examiner la politique relative aux conversations externes conformément aux règles d'accès A.5.15. Les organisations peuvent mettre en lumière le canal DNS MX en choisissant de surveiller le MX plutôt que le seul TXT, conformément à la section A.8.16 (activités de surveillance). Cette approche intégrée permet aux analystes de visualiser simultanément les données de création de conversations et de télémétrie MX.
De même, le partage d'écran Quick Assist relève de l'ingénierie des postes de travail (A.8.2 : droits d'accès privilégiés, y compris les outils de bureau à distance). L'invite d'authentification multifacteur qu'il contourne relève de la catégorie A.5.15 (Gestion des identités et des accès), tandis que les installations MSI peuvent être surveillées systématiquement (A.8.19 : installation de logiciels).
Une compréhension globale de ces risques favorise également une meilleure gestion des incidents. Si ce type de risque est intégré à votre cadre de contrôle, il est plus aisé de traiter une compromission via un logiciel collaboratif comme un scénario prévisible et d'élaborer un plan d'action à cet effet, conformément à la section A.5.24 (planification et préparation de la gestion des incidents).
La norme ISO 27001 est le cadre idéal pour ce type de travaux, car elle impose que la gestion des identités, des accès et des incidents soit centralisée dans un système unique et audité en continu, plutôt que répartie entre trois responsables distincts. C'est précisément cette lacune que Storm-1811 et ses successeurs continuent d'ignorer.
Élargissez vos connaissances
Blog: Comment les équipes de sécurité peuvent-elles se préparer à un avenir post-mythe ?
Blog: Comment l'IA agentique crée une nouvelle catégorie de risques pour les équipes de cybersécurité
