Microsoft a monté d’un cran la sécurité de sa solution Defender pour Office 365 avec une protection contre les attaques par bombardement de courriels. Le déploiement de cette fonction a commencé dans le monde entier et doit s’achever fin juillet 2025.
Anciennement connue en tant qu’advanced threat protection (ATP), la solution de sécurisation de la messagerie cloud Defender pour Office 365 de Microsoft se dote d’un dernier rempart contre les attaques par bombardement de courriels (e-mail bombing). Pour rappel ce type de menace consiste à inonder les boîtes de messagerie avec de gros volumes de courriels pour faire tomber les clients ou pour noyer des emails importants dans des flots de courriels indésirables. Depuis plus d’un an, différents groupes de cybercriminels et de ransomwares utilisent cette technique dans leurs attaques comme BlackBasta pour remplir les boîtes de messagerie de ses victimes quelques minutes avant de lancer ses attaques. “Plus récemment, les courriels piégés ont été associés à des leurres simultanés sur Microsoft Teams, Zoom ou par téléphone. Les attaquants se font passer pour des informaticiens et proposent de résoudre le problème de messagerie causé par l’afflux de courriels indésirables, ce qui finit par compromettre le système de la victime ou par y installer des logiciels malveillants”, a prévenu Urja Gandhi, responsable senior produits Microsoft Security.
La fonction mail bombing identifiera et bloquera automatiquement ces attaques assure Microsoft. Cette mesure intervient dans un contexte de hausse généralisée des menaces informatiques exposant les entreprises mais aussi les organismes publics à des acteurs malveillants multipliant les actions de piratage à des fins d’extorsion, de vol de données ou de déstabilisation. Les équipes en charge de la sécurité et de l’administration de la SSI auront accès à la fonction mail bombing depuis l’explorateur de menaces, de la page email, du panneau de résumé des messages et du menu de détection avancée des menaces.
Des bonnes pratiques d’accompagnement à adopter
“En suivant intelligemment les volumes de messages à travers différentes sources et intervalles de temps, cette nouvelle détection exploite les modèles historiques de l’expéditeur et les signaux liés au contenu du spam. Elle empêche les bombardements d’e-mails dans la boîte de réception de l’utilisateur et les messages sont plutôt envoyés dans la corbeille d’Outlook”, indique Microsoft. Les paramètres des expéditeurs sûrs continueront d’être respectés : les messages provenant de ces expéditeurs ne seront pas affectés. La fonction est activée par défaut et ne nécessite aucune configuration manuelle. Elle est en cours de déploiement depuis fin juin au niveau mondial et s’étalera jusqu’à fin juillet.
Microsoft recommande aux entreprises d’informer leurs équipes sécurité de cette dernière capacité de détection, de mettre à jour la documentation et les supports de formation et de passer en revue les politiques de traitement des courriels indésirables pour s’assurer qu’elles sont conformes aux attentes de l’organisation. L’implémentation de cette fonction n’est pas anodine et doit amener les entreprises à considérer ses impacts en termes de conformité. Elle modifie en particulier la façon dont les emails sont classés et acheminés avec des impacts en termes de traitement et de stockage des données, et introduit une logique de détection introduisant ou modifiant les capacités IA/ML de Defender pour Office 365.
