Playbook de Réponse aux Incidents : Investigation BEC (Business Email Compromise)

Note

Résumé exécutif : la compromission de la messagerie d’entreprise (BEC - Business Email Compromise) est une forme de spear-phishing hautement ciblée, conçue pour tromper les employés afin de les amener à exécuter des actions non autorisées, le plus souvent des virements bancaires frauduleux ou la divulgation de données sensibles. Contrairement aux campagnes de malwares de masse, le BEC s’appuie massivement sur l’ingénierie sociale, l’usurpation d’identité, et se produit souvent sans aucune charge utile malveillante. Ce playbook décrit le processus de triage et d’investigation pour contenir les dommages financiers et réputationnels.

1. Les trois piliers du BEC

Les attaques BEC se divisent généralement en trois scénarios opérationnels distincts. Les analystes doivent rapidement identifier le paradigme auquel ils font face.

Fraude au président (CEO Fraud)

L’acteur de la menace usurpe l’identité d’un haut dirigeant (ex: PDG, DAF) pour ordonner un virement urgent et hautement confidentiel à un employé du service financier.

Compromission de compte (EAC)

L’attaquant obtient le contrôle réel de la boîte aux lettres d’un employé. Il utilise l’infrastructure légitime pour communiquer en interne ou intercepter des conversations en cours avec des fournisseurs.

Fraude à la facture (Vendor Compromise)

L’attaquant usurpe l’identité d’un fournisseur légitime et soumet une fausse facture ou une demande formelle de modification de coordonnées bancaires (RIB) vers un compte sous son contrôle.

2. Phase 1 : triage initial et pivot d’authentification

L’objectif principal du triage initial est de déterminer la nature technique de l’attaque : s’agit-il d’une usurpation de domaine externe (spoofing) ou un compte interne a-t-il été activement compromis ?

1. Exécuter le triage initial de l’email : commencer par appliquer lePlaybook d’analyse d’email suspect à l’échantillon .eml ou .msg signalé.
2. Le pivot d’authentification (étape critique) : l’analyse des en-têtes dicte la trajectoire complète de l’investigation. Localiser l’en-tête Authentication-Results.
   • Résultat A : dmarc=fail ou softfail.
     • Conclusion : il s’agit d’une attaque par usurpation externe (Spoofing). Le domaine de l’expéditeur a été falsifié, l’attaquant n’a PAS le contrôle du compte interne.
     • Action : concentrer l’investigation sur le blocage de l’adresse IP source, l’analyse des URLs ou pièces jointes incluses, et l’émission de communications de sécurité internes.
   • Résultat B : dmarc=pass et spf=pass.
     • Conclusion : il s’agit d’un scénario critique. L’email a été envoyé légitimement depuis le serveur de messagerie autorisé. L’hypothèse principale bascule immédiatement vers une compromission réelle du compte de messagerie (EAC).
     • Action : passer immédiatement à la Phase 2 (Investigation EAC).

3. Phase 2 : investigation de la compromission de compte (EAC)

Si les contrôles d’authentification réussissent (Résultat B), les analystes doivent présumer que l’acteur de la menace possède des identifiants valides ou des jetons de session pour le compte de l’expéditeur.

A. Journaux d’identité et d’accès (Entra ID)

L’investigation doit pivoter vers les journaux du fournisseur d’identité (IdP) pour confirmer l’accès non autorisé.

• Examiner les journaux de connexion Microsoft Entra ID pour le compte suspecté d’être compromis.
• Chasser les User-Agents anormaux, les scénarios de voyage impossible (impossible travel), ou les authentifications provenant de VPN anonymes ou de nœuds de sortie Tor.
• Confinement immédiat : si une session suspecte est identifiée, imposer immédiatement une réinitialisation du mot de passe et révoquer tous les jetons de session actifs pour l’utilisateur compromis.

B. Cartographie de l’activité de l’attaquant (Journal d’audit unifié)

Une fois dans la boîte aux lettres, les acteurs BEC établissent typiquement des mécanismes de persistance et de reconnaissance. Le journal d’audit unifié (UAL - Unified Audit Log) de Microsoft 365 est le terrain de chasse principal.

• Règles de boîte de réception malveillantes : c’est le TTP numéro 1 du BEC. Les attaquants exécutent New-InboxRule pour :
  • Transférer silencieusement une copie de tous les emails entrants vers une adresse de dépôt externe.
  • Supprimer ou déplacer automatiquement les réponses entrantes contenant des mots-clés comme “facture”, “virement”, “fraude” ou “phishing” vers le dossier RSS ou Archives, masquant ainsi l’attaque à l’utilisateur légitime.
• Reconnaissance (MailItemsAccessed) : interroger l’UAL pour les événements MailItemsAccessed afin de déterminer si l’attaquant a lu des emails historiques sensibles pour comprendre les procédures de facturation de l’entreprise avant de frapper.

C. Mouvement latéral (Message Trace)

Utiliser la fonction Message Trace d’Exchange Online pour déterminer si le compte compromis a été militarisé pour envoyer des emails de phishing internes à d’autres employés ou à des partenaires externes, propageant ainsi la compromission.

4. Requêtes de Threat Hunting

Exploitez les requêtes KQL suivantes dans Microsoft Defender XDR / Sentinel pour identifier rapidement la manipulation de l’infrastructure par des acteurs BEC.

KQL (Règles de messagerie malveillantes)

hunt_bec_inbox_rules.kql

// Détecter la création de règles de boîte de réception suspectes souvent utilisées dans le BEC
CloudAppEvents
| where Application == "Exchange Online"
| where ActionType == "New-InboxRule" or ActionType == "Set-InboxRule"
| extend RuleName = tostring(RawEventData.Name)
| extend ForwardTo = tostring(RawEventData.ForwardTo)
| extend DeleteMessage = tostring(RawEventData.DeleteMessage)
// Filtrer les règles qui transfèrent vers l'extérieur ou suppriment des messages
| where isnotempty(ForwardTo) or DeleteMessage == "True"
| project TimeGenerated, AccountObjectId, RuleName, ForwardTo, DeleteMessage, IPAddress
| sort by TimeGenerated desc

KQL (Connexions suspectes)

hunt_eac_signins.kql

// Chasser les connexions réussies depuis des zones géographiques inattendues
AADSignInEventsBeta
| where ErrorCode == 0 // Connexion réussie
| where AccountUpn == "utilisateur.suspect@votre-entreprise.com"
// Exemple : Exclure les pays d'opération légitimes connus
| where Country != "US" and Country != "FR"
| project TimeGenerated, AccountUpn, IPAddress, Country, City, UserAgent, ClientAppUsed
| sort by TimeGenerated desc

5. Éradication et communication

1. Éradication : supprimer toutes les règles de boîte de réception non autorisées, retirer les permissions de délégation illégitimes, et purger tout email malveillant interne envoyé par le compte compromis en utilisant les fonctionnalités de recherche et destruction (compliance search).
2. Escalade interne : alerter immédiatement les départements financier et juridique. Si une fraude bancaire a eu lieu, les institutions financières doivent être contactées en urgence pour tenter un gel des avoirs.
3. Communication externe : si le compte compromis a été utilisé pour contacter des partenaires ou des fournisseurs externes, il est crucial de les informer que les communications récentes peuvent être frauduleuses.
4. Remédiation : documenter l’incident. La remédiation ultime pour 99 % des attaques BEC est l’application stricte et à l’échelle de l’organisation de l’authentification multifacteur (MFA) et la désactivation des protocoles d’authentification hérités (Legacy Auth).

---

Références et lectures complémentaires

• Sécurité Microsoft : Investigation sur la compromission de la messagerie d’entreprise (BEC)
• MITRE ATT&CK : Phishing: Spearphishing Link (T1566.002)
• Playbook lié : Analyse d’un email suspect