MtoM Mag - Le journal de l'MtoM.

Les chercheurs de Praetorian ont mis en lumière Ghost Calls, une technique d’évasion de commande et de contrôle post-exploitation qui envoie le trafic des attaquants via des serveurs TURN (Traversal Using Relays around NAT) légitimes utilisés par Zoom et Microsoft Teams, entre autres, afin d’échapper à la détection. L’attaque consiste à détourner les identifiants TURN temporaires que les appels de conférence reçoivent lorsqu’ils rejoignent une réunion, puis à établir un tunnel entre l’hôte compromis et la machine de l’attaquant.

Les appels fantômes n’exploitent pas une faille des plateformes de conférence elles-mêmes, mais détournent les identifiants TURN temporaires utilisés par les appels légitimes pour établir la connexion. En acheminant le trafic des attaquants via une infrastructure de collaboration autorisée, les cybercriminels peuvent exploiter des fonctionnalités légitimes à la vue de tous, échappant ainsi à la détection et contournant les contrôles de sécurité traditionnels pendant plusieurs jours.

Ces attaques démontrent que les outils de collaboration peuvent être ciblés non seulement pour compromettre initialement un système, mais aussi comme mécanisme de commande et de contrôle persistant. Une fois à l’intérieur d’un réseau compromis, les attaquants peuvent se déplacer latéralement, accéder aux identifiants et élever leurs privilèges sans déclencher les alertes conventionnelles.

Les plateformes de conférence et de messagerie doivent être considérées comme des points d’accès privilégiés et faire l’objet des mêmes contrôles et vérifications que ceux appliqués à l’infrastructure centrale. Cela implique de renforcer les workflows d’identité, de surveiller les activités anormales des sessions et d’appliquer le principe du moindre privilège à tous les niveaux. Dans un modèle de sécurité zéro confiance, le trafic collaboratif n’est jamais implicitement considéré comme fiable : il est soumis à une validation, une segmentation et une surveillance continues en temps réel. Une solution moderne de gestion des accès privilégiés aide les organisations à atteindre le zéro confiance, à minimiser les menaces internes et externes et à réduire l’impact d’une violation réussie.

Par Darren Guccione, PDG et cofondateur de Keeper Security

À l’ère du travail hybride, les plateformes de collaboration telles que Microsoft Teams et Zoom sont devenues la colonne vertébrale des communications d’entreprise. Elles connectent les équipes à l’échelle mondiale, rationalisent les projets et assurent la continuité des activités. Il est aujourd’hui impossible d’imaginer des organisations fonctionnant efficacement sans elles. Cependant, des recherches récentes ont révélé que ces outils importants peuvent être utilisés comme des armes pour contourner complètement les défenses traditionnelles.

Les appels fantômes, qui exploitent les serveurs TURN (Traversal Using Relays around NAT) pour détourner des sessions de conférence, constituent un autre vecteur d’attaque préoccupant dans la panoplie toujours plus vaste des cybercriminels. En s’emparant des identifiants temporaires attribués aux utilisateurs légitimes, les attaquants peuvent acheminer des activités malveillantes à travers l’infrastructure que les organisations ont intrinsèquement autorisée. Une fois à l’intérieur du réseau, les adversaires peuvent se déplacer sans être détectés, opérant dans les limites des activités commerciales approuvées.

Les plateformes telles que Teams et Zoom ne sont pas seulement un moyen de communication essentiel, elles sont devenues des systèmes métier critiques, intégrés à des référentiels de documents, des plateformes de gestion de projet et des fournisseurs d’identité. Pour de nombreuses organisations, la frontière entre « communication » et « infrastructure métier » est devenue floue. Les cybercriminels en sont conscients et considèrent ces plateformes comme des tremplins idéaux pour mener leurs activités malveillantes.

Le détournement des identifiants TURN permet aux acteurs malveillants de :

 Établir des canaux de commande et de contrôle secrets au sein des réseaux organisationnels.

 Contourner les défenses périmétriques en mélangeant le trafic malveillant avec les flux commerciaux légitimes.

 Maintenir un accès persistant sans laisser les traces traditionnelles des logiciels malveillants ou des campagnes de phishing.

Lorsque ces outils sont intégrés à des environnements d’authentification unique (SSO) ou disposent de privilèges élevés sur d’autres systèmes, le niveau de menace est considérablement accru. Sans contrôles de sécurité appropriés, une session compromise sur une plateforme de collaboration peut rapidement se transformer en une violation affectant les finances, les ressources humaines, les données clients ou la propriété intellectuelle.

Ce scénario représente un modèle de compromission à long terme dans les environnements à forte valeur ajoutée. Le défi réside dans le fait que les outils de collaboration sont souvent considérés comme « à faible risque » car ils ne figurent pas sur les listes traditionnelles des infrastructures critiques.

Sécuriser les outils de collaboration grâce à la gestion des accès privilégiés

Les responsables de la cybersécurité doivent reconnaître que les plateformes de collaboration font partie de l’écosystème d’accès privilégié de l’organisation et doivent être protégées avec la même rigueur que les consoles d’administration ou les bases de données sensibles. Cela signifie :

 Appliquer les principes du zero trust à chaque session, en veillant à ce qu’aucun trafic de collaboration ne soit implicitement considéré comme fiable.

 Appliquer le principe du moindre privilège afin que les comptes de conférence et les intégrations ne disposent que des droits minimaux nécessaires à leur fonctionnement.

 Mettre en place une surveillance continue des comportements inhabituels, tels que les transferts de données inattendus, les durées de session atypiques ou les nouvelles connexions d’appareils pendant les appels.

 Segmenter les chemins d’accès afin que, même si une session est piratée, l’attaquant ne puisse pas se déplacer latéralement vers d’autres systèmes sans se heurter à des barrières d’authentification supplémentaires.

L’essor des appels fantômes comme technique d’attaque nous rappelle une fois de plus que les cybercriminels chercheront toujours à exploiter les failles de la sécurité des organisations. Cela souligne également à quel point les outils professionnels de confiance sont considérés comme des cibles de choix en raison de la confiance implicite qui leur est accordée. À mesure que les plateformes de collaboration s’intègrent de plus en plus profondément dans les workflows des entreprises, le coût de leur traitement en tant que systèmes périphériques augmente de manière exponentielle.

Aujourd’hui, chaque connexion est un point d’entrée potentiel. En appliquant le principe du moindre privilège, en isolant les ressources sensibles et en surveillant en permanence chaque session privilégiée, les solutions modernes de gestion des accès privilégiés (PAM) peuvent fermer les voies secrètes sur lesquelles s’appuient les attaques telles que le détournement de serveur TURN, empêchant ainsi les pirates d’utiliser des outils de collaboration fiables comme canaux de commande et de contrôle.