Spoofing webbanner
29 octobre 2021 / Approfondissement

Comment prévenir l'usurpation d'identité par courriel et protéger vos clients ?

Protégez votre domaine contre l'usurpation d'identité, car Microsoft et Google ne le font pas automatiquement.


Un client ou un employé peu méfiant reçoit un courriel de phishing qui semble provenir de votre entreprise. Il clique dessus en toute confiance, transmet des informations sensibles et peut-être même des coordonnées bancaires.

Le pirate est à blâmer, mais vous, en tant qu'entreprise, êtes également responsable. D'une part, il incombe à l'entreprise de sensibiliser ses employés aux dangers du phishing. D'autre part, vous pouvez contribuer à limiter le danger de l'usurpation d'identité comme méthode de phishing à utiliser contre vos clients : l'imitation d'adresses électroniques, ou spoofing, devient impossible si vous prenez les bonnes précautions.

L'usurpation d'identité en tant que technique d'attaque était autrefois un très gros problème. Les attaquants pouvaient déguiser leurs courriels malveillants pour faire croire qu'ils provenaient d'une organisation de confiance sans trop d'efforts. Aujourd'hui, c'est un peu plus complexe, même si le risque a pratiquement disparu. Les organisations de toutes tailles disposent des outils nécessaires pour rendre l'usurpation impossible, mais ces outils sont trop souvent oubliés. Comment les pirates abusent-ils du protocole de messagerie et quelle est votre responsabilité dans la protection de votre domaine ?

Enveloppe et expéditeur

Un courrier électronique envoyé via SMTP (Simple Mail Transfer Protocol - le protocole standard derrière le courrier électronique) ne contient aucun mécanisme d'authentification par défaut. Un courrier classique est contenu dans une enveloppe comportant deux paramètres : "MAIL FROM" et "RCPT TO". Le paramètre "MAIL FROM" indique au serveur de messagerie récepteur d'où provient le message et surtout où ce serveur doit renvoyer les messages d'erreur. Le destinataire humain ne voit pas ces informations.

L'enveloppe contient l'e-mail proprement dit. Il contient également des paramètres tels que les champs "From" (« de » et "Reply-to" (« répondre à »). Les informations qu'il contient sont visibles dans le client de messagerie, en haut du message, pour un destinataire peu méfiant.

Sans aucune forme de sécurité, un criminel peut laisser libre cours à sa créativité dans les champs "MAIL FROM" et "From" - il peut y mettre ce qu'il veut. Tant le client de messagerie que le destinataire verront un message qui semble provenir d'un expéditeur fiable, mais qui provient en réalité d'une adresse clairement malveillante telle que hacker69@phishing.com. Aujourd'hui, il existe diverses techniques de sécurité pour empêcher de tels abus.

Première couche de contrôle : SPF

La première couche de sécurité est appelée SPF, abréviation de Sender Policy Framework. L'authentification SPF injecte une saine suspicion dans le serveur de courrier récepteur en ce qui concerne le champ « MAIL FROM » de l'enveloppe. Le serveur examine le contenu (par exemple : important@bank.com) et se demande ensuite si l'adresse IP de l'expéditeur est autorisée à envoyer depuis le domaine spécifié (@bank.com). Le serveur de messagerie s'appuie alors sur les informations DNS qui appartiennent au domaine. Bien entendu, cela ne fonctionne que si ces informations sont disponibles dans les enregistrements DNS. Si le pirate envoie un message via une adresse IP appartenant à hacker69@phishing.com, mais qu'il déclare dans le champ « MAIL FROM » que l'expéditeur est important@bank.com, le serveur de messagerie le reconnaîtra.

Les solutions modernes de serveur de messagerie telles que Microsoft Exchange ou Microsoft 365 utilisent automatiquement l'authentification SPF pour les courriers entrants, mais c'est au propriétaire du domaine de fournir la liste des adresses IP légitimes afin que l'authentification soit possible.

Si vous avez votre propre domaine, cela ne se fera pas automatiquement, même si vous utilisez Microsoft 365 ou Google Workspace. Si vous créez un enregistrement SPF au sein de votre domaine qui contient les adresses IP authentiques pour le courrier électronique sortant, les cybercriminels ne seront plus en mesure d'usurper votre organisation via le champ « MAIL FROM ». Le registraire de votre domaine peut vous aider à ajuster vos enregistrements DNS.

Spoofing

Mi-protégé, mi-sûr

Le lecteur attentif remarquera que le SPF ne résout qu'une petite partie du problème. Avec le SPF, un attaquant peut toujours inscrire son propre domaine dans le champ « MAIL FROM » afin que la vérification SPF ne déclenche aucune alarme. Le « MAIL FROM » contient alors hacker69@phishing.com et le contrôle SPF ne voit aucun problème puisque le champ "secure" a été rempli correctement.

Le pirate peut utiliser sa propre adresse e-mail ou une boîte aux lettres déjà piratée, sans éveiller les soupçons du destinataire final. Après tout, le destinataire ne verra pas les informations sur l'enveloppe. Notre cybercriminel a encore toute latitude pour modifier le champ « From » visible avec une adresse fiable telle que important@bank.com. Cela suffit pour tromper une victime potentielle.

Une meilleure protection avec DMARC

Heureusement, il existe une solution à ce problème : DMARC, abréviation de Domain-based Message Authentication, Reporting and Conformance, reprend là où SPF s'arrête. Un serveur de messagerie vérifie l'expéditeur « From » via un enregistrement DMARC avec les informations DNS.

Là encore, cette vérification se fait automatiquement du côté du destinataire, à condition que les données DNS correctes soient disponibles. Trop d'organisations oublient de fournir un enregistrement DMARC, ce qui laisse le champ libre aux pirates pour présenter faussement comme expéditeur une adresse électronique de leur domaine. C'est bien pour ceux qui veulent envoyer un courrier de phishing réaliste, mais moins bien pour ceux qui se font piéger parce qu'ils pensaient avoir affaire à votre organisation.

N'oubliez pas DKIM

DMARC a un frère en DKIM : DomainKeys Identified Mail. DKIM utilise le cryptage et une signature numérique avec une clé privée et publique pour vérifier si un courrier est légitime. Là encore, l'ensemble du processus de vérification se déroule en arrière-plan et il appartient aux entreprises de protéger leur nom de domaine contre l'usurpation d'identité grâce à ce protocole. Pour ce faire, il suffit d'ajouter un enregistrement CNAME avec des valeurs DKIM aux données DNS de votre domaine. Microsoft et Google facilitent la génération de la clé pour un domaine via leur portail de sécurité.

Les attaquants ne font pas la fine bouche. Ils essaient d'utiliser des courriers électroniques usurpés provenant d'organisations connues et fiables pour leurs campagnes de phishing. Si l'organisation en question a ses enregistrements SPF, DKIM et DMARC à jour, le serveur de messagerie du destinataire les reconnaîtra comme malveillants et ils ne réussiront pas. Toutefois, si un criminel trouve une organisation qui n'a pas fait ses devoirs, l'attaque peut commencer.

Concept computer keyboard with red key with lock 2021 11 01 20 01 11 utc 1

Votre logo comme récompense

Si vous souhaitez aller plus loin dans la protection de votre domaine contre les abus, les "indicateurs de marque pour l'identification des messages" ou BIMI ont été récemment introduits. BIMI s'appuie sur DMARC et veille à ce que les courriels authentiques portent le logo de l'expéditeur. Les organisations qui ont mis à jour leurs enregistrements SPF et DMARC et qui adoptent BIMI verront un petit logo apparaître à côté de leurs messages. Ce logo ne peut pas être volé par un spoofer et crée donc une plus grande confiance dans les messages provenant de votre entreprise.

Toute entreprise ayant une certaine notoriété a une responsabilité à cet égard. Pour les destinataires, la sécurité des messages électroniques est aujourd'hui configurée de manière optimale pour contrer l'usurpation d'identité, mais la protection ne fonctionne que si les entreprises elles-mêmes font leur part du travail. SPF, DKIM et DMARC contribuent à protéger les destinataires, tandis que BIMI offre également un avantage visible aux expéditeurs légitimes grâce à l'ajout du logo. L'introduction de BIMI est un excellent moment pour examiner la situation dans votre organisation.

Sensibilisation

En fin de compte, l'usurpation d'identité continuera malheureusement d'exister tant que toutes les entreprises ne prendront pas les bonnes mesures. Il est important d'apporter sa propre contribution, mais cela ne fera pas disparaître l'usurpation d'identité de la surface de la terre. N'oubliez donc pas de sensibiliser vos employés à cette technique, ainsi qu'aux autres formes de phishing. Ils peuvent penser à tort que leur client de messagerie les protège totalement, mais comme vous l'avez lu ci-dessus, ce n'est pas toujours le cas.