Qu'est-ce que la vulnérabilité DKIM ? Explication de la limitation de la balise DKIM l=

La balise DKIM l= (L minuscule) est une balise facultative qui spécifie la longueur du corps du message qui doit être signé. Cela peut être considéré comme une vulnérabilité DKIM car la balise l= permet une signature partielle du corps du message. Cela peut permettre aux acteurs de la menace d'exploiter plus facilement les messages signés DKIM. 

Voyons comment la norme DKIM et pourquoi nous n'encourageons pas l'utilisation de la balise DKIM l= dans votre signature DKIM.

Objectif de la limitation de la longueur du corps du message DKIM (balise l=)

DKIM (DomainKeys Identified Mail) est un protocole d'authentification des courriels qui garantit que leur contenu n'a pas été modifié pendant leur transit. Il permet au destinataire de vérifier qu'un courriel a bien été envoyé et autorisé par le propriétaire du domaine.

Lorsque les serveurs intermédiaires transmettent vos messages, ils peuvent modifier le corps du message. Ils peuvent ajouter des informations supplémentaires dans le pied de page ou dans le contenu de votre message. La balise DKIM l a été introduite pour éviter que vos messages légitimes n'échouent à la vérification DKIM, au cas où leur contenu aurait été modifié lors de la transmission ou par des listes de diffusion. 

Fonctionnement de la balise DKIM l=

1. Spécification de la longueur: L'option l= est suivie d'un nombre entier indiquant le nombre d'octets du corps du message couverts par la signature DKIM.
2. Signature partielle du corps: En spécifiant une longueur, seuls les n premiers octets du corps sont inclus dans le hachage utilisé pour générer la signature DKIM. Toute modification du corps au-delà de cette longueur n'affectera pas la vérification de la signature DKIM.

Exemple : Signature DKIM avec la vulnérabilité DKIM l-Tag

Prenons l'exemple d'un courrier électronique dont le corps fait 1 000 octets, mais dont seuls les 500 premiers octets sont signés :

DKIM-Signature : v=1 ; a=rsa-sha256 ; c=relaxed/relaxed ; d=notify.domain.com ; s=selector1 ; t=1718098168 ; i=@notify.domain.com ; l=500 ; bh=SF9K/AZh8dO2XDYZlOtjrmHj5txv4H4qjhFr+q3ASuM= ; h=Subject :Message-ID:To:Date:Content-Type:From:To:Cc:Subject ; b=h0Jp5xjZSjUo06er2Gm5k0Fvt0cuC0xOnfobu1oYAFT2ugVxY0h/xly6x/E/pPT2S

Dans cet exemple, la valeur l=500 indique que seuls les 500 premiers octets du corps du message sont inclus dans la signature DKIM.

Cependant, l'équipe d'analystes de Zone.eu, basée en Europe et leader dans l'enregistrement de noms de domaine, l'équipe d'analystes de Zone.eu a découvert une grave vulnérabilité liée à la balise l de la signature DKIM. Outre ses avantages dans les scénarios de transfert de courrier, la balise l peut être facilement exploitée par les cybercriminels pour envoyer des courriels d'hameçonnage qui passent quand même les contrôles DKIM.

Vulnérabilité de la balise DKIM l=

Nous ne recommandons pas l'utilisation de la balise DKIM l= car elle peut affaiblir votre posture de sécurité, laissant votre domaine vulnérable aux attaques même si l'authentification du courrier électronique est configurée. 

Un pirate peut modifier le contenu du corps de votre message et joindre des fichiers ou des liens malveillants dans la section non signée de l'e-mail qui dépasse la portée de l'octet définie dans votre balise "l". Lorsque ce message parvient à votre destinataire, il passe la vérification DKIM. Par la suite, si vous avez activé DMARC pour votre domaine, il passera également la vérification. 

Votre destinataire peut ouvrir cet e-mail, en se fiant à votre nom de domaine, et être victime d'une nouvelle attaque de phishing ! Cela peut entraîner une grave violation de la vie privée, un vol de données d'identification et une perte de confiance dans votre crédibilité. Si votre client perd de l'argent dans l'affaire, vous pouvez même être tenu de lui offrir une compensation financière. 

Le rôle de BIMI dans l'aggravation de la vulnérabilité de DKIM 

BIMI est un protocole émergent qui gagne en popularité dans les secteurs de la sécurité et du marketing en raison de sa capacité à ajouter des logos de marque aux courriels. Il y a peu de temps, les principaux fournisseurs de messagerie électronique, tels que Gmail et Apple Mail, ont étendu la prise en charge de BIMI, afin de donner à vos courriels un aspect et une impression professionnels et d'améliorer la sécurité grâce à des vérifications visuelles. 

Comme les faux messages envoyés par des domaines utilisant la balise DKIM l dans leur signature passent les contrôles DKIM et DMARC, le logo BIMI de la marque est également joint à ces courriels malveillants ! Non seulement ce faux message envoyé à partir de votre nom de domaine passe tous les filtres d'authentification, mais le logo de votre marque y est également attaché ! Cela augmente encore les chances que les destinataires se fient à sa crédibilité. 

En raison de la nature potentiellement exploitable de la balise DKIM l=, Gmail a fortement déconseillé son utilisation dans le centre d'aide de l'espace de travail de l'administrateur Google. Voici ce que Google dit à ce sujet:

"Si vous configurez la norme DKIM avec un système de messagerie autre que Google Workspace, n'utilisez pas la balise de longueur DKIM (l=) dans les messages sortants. Les messages utilisant cette balise sont vulnérables aux abus."

Les risques associés à la balise DKIM l sont mis en évidence dans la RFC 6376, section 8.2 intitulée "Mauvais usage des limites de longueur du corps (balise "l=")". Le RFC avertit les utilisateurs que le fait de spécifier la balise l dans votre signature DKIM peut conduire les utilisateurs à accéder à un contenu de courrier électronique malveillant sans aucun avertissement. Le RFC invite les signataires DKIM à redoubler de prudence en présence de cette balise et recommande aux serveurs d'évaluation de ne pas tenir compte des signatures DKIM comportant une balise l=.

Vérifiez votre signature DKIM pour détecter les vulnérabilités DKIM de type l-tag 

Il est essentiel de déterminer d'abord si votre domaine est vulnérable. Pour ce faire, nous avons listé ci-dessous quelques méthodes que vous pouvez utiliser : 

Méthode manuelle : Vérification des en-têtes de signature DKIM originaux 

1. Envoyez un e-mail vierge à vous-même (dans ce cas, nous prenons l'exemple d'un utilisateur de Gmail).

2. Ouvrez cet e-mail.

3. Allez à "plus d'options", qui est indiqué par trois points dans le coin supérieur droit.

4. Cliquez sur "Afficher l'original".

5. Sur la page Message original, faites défiler vers le bas pour voir les en-têtes bruts. 

6. Accédez à la section "DKIM-Signature :" et analysez la syntaxe. Si la balise DKIM l= est présente dans l'en-tête de la signature DKIM, votre domaine est vulnérable. Si elle est absente, tout va bien et aucune mesure ne doit être prise. 

Méthode automatisée : Utilisation d'un outil d'analyse d'en-tête d'email

1. Inscrivez-vous sur PowerDMARC pour bénéficier d'un essai gratuit. Allez dans Outils d'analyse > MailAuth Analyzer. 

2. Copiez l'adresse électronique générée automatiquement et collez-la comme destinataire d'un nouveau message de test dans votre Gmail. Envoyez le message de test. 

3. Retournez ensuite sur le portail et actualisez la page. Cliquez sur l'icône "visualiser" dans la section Actions pour examiner vos résultats. 

4. Nous produisons instantanément un rapport global contenant des informations sur vos configurations DKIM, SPF et DMARC et bien plus encore ! 

5. Vous pouvez faire défiler l'écran vers le bas pour afficher l'en-tête de votre signature DKIM dans les formats brut et analysé. Vous pourrez alors déterminer si votre signature comporte la balise l=. Si c'est le cas, des mesures doivent être prises pour éliminer cette vulnérabilité. 

Exemple : Une signature DKIM sans la vulnérabilité DKIM de l-Tag

DKIM-Signature : v=1 ; a=rsa-sha256 ; c=relaxed/relaxed ; d=notify.domain.com ; s=selector1 ; t=1718098168 ; i=@notify.domain.com ; bh=SF9K/AZh8dO2XDYZlOtjrmHj5txv4H4qjhFr+q3ASuM= ; h=Subject :Message-ID:To:Date:Content-Type:From:To:Cc:Subject ; b=h0Jp5xjZSjUo06er2Gm5k0Fvt0cuC0xOnfobu1oYAFT2ugVxY0h/xly6x/E/pPT2S

Prévention des vulnérabilités DKIM : Quelles sont les meilleures pratiques en matière de DKIM ?

Si vous souhaitez tirer le meilleur parti de votre protocole DKIM, voici quelques conseils que nos experts vous recommandent : 

1. Évitez d'utiliser la balise DKIM l= dans votre en-tête de signature DKIM. 
2. Contactez votre fournisseur de services de messagerie pour qu'il vous fournisse de nouvelles clés publiques DKIM (sans la balise l=) à ajouter à votre DNS. 
3. Effectuez une rotation périodique de vos clés DKIM afin de vous assurer que les anciennes clés présentant la vulnérabilité du l-tag peuvent être remplacées par de nouvelles clés dépourvues de cette vulnérabilité. 
4. Vous pouvez utiliser des clés DKIM fortes, par exemple des clés de 2048 bits au lieu de 1024 bits, pour renforcer la sécurité de votre courrier électronique DKIM. 
5. Utiliser un serveur solution DKIM hébergée pour gérer vos sélecteurs et clés DKIM, et contrôler vos résultats d'authentification DKIM à partir d'un tableau de bord unique et centralisé.
6. Créez vos clés DKIM à l'aide d'un générateur automatique générateur DKIM automatique. Vous éviterez ainsi les erreurs de syntaxe qui peuvent facilement être négligées.

Protocoles complémentaires à utiliser avec DKIM

Pour accroître l'efficacité de DKIM, vous pouvez mettre en œuvre les protocoles suivants (avec une recommandation bonus à la fin !): 

1. Utilisation ARC (chaîne de réception authentifiée) pour garantir que les courriels légitimes passent les contrôles d'authentification, même lorsqu'ils sont transférés ou qu'ils utilisent des listes de diffusion. Cela rend automatiquement inutile l'utilisation de la balise DKIM l=. L'ARC préserve automatiquement les en-têtes d'origine de votre message afin d'éviter les faux négatifs.
2. Configurez des mécanismes de repli tels que SPF et DMARC afin d'améliorer la précision de votre authentification et la sécurité globale. 
3. Activer rapports DMARC pour assurer le suivi de vos canaux de messagerie et de vos sources d'envoi. Les rapports DMARC peuvent vous aider à détecter les adresses IP et les expéditeurs malveillants afin que vous puissiez prendre rapidement des mesures à leur encontre.

En adhérant à ces bonnes pratiques, les organisations peuvent améliorer de manière significative la sécurité de leur courrier électronique et protéger la réputation de leur domaine. Si la balise l= offre une certaine souplesse dans le traitement des courriels susceptibles d'être modifiés en cours de route, elle peut affaiblir la sécurité de votre domaine. C'est pourquoi, à l'instar de divers fournisseurs de services de messagerie, d'experts du secteur et d'organisations, nous ne la recommandons pas. Pour en savoir plus sur la sécurité des domaines et les services d'authentification des courriels, contactez-nous dès aujourd'hui !

• À propos de
• Derniers messages

Ahona Rudra

Ahona est la responsable du marketing chez PowerDMARC, avec plus de 5 ans d'expérience dans l'écriture sur des sujets de cybersécurité, spécialisée dans la sécurité des domaines et des courriels. Ahona est titulaire d'un diplôme de troisième cycle en journalisme et communication, solidifiant sa carrière dans le secteur de la sécurité depuis 2019.

Derniers messages de Ahona Rudra (voir tous)

• Comment ajouter votre logo aux e-mails Gmail : Gmail et les e-mails de marque - 2 juillet 2024
• Quelles sont les menaces en matière de cybersécurité lorsque l'on autorise des cookies tiers sur Mac ? - 29 juin 2024
• DMARC : le chaînon manquant de la stratégie de défense de votre MSP - 27 juin 2024