• Comment fonctionne l'usurpation d'adresse e-mail en tant que service et comment y mettre fin

Comment fonctionne l'usurpation d'adresse e-mail en tant que service et comment y mettre fin

par

Dernière mise à jour :
Temps de lecture : 7 min
Comment fonctionne l'usurpation d'adresse e-mail en tant que service et comment y mettre fin

Découvrez ce qu'est l'usurpation d'adresse e-mail en tant que service, ses risques et comment vous en protéger. Limitez ces menaces grâce à une authentification adéquate, rendue possible par PowerDMARC.

Points clés à retenir

  1. L'usurpation d'adresse e-mail consiste à envoyer des e-mails dont l'adresse d'expéditeur a été falsifiée, ce qui facilite le phishing et la diffusion de logiciels malveillants.
  2. Le service d'usurpation d'adresse e-mail permet aux utilisateurs d'envoyer facilement et anonymement des e-mails usurpés, moyennant paiement.
  3. Cela présente des risques importants, car cela permet aux pirates de se faire passer pour des entités de confiance, ce qui peut entraîner des fuites de données et des pertes financières.
  4. Les attaques de type BEC, rendues possibles par l'usurpation d'adresse e-mail, coûtent chaque année des milliards de dollars aux entreprises, et les services d'usurpation d'adresse e-mail (« spoofing-as-a-service ») réduisent considérablement les obstacles à la mise en œuvre de ces attaques.
  5. Des mesures techniques telles que DMARC, SPF et DKIM peuvent aider les organisations à vérifier l'authenticité des e-mails et à réduire le risque d'usurpation d'identité.
  6. L'éducation des utilisateurs et l'application de politiques strictes en matière de courrier électronique sont essentielles pour lutter contre l'usurpation d'adresse électronique et renforcer la sécurité globale.
  7. La mise en place du protocole DMARC avec une politique « p=reject » constitue la défense technique la plus efficace contre les attaques de « spoofing-as-a-service » par e-mail visant votre domaine.

Le courrier électronique compte plus de 4 milliards d'utilisateurs dans le monde entier, et constitue un outil indispensable pour les entreprises. Cette popularité s'accompagne toutefois de défis propres. L'essor des services d'usurpation d'adresse e-mail met en évidence une préoccupation croissante concernant la sécurité et l'intégrité des communications par e-mail.

L'usurpation d'adresse e-mail est une pratique qui existe depuis des décennies. Les pirates envoient un e-mail à partir d'une adresse falsifiée, de manière à donner l'impression qu'il provient d'une personne en qui vous avez confiance. Cette usurpation d'identité sert de base aux des tentatives d’hameçonnage, de fuites de données ou de diffusion de logiciels malveillants. 

Le « spoofing-as-a-service » va encore plus loin. N'importe qui peut envoyer des e-mails usurpés, qu'il dispose ou non de connaissances techniques, en toute simplicité et dans l'anonymat.

Les conséquences se reflètent dans les chiffres. Selon statistiques de PowerDMARC sur le phishing par e-mail et le protocole DMARC, environ 50 % des organisations dans la plupart des secteurs d'activité ne disposent toujours pas des contrôles d'authentification nécessaires pour empêcher l'usurpation de domaine. Cela fait des plateformes d'usurpation de domaine en tant que service une menace immédiate pour les entreprises non protégées.

Comment fonctionne l'usurpation d'adresse e-mail en tant que service

La plupart des fournisseurs de services d’usurpation d’adresse e-mail fonctionnent via une interface Web ou une API. Pour envoyer un e-mail usurpé, les attaquants saisissent le domaine qu’ils souhaitent usurper, l’adresse e-mail du destinataire et le contenu du message. La plateforme falsifie ensuite le champ « De » de l’en-tête, génère l’e-mail et l’achemine via son infrastructure au nom de l’utilisateur du service, moyennant une somme modique.

L'objectif est de donner l'impression que le message est légitime, ce qui est le cas lorsqu'il n'est pas vérifié. La victime finit par voir l'e-mail de l'expéditeur usurpé dans sa boîte de réception, en croyant qu'il a été envoyé par un client, un fournisseur ou un contact de confiance.

Pourquoi est-ce dangereux ?

Le principe d'un service d'usurpation d'adresse e-mail est simple et à la portée de beaucoup. Il suffit de payer une somme modique pour accéder à un outil permettant d'envoyer des e-mails en se faisant passer pour quelqu'un d'autre. Le prestataire de services se charge des aspects techniques, tandis que l'utilisateur n'a qu'à saisir l'adresse e-mail de la personne ciblée.

C'est un peu comme envoyer un e-mail depuis Gmail ou Outlook, mais au lieu d'utiliser leur compte personnel et leur adresse IP, ils utilisent ceux de quelqu'un d'autre. Les messages apparaissent alors dans votre boîte de réception comme s'ils provenaient d'un contact de confiance.

Les risques liés à l'usurpation d'adresse e-mail en tant que service

L'usurpation d'adresse e-mail en tant que service a été le cybercriminalité la plus fréquemment signalée aux États-Unis en 2024. Les pirates se faisaient passer pour des personnes ou des organisations de confiance afin d’inciter les destinataires à cliquer sur des liens malveillants ou à fournir informations sensibles, ce qui entraînait des fuites de données massives, des pertes financières et une atteinte à la réputation.

Il est également utilisé pour mener des attaques sophistiquées, telles que les escroqueries de type « Business Email Compromise » (BEC). Il s'agit d'une forme de fraude par e-mail qui cible les entreprises et qui consiste généralement à usurper l'identité de cadres supérieurs, de fournisseurs ou de partenaires. Au fil des ans, ce type d'escroquerie a coûté à lui seul des milliards de dollars aux entreprises.

Les deux types d'escroqueries par e-mail de type BEC les plus courantes, rendues possibles par les services d'usurpation d'adresse e-mail, sont les suivantes :

  • Fraude au nom du PDG : Un pirate usurpe l'adresse e-mail du PDG et ordonne à l'équipe financière d'effectuer un virement bancaire urgent vers le compte d'un nouveau fournisseur. L'e-mail semble authentique, arrive au bon moment et échappe aux contrôles humains.
  • Fraude à la facture : Des e-mails usurpés provenant du domaine d’un fournisseur demandent à l’équipe chargée des comptes fournisseurs de mettre à jour les coordonnées bancaires avant un paiement important, afin de rediriger les fonds vers le compte du pirate.

Au-delà des pertes financières directes, une attaque par usurpation d'identité sape la confiance des clients et entraîne le classement de vos e-mails légitimes sur des listes noires de spam.

Comment reconnaître un e-mail frauduleux ?

Les e-mails frauduleux ne sont pas toujours faciles à repérer. Il est donc essentiel de savoir quels sont les signes à surveiller pour mettre en place un dispositif de sécurité solide pour vos e-mails, en particulier avant que vos contrôles techniques ne soient pleinement opérationnels. 

  • Adresses d'expéditeur non concordantes : Le nom affiché correspond à un contact connu, mais en passant la souris dessus, on constate qu’il s’agit d’un domaine différent. Ce qui peut apparaître comme « John Smith, PDG » dans votre e-mail peut en réalité être un domaine aléatoire ou similaire.
  • Urgence ou demandes inhabituelles : Les e-mails d'usurpation d'identité incitent souvent les destinataires à effectuer des actions urgentes, telles que des virements bancaires, la communication d'identifiants ou l'ouverture de pièces jointes, afin de contourner les étapes de vérification habituelles.
  • L'adresse « Reply-to » diffère de l'adresse « De » : Les pirates définissent une adresse « Reply-to » différente afin que les réponses leur parviennent, et non à l'adresse e-mail usurpée.
  • En-têtes d'authentification ayant échoué : L'examen de l'en-tête complet de l'e-mail permet de déterminer si le message a passé avec succès les vérifications SPF, DKIM et DMARC. L'échec à l'une de ces vérifications constitue un indicateur fort d'usurpation d'identité.
  • Domaines similaires : Les pirates enregistrent des domaines qui ressemblent fortement à des domaines authentiques (par exemple, paypa1.com au lieu de paypal.com). Utilisez l’outil outil de vérification des domaines similaires de PowerDMARC de PowerDMARC pour identifier les domaines qui usurpent l'identité de votre marque.

PowerDMARC’s Analyseur d’en-têtes d’e-mails de PowerDMARC analyse directement les résultats d’authentification SPF, DKIM et DMARC pour permettre une inspection technique plus approfondie.

Prévention de l'usurpation d'adresse e-mail en tant que service

La solution aux attaques par usurpation d'adresse e-mail réside dans une combinaison de mesures techniques et non techniques. Sur le plan technique, la priorité est donnée à l'utilisation de DMARC (Domain-based Message Authentication, Reporting, and Conformance), SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail). 

Ils empêchent l'usurpation d'adresse e-mail en vérifiant que l’adresse e-mail de l’expéditeur correspond bien au domaine dont il prétend provenir. Pour une comparaison détaillée, consultez le guide de PowerDMARC sur SPF DKIM et DMARC.

La mise en œuvre devrait également suivre une approche séquentielle :

  • Vérifiez votre configuration actuelle : Utilisez l'outil DMARC Record Checker de PowerDMARC pour vérifier si une politique a déjà été publiée pour votre domaine et si celle-ci est correctement configurée.
  • Publier un SPF : Répertoriez toutes les adresses IP et tous les services autorisés à envoyer des e-mails au nom de votre domaine dans un enregistrement TXT de votre DNS.
  • Activer la signature DKIM : Configurez votre plateforme de messagerie pour qu'elle signe les e-mails sortants à l'aide d'une clé privée DKIM afin que les serveurs destinataires puissent vérifier la signature.
  • Commencez par déployer DMARC avec p=none : Commencez par collecter les rapports agrégés DMARC afin d'identifier toutes les sources d'envoi légitimes avant de passer à la mise en application.
  • Passer à p=reject : Une fois que tous les expéditeurs légitimes ont été validés, configurez votre politique DMARC sur p=reject. Cela indique aux serveurs destinataires de rejeter tout e-mail dont l'authentification échoue, bloquant ainsi complètement les e-mails usurpés envoyés depuis votre domaine.

La couche non technique vise à réduire les risques d'erreur humaine. Sensibiliser les employés aux risques liés à l'usurpation d'identité par e-mail et leur apprendre à reconnaître les e-mails de hameçonnage contribue à prévenir les attaques réussies. Il convient également de mettre en place et de faire respecter des politiques de messagerie exigeant une authentification multifactorielle et l'utilisation de mots de passe forts.

La crainte grandissante des attaques de type « as-a-service »

Dans le cadre des attaques de type « as-a-service », un pirate informatique s'appuie sur un service standardisé pour mener des activités malveillantes à grande échelle. Les attaques courantes liées à la sécurité des e-mails se répartissent en deux catégories : les attaques de la chaîne d'approvisionnement et les attaques de type « software-as-a-service » (SaaS).

  • Dans le premier cas, un pirate utilise un fournisseur ou un prestataire tiers compromis pour accéder au réseau de l'entreprise ciblée.
  • Dans le cadre des attaques de type SaaS, un pirate utilise des applications SaaS légitimes fournies par l'entreprise ciblée pour accéder à son réseau.

Les cyberattaques de type « as-a-service » sont menées de différentes manières. En infectant un système avec un logiciel malveillant, les pirates informatiques parviennent à accéder aux données et aux identifiants. Ils exploitent également les failles de sécurité présentes dans des applications tierces, notamment des clients de messagerie tels que Microsoft Outlook. De nombreux attaquants envoient en masse de faux e-mails soigneusement élaborés à partir d’adresses usurpées afin de récupérer des identifiants ou d’autoriser des transactions frauduleuses.

L'utilisation d'outils de phishing basés sur l'IA constitue une autre variante particulièrement préoccupante. Les pirates ont de plus en plus souvent recours à des modèles linguistiques de grande envergure (LLM) pour créer à grande échelle des e-mails frauduleux hautement personnalisés et convaincants. Les défenses traditionnelles contre l'ingénierie sociale s'avèrent inefficaces face à des techniques spécialement conçues pour les contourner.

À lire absolument : Pour plus d’informations sur ces menaces émergentes, consultez cet article de blog consacré à la Sécurité des agents IA : risques, bonnes pratiques et authentification des e-mails par PowerDMARC.

L'usurpation d'adresse e-mail « as-a-service » constitue désormais l'un des points d'entrée les plus accessibles dans ce paysage plus large des menaces « as-a-service ». Ces services réduisent considérablement le niveau de compétence requis pour lancer une attaque d'usurpation d'identité convaincante, en prenant en charge toute la complexité technique pour le compte de leurs clients.

Conclusion

L'usurpation d'adresse e-mail en tant que service constitue désormais une menace généralisée pour les entreprises. Les pirates utilisent ces plateformes pour se faire passer pour des personnes ou des organisations de confiance, ce qui entraîne des pertes de données, financières et de réputation.

Pour colmater cette faille, il faut mettre en place des mesures à la fois techniques et non techniques. Cela implique d'investir dans des protocoles d'authentification, dans la formation et la sensibilisation des utilisateurs, ainsi que dans des politiques de messagerie électronique sécurisées. 

Les services gérés Services gérés DMARC de PowerDMARC de PowerDMARC facilitent le passage d’une surveillance passive à une application active de la protection des e-mails. Grâce à des rapports DMARC automatisés, à SPF , au DKIM hébergé et à une assistance disponible 24 heures sur 24, ils vous aident à protéger votre domaine même lorsque les menaces, telles que l’usurpation d’adresse e-mail, évoluent.

Foire aux questions

1. Qu'est-ce que l'usurpation d'adresse e-mail en tant que service ?

L'usurpation d'adresse e-mail en tant que service (Email spoofing-as-a-service) est un type de plateforme de cybercriminalité qui fournit aux utilisateurs, moyennant une somme modique, des outils permettant d'envoyer des e-mails à partir d'adresses d'expéditeur falsifiées. Ces services prennent en charge la complexité technique de l'usurpation, permettant ainsi même à des attaquants sans compétences techniques de se faire passer pour des organisations ou des personnes de confiance à grande échelle.

2. Comment fonctionne le service d'usurpation d'adresse e-mail ?

L'utilisateur indique l'adresse e-mail qu'il souhaite voir apparaître comme expéditeur (l'adresse « De »), l'adresse du destinataire et le contenu du message. La plateforme falsifie ensuite l'en-tête et achemine l'e-mail via sa propre infrastructure, ce qui évite à l'attaquant d'avoir à contrôler le serveur de messagerie du domaine usurpé.

3. Comment puis-je empêcher quelqu'un d'usurper mon adresse e-mail ?

La mesure de protection technique la plus efficace consiste à publier un enregistrement DMARC avec le paramètre p=reject, associé à des enregistrements SPF DKIM correctement configurés. Cela indique aux serveurs de messagerie destinataires de rejeter tout e-mail dont l'authentification échoue.

4. Quelle est la différence entre l'usurpation d'adresse e-mail et le hameçonnage ?

L'usurpation d'adresse e-mail désigne spécifiquement la falsification de l'adresse e-mail de l'expéditeur. Le hameçonnage est une stratégie d'attaque plus large qui utilise des e-mails trompeurs pour inciter les destinataires à révéler leurs identifiants ou à effectuer des actions préjudiciables. Il recourt souvent à l'usurpation d'adresse comme technique. Tous les e-mails de hameçonnage qui usurpent l'identité d'une marque ou d'une personne connue reposent sur une forme d'usurpation d'adresse, mais tous les e-mails usurpés ne constituent pas nécessairement des attaques de hameçonnage.

5. Le protocole DMARC peut-il mettre fin à l'usurpation d'adresse e-mail proposée en tant que service ?

Oui. Le protocole DMARC est spécialement conçu pour empêcher l'usurpation de domaine. Lorsque votre politique DMARC est définie sur « p=reject », les serveurs de messagerie destinataires rejetteront tout e-mail prétendant provenir de votre domaine mais qui échoue aux contrôles d'authentification SPF DKIM. Cela signifie que les plateformes d'usurpation de domaine en tant que service ne peuvent pas acheminer avec succès vers les boîtes de réception protégées des e-mails qui usurpent l'identité de votre domaine.

6. Les plateformes proposant des services d'usurpation d'adresse e-mail sont-elles illégales ?

L'utilisation de services d'usurpation d'adresse e-mail pour envoyer des e-mails frauduleux ou trompeurs est illégale dans la plupart des juridictions, en vertu des lois relatives à la fraude informatique, à la lutte contre le spam et à la fraude électronique. Cependant, ces plateformes opèrent souvent au-delà des frontières, ce qui rend leur contrôle difficile. La protection la plus fiable pour votre organisation consiste à mettre en œuvre les protocoles DMARC, SPF et DKIM afin d'empêcher les e-mails usurpés d'atteindre leurs destinataires.