L'usurpation d'identité par courriel est un problème croissant pour la sécurité d'une organisation. Il y a usurpation d'identité lorsqu'un pirate envoie un courriel qui semble provenir d'une source ou d'un domaine de confiance. L'usurpation d'adresse électronique n'est pas un concept nouveau. Défini comme "la falsification de l'en-tête d'une adresse électronique afin de faire croire que le message a été envoyé par quelqu'un ou quelque part d'autre que la source réelle", ce phénomène menace les marques depuis des décennies. À chaque fois qu'un e-mail est envoyé, l'adresse "De" n'indique pas le serveur d'où l'e-mail a été réellement envoyé, mais plutôt le domaine saisi lors du processus de création de l'adresse, ce qui permet de ne pas éveiller les soupçons des destinataires.
Avec la quantité de données qui transitent aujourd'hui par les serveurs de messagerie, il n'est pas surprenant que l'usurpation d'identité soit un problème pour les entreprises.Fin 2020, nous avons constaté que les incidents d'hameçonnage ont augmenté de 220 % par rapport à la moyenne annuelle au plus fort des craintes de pandémie mondiale.... Comme toutes les attaques d'usurpation ne sont pas menées à grande échelle, le nombre réel pourrait être beaucoup plus élevé. Nous sommes en 2021, et le problème semble s'aggraver d'année en année. C'est pourquoi les marques recourent à des protocoles sécurisés pour authentifier leurs courriers électroniques et se tenir à l'écart des intentions malveillantes des acteurs de la menace.
Usurpation d'adresse e-mail : Qu'est-ce que c'est et comment ça marche ?
L'usurpation d'adresse électronique est utilisée dans les attaques de phishing pour faire croire aux utilisateurs que le message provient d'une personne ou d'une entité qu'ils connaissent ou à laquelle ils peuvent faire confiance. Un cybercriminel utilise une attaque par usurpation d'identité pour faire croire aux destinataires que le message provient d'une personne qui ne l'est pas. Cela permet aux attaquants de vous nuire sans que vous puissiez les retrouver. Si vous recevez un courriel de l'IRS indiquant qu'il a envoyé votre remboursement sur un autre compte bancaire, il peut s'agir d'une attaque par usurpation d'identité. Les attaques de phishing peuvent également être menées par le biais de l'usurpation d'adresse électronique, qui est une tentative frauduleuse d'obtenir des informations sensibles telles que des noms d'utilisateur, des mots de passe et des détails de cartes de crédit (numéros PIN), souvent à des fins malveillantes. Le terme vient de l'expression "pêcher" une victime en prétendant être digne de confiance.
Dans le SMTP, lorsque les messages sortants se voient attribuer une adresse d'expéditeur par l'application cliente, les serveurs de courrier électronique sortant n'ont aucun moyen de savoir si l'adresse d'expéditeur est légitime ou usurpée. L'usurpation d'adresse est donc possible parce que le système de messagerie utilisé pour représenter les adresses électroniques ne permet pas aux serveurs sortants de vérifier que l'adresse de l'expéditeur est légitime. C'est pourquoi les grands acteurs du secteur optent pour des protocoles tels que SPF, DKIM et DMARC afin d'autoriser leurs adresses électroniques légitimes et de minimiser les attaques par usurpation d'identité.
Analyse de l'anatomie d'une attaque par usurpation d'identité par courriel
Chaque client de messagerie utilise une interface de programme d'application (API) spécifique pour envoyer des messages électroniques. Certaines applications permettent aux utilisateurs de configurer l'adresse de l'expéditeur d'un message sortant à partir d'un menu déroulant contenant des adresses électroniques. Cependant, cette capacité peut également être invoquée à l'aide de scripts écrits dans n'importe quel langage. Chaque message ouvert possède une adresse d'expéditeur qui affiche l'adresse de l'application ou du service de messagerie de l'utilisateur d'origine. En reconfigurant l'application ou le service, un attaquant peut envoyer des e-mails au nom de n'importe quelle personne.
Disons qu'il est désormais possible d'envoyer des milliers de faux messages à partir d'un domaine de messagerie authentique ! De plus, il n'est pas nécessaire d'être un expert en programmation pour utiliser ce script. Les acteurs de la menace peuvent modifier le code selon leurs préférences et commencer à envoyer un message en utilisant le domaine de messagerie d'un autre expéditeur. C'est exactement de cette manière qu'une attaque par usurpation d'adresse électronique est perpétrée.
L'usurpation d'identité par courriel comme vecteur de ransomware
L'usurpation d'adresse électronique ouvre la voie à la propagation de logiciels malveillants et de ransomwares. Si vous ne savez pas ce qu'est un ransomware, il s'agit d'un logiciel malveillant qui bloque perpétuellement l'accès à vos données ou systèmes sensibles et exige une somme d'argent (rançon) en échange du décryptage de vos données. Les attaques par ransomware font perdre des tonnes d'argent aux organisations et aux particuliers chaque année et entraînent d'énormes violations de données.
DMARC et l'authentification des e-mails constituent également la première ligne de défense contre les ransomwares en protégeant votre domaine des intentions malveillantes des usurpateurs et des usurpateurs d'identité.
Les menaces qui pèsent sur les petites, moyennes et grandes entreprises
L'identité de la marque est essentielle au succès d'une entreprise. Les clients sont attirés par les marques reconnaissables et s'y fient pour leur cohérence. Mais les cybercriminels font tout ce qu'ils peuvent pour profiter de cette confiance, mettant en péril la sécurité de vos clients avec des courriels de phishing, des logiciels malveillants et des activités d'usurpation d'adresse électronique. En moyenne, les organisations perdent entre 20 et 70 millions de dollars par an à cause de la fraude par courrier électronique. Il est important de noter que l'usurpation d'identité peut également impliquer des violations de marques et d'autres droits de propriété intellectuelle, infligeant un préjudice considérable à la réputation et à la crédibilité d'une entreprise, et ce de deux manières :
- Vos partenaires ou vos clients estimés peuvent ouvrir un courriel frauduleux et finir par compromettre leurs données confidentielles. Les cybercriminels peuvent injecter un ransomware dans leur système, entraînant des pertes financières, par le biais d'e-mails frauduleux se faisant passer pour vous. Par conséquent, la prochaine fois, ils pourraient être réticents à ouvrir même vos e-mails légitimes, ce qui leur ferait perdre confiance en votre marque.
- Les serveurs de messagerie des destinataires peuvent considérer vos courriels légitimes comme du spam et les placer dans le dossier de courrier indésirable en raison de la dégradation de la réputation du serveur, ce qui a un impact considérable sur votre taux de délivrabilité des courriels.
Quoi qu'il en soit, il ne fait aucun doute que votre marque en contact avec la clientèle sera la cible de toutes les complications. Malgré les efforts des professionnels de l'informatique, 72 % de toutes les cyberattaques commencent par un courriel malveillant et 70 % de toutes les violations de données impliquent des tactiques d'ingénierie sociale pour usurper les domaines de l'entreprise - ce qui fait des pratiques d'authentification des courriels, comme DMARC, une priorité essentielle.
DMARC : votre solution unique contre l'usurpation d'identité par courriel
Le protocoleDMARC (Domain-Based Message Authentication, Reporting and Conformance) est un protocole d'authentification des messages électroniques qui, lorsqu'il est correctement mis en œuvre, permet de réduire considérablement les attaques par usurpation d'identité, BEC et usurpation d'identité. DMARC fonctionne à l'unisson avec deux pratiques d'authentification standard - SPF et DKIM - pour authentifier les messages sortants, en fournissant un moyen de spécifier aux serveurs de réception comment ils doivent répondre aux courriels qui échouent aux contrôles d'authentification.
Pour en savoir plus sur ce qu'est DMARC, cliquez ici.
Si vous voulez protéger votre domaine contre les intentions malveillantes des usurpateurs, la première étape consiste à mettre correctement en œuvre DMARC. Mais avant de le faire, vous devez configurer SPF et DKIM pour votre domaine. Les générateurs gratuits d'enregistrements SPF et DKIM de PowerDMARC peuvent vous aider à générer ces enregistrements à publier dans votre DNS, en un seul clic. Après avoir configuré avec succès ces protocoles, suivez les étapes suivantes pour implémenter DMARC :
- Générer un enregistrement DMARC sans erreur en utilisant le générateur gratuit d'enregistrements DMARC de PowerDMARC
- Publier l'enregistrement dans le DNS de votre domaine
- Passez progressivement à une politique d'application DMARC de p=rejet.
- Surveillez votre écosystème de messagerie et recevez des rapports détaillés d'agrégation d'authentification et d'analyse judiciaire (RUA/RUF) grâce à notre outil d'analyse DMARC.
Limites à surmonter lors de l'application de DMARC
Vous avez publié un enregistrement DMARC sans erreur et adopté une politique de mise en œuvre, mais vous rencontrez des problèmes de distribution des e-mails ? Le problème peut être bien plus compliqué que vous ne le pensez. Si vous ne le saviez pas encore, votre protocole d'authentification SPF est limité à 10 consultations de DNS. Cependant, si vous utilisez des fournisseurs de services de messagerie basés sur le cloud et divers fournisseurs tiers, vous pouvez facilement dépasser cette limite. Dès que vous le faites, le protocole SPF se brise et même les courriels légitimes ne sont pas authentifiés, ce qui fait que vos courriels atterrissent dans le dossier de courrier indésirable ou ne sont pas livrés du tout.
Si votre enregistrement SPF est invalidé en raison d'un trop grand nombre de consultations du DNS, votre domaine devient à nouveau vulnérable aux attaques par usurpation d'identité par courriel et aux BEC. Il est donc impératif de rester en dessous de la limite de 10 consultations SPF pour garantir la délivrabilité des e-mails. C'est pourquoi nous recommandons PowerSPF, votre aplatisseur SPF automatique, qui réduit votre enregistrement SPF à une seule déclaration d'inclusion, éliminant les adresses IP redondantes et imbriquées. Nous effectuons également des contrôles périodiques pour surveiller les modifications apportées par vos fournisseurs de services à leurs adresses IP respectives, afin de garantir que votre enregistrement SPF est toujours à jour.
PowerDMARC rassemble une gamme de protocoles d'authentification d'emails comme SPF, DKIM, DMARC, MTA-STS, TLS-RPT et BIMI pour donner à votre domaine une réputation et une délivrabilité accrues. Inscrivez-vous dès aujourd'hui pour obtenir votre analyseur DMARC gratuit.
