• Comment mettre fin aux courriels frauduleux provenant de mon adresse électronique ?

Comment mettre fin aux courriels frauduleux provenant de mon adresse électronique ?

Blog

Découvrez comment empêcher l'usurpation d'adresse électronique et protéger votre domaine avec DMARC, SPF et DKIM. Apprenez des stratégies essentielles pour prévenir la fraude et sécuriser vos communications par courriel.

par YunesTarada

Temps de lecture : 9 min
Comment mettre fin aux courriels frauduleux provenant de mon adresse électronique ?
Table des matières-

L'usurpation d'adresse électronique est un acte de cybercriminalité par lequel un acteur malveillant falsifie l'adresse "From" de l'en-tête d'un courriel pour se faire passer pour un expéditeur légitime, une tactique qui a fait le malheur des marques pendant des décennies. Chaque fois qu'un courriel est envoyé, l'adresse "From" n'affiche pas intrinsèquement le serveur d'où il provient, mais le domaine saisi lors du processus de création de l'adresse. Il est donc très difficile de détecter l'usurpation sans mettre en place des mesures anti-spoofing spécifiques, ce qui contribue au succès de ces attaques.

Le spoofing est couramment utilisé par les cyberacteurs pour le spamming et le phishing, les incidents de phishing ayant augmenté de 220 % par rapport aux moyennes annuelles lors d'événements mondiaux majeurs tels que la pandémie. Le phishing est une tentative frauduleuse d'obtenir des informations sensibles telles que des noms d'utilisateur, des mots de passe, des détails de cartes de crédit (y compris des numéros PIN), souvent à des fins malveillantes ; le terme lui-même évoque la "pêche" d'une victime en feignant d'être digne de confiance. Ces courriels falsifiés contiennent souvent des liens malveillants ou des pièces jointes conçus pour inciter les victimes à révéler ces informations sensibles. Ils peuvent également manipuler les victimes pour qu'elles téléchargent des logiciels malveillants ou des virus, et peuvent servir de vecteur pour la diffusion de ransomwares.

Points clés à retenir

  1. L'usurpation d'adresse électronique permet de falsifier les adresses des expéditeurs pour se faire passer pour des sources fiables, ce qui permet le phishing, la distribution de logiciels malveillants et d'importants dommages financiers et réputationnels.
  2. Une défense solide implique une approche à plusieurs niveaux : mise en œuvre de l'authentification du courrier électroniqueSPF, DKIM, DMARC, BIMI), utilisation de filtres de courrier électronique, de passerelles sécurisées et formation des employés.
  3. Une bonne gestion des enregistrements SPF (respect des limites de consultation, mise à jour des listes d'adresses IP) et l'application de DMARC (quarantine) sont essentielles à l'efficacité de l'authentification.
  4. Les attaquants utilisent diverses techniques, notamment la falsification de noms d'affichage, l'exploitation de domaines légitimes (via des vulnérabilités SMTP) et des domaines fictifs pour tromper les destinataires.
  5. Les particuliers peuvent aider à détecter les courriels frauduleux en examinant minutieusement les coordonnées de l'expéditeur, en vérifiant la présence de contenus ou de liens inhabituels et en vérifiant les demandes suspectes par des canaux distincts.

Comment mettre fin aux courriels frauduleux ?

1. Mise en œuvre des protocoles d'authentification du courrier électronique 

Outre les trois principaux, d'autres protocoles comme MTA-STS (SMTP MTA Strict Transport Security) et TLS-RPT (TLS Reporting) contribuent également à un écosystème de messagerie électronique plus sûr en renforçant le cryptage et en fournissant des rapports sur les problèmes de connexion TLS.

  • SPF (Sender Policy Framework) : L'une des bases des protocoles d'authentification des courriels, utilisée avec DKIM et DMARC, permet d'empêcher l'usurpation d'adresse électronique. Les enregistrements SPF sont limités à 10 consultations DNS, ce qui permet de maintenir le coût de traitement de chaque courrier électronique à un niveau peu élevé. Si la configuration de SPF est souvent simple, son maintien constitue un défi. Le risque de dépasser cette limite de 10 consultations DNS est important, en particulier lorsque l'on utilise plusieurs expéditeurs de courrier électronique tiers. Si cette limite est dépassée, SPF s'interrompt, les courriels légitimes peuvent échouer à l'authentification et votre domaine devient plus vulnérable aux attaques par usurpation d'identité et aux attaques de type Business Email Compromise (BEC).
  • DKIM (DomainKeys Identified Mail) : Protocole d'authentification des courriels permettant de signer tous les messages sortants afin d'empêcher la falsification des courriels. L'utilisation de DKIM permet de préserver l'intégrité des messages sortants et de lutter contre les attaques par usurpation d'adresse électronique.
  • DMARC (Domain-based Message Authentication, Reporting & Conformance) : DMARC est un protocole d'authentification du courrier électronique qui permet aux organisations de se protéger contre les attaques par usurpation d'identité et par hameçonnage. Il fonctionne comme une couche au-dessus de SPF et DKIM, permettant aux propriétaires de domaines de publier une politique sur la façon dont les serveurs de messagerie doivent traiter les messages qui échouent aux contrôles d'authentification et d'alignement de SPF ou DKIM. Cela permet aux destinataires de reconnaître qu'un courriel ne provient pas légitimement des domaines approuvés par l'entreprise et fournit des instructions (par exemple, quarantine, rejet) sur la manière de se débarrasser en toute sécurité de ces courriels non autorisés.

Arrêtez les courriels frauduleux avec PowerDMARC !

15 jours d'essaiRéservez une démo

2. Contrôler régulièrement le trafic de courrier électronique

Gardez un œil sur votre trafic de courrier électronique et vos sources d'envoi en consultant les rapports DMARC de votre domaine. rapports DMARC de votre domaine. Ces rapports complets donnent une vue d'ensemble de vos canaux de messagerie, de l'activité de votre domaine, des en-têtes d'e-mails et des sources de messages. Ils peuvent vous aider à détecter rapidement les tentatives d'usurpation d'identité effectuées sur votre domaine afin que vous puissiez prendre des mesures immédiates.

Toutefois, la lecture de ces rapports peut s'avérer difficile. En raison de la complexité du format XML des rapports DMARC bruts, les utilisateurs non techniques ont souvent du mal à les déchiffrer. Nous recommandons d'utiliser un outil d'analyse de rapports DMARC pour analyser ces rapports dans un format lisible par l'homme. Les complexités techniques sont ainsi éliminées, ce qui rend les rapports faciles à comprendre pour tout le monde.

Il existe également des outils qui vous permettent d'effectuer une recherche de personne par courrier électronique, ce qui peut vous aider à découvrir plus de détails sur l'expéditeur et vous fournir des informations qui vous permettront de mettre fin à ces attaques de manière efficace.

3. Utiliser des filtres anti-spoofing pour les courriels 

Les filtres anti-spoofing analysent les courriels entrants à la recherche de caractéristiques suspectes et de signes d'usurpation d'identité. Il peut s'agir d'adresses d'envoi non concordantes, de signatures d'hameçonnage, de pièces jointes malveillantes, etc. Les filtres doivent être appliqués dans vos clients et services de messagerie et correctement configurés pour empêcher les courriels usurpés d'atteindre votre boîte de réception.

4. Configurer une adresse "De" personnalisée

Créez une adresse "From" personnalisée pour laquelle les protocoles d'authentification du courrier électronique tels que SPF, DKIM et DMARC sont activés. Ces protocoles empêchent les expéditeurs non autorisés d'abuser de votre domaine et de signer des jetons en votre nom. Pour empêcher l'usurpation d'adresse électronique, le domaine de votre entreprise doit utiliser une politique DMARC appliquée de "quarantine" ou de "rejet".

5. Sensibiliser les employés à la sécurité du courrier électronique

Vos employés sont le maillon faible de votre organisation, qui peut involontairement exposer votre domaine à l'usurpation d'identité. En formant vos employés, vous pouvez transformer ce maillon faible en la meilleure défense contre la fraude par courriel ! Les cours gratuits sur la sécurité des courriels permettent de mieux comprendre les vecteurs d'attaque, les meilleures pratiques et les signes d'alerte, afin d'aider vos employés à rester informés et vigilants.

6. Mettre en œuvre les BIMI (indicateurs de marque pour l'identification des messages)

BIMI est une fonction de sécurité visuelle du courrier électronique qui nécessite une politique DMARC pour afficher le logo de votre marque directement dans les boîtes de réception des destinataires, à côté de vos messages authentifiés. En apposant le logo d'une marque à ses messages électroniques, BIMI renforce la confiance et la crédibilité. Si un pirate envoie un message électronique semblant provenir de votre domaine, mais qui échoue à la validation DMARC (et donc à la validation BIMI), votre logo n'apparaîtra pas dans son message, ce qui permettra aux destinataires de repérer plus facilement le faux. Cela permet non seulement de mettre fin à l'usurpation d'adresse électronique, mais aussi de renforcer la reconnaissance de la marque à chaque fois qu'un courriel légitime est reçu. Pour configurer correctement BIMI, votre domaine doit disposer d'une politique DMARC(quarantine ou p=reject) et d'un logo SVG conforme à BIMI.

7. Tirer parti des solutions de passerelle de courrier électronique

Les passerelles de messagerie filtrent les courriels d'hameçonnage afin de renforcer la sécurité des courriels entrants. Ces passerelles combinent des technologies d'intelligence artificielle, de sandboxing et de renseignement sur les menaces pour détecter et prévenir activement les menaces liées au courrier électronique. 

Comment les pirates informatiques usurpent-ils votre adresse électronique ?

Si vous répondez par l'affirmative à la question "Suis-je victime d'une usurpation d'identité ?", vous devez savoir comment les acteurs de la menace vous piégent. Ainsi, vous serez plus prudent la prochaine fois.

L'usurpation est possible parce que le protocole SMTP (Simple Mail Transfer Protocol), par défaut, ne valide pas intrinsèquement la légitimité de l'adresse de l'expéditeur d'un courrier électronique ; les serveurs de courrier électronique sortant n'ont souvent aucun moyen de savoir s'il s'agit d'une adresse authentique ou falsifiée. Les attaquants exploitent cette situation en falsifiant la syntaxe des courriels, parfois à l'aide de scripts ou en manipulant les API des clients de messagerie pour configurer l'adresse de l'expéditeur. Cela leur permet d'envoyer des milliers de faux messages à partir de ce qui semble être un domaine de messagerie authentique, souvent sans avoir besoin de connaissances approfondies en programmation. Voici quelques méthodes courantes :

Usurpation d'identité par le nom d'affichage

Dans ce cas, seul le nom d'affichage de l'expéditeur de l'e-mail est falsifié en créant un nouveau compte e-mail portant le même nom que le contact qu'il imite. En revanche, l'adresse électronique de l'expéditeur affichée sera différente.

Ces courriels ne sont pas qualifiés de spam parce qu'ils semblent légitimes. 

Usurpation d'identité via des domaines légitimes

Dans cette méthode, les mauvais acteurs utilisent une adresse électronique fiable dans l'en-tête "From" (par exemple [email protected]). Dans ce cas, le nom d'affichage et l'adresse électronique afficheront tous deux des détails falsifiés.

Les pirates ne détournent pas un réseau interne, mais exploitent le protocole SMTP (Simple Mail Transfer Protocol) pour spécifier manuellement les adresses "To" et "From".

Usurpation d'identité via des domaines similaires

Si un domaine est protégé, il n'est pas possible de l'usurper. C'est pourquoi les usurpateurs doivent créer un domaine similaire. Par exemple, en utilisant 0 (zéro) au lieu de O (la 15e lettre de l'alphabet anglais). Par exemple, au lieu de www.amazon.com, ils peuvent créer www.amaz0n.com.

Cette astuce est efficace, car la plupart des destinataires ne remarquent pas ces petites modifications orthographiques. 

Reconnaître les signes du spoofing

Signes de courriers électroniques frauduleux 

Vous devez vous méfier si : 

  • vous voyez des e-mails dans votre boîte d'envoi qui ne sont pas envoyés par vous.
  • vous recevez des réponses à des e-mails dont vous n'êtes pas à l'origine.
  • votre mot de passe a changé, et ce n'est pas vous qui l'avez fait.
  • des personnes reçoivent des e-mails frauduleux en votre nom.

Conseils aux destinataires pour identifier les courriels frauduleux

Si les entreprises mettent en place des défenses techniques, les particuliers jouent également un rôle dans la détection des courriels potentiellement malveillants. Soyez prudent si vous recevez un courriel et un avis :

  • Informations sur l'expéditeur non concordantes : Vérifiez soigneusement le nom de domaine de l'expéditeur. Est-il légèrement différent (par exemple, "exemple.co" au lieu de "exemple.com") ou complètement différent de ce à quoi vous vous attendez ?
  • Mauvaise grammaire et fautes de frappe : De nombreux courriels d'hameçonnage contiennent des fautes d'orthographe ou de grammaire évidentes.
  • Liens ou pièces jointes suspects : Survolez les liens (sans cliquer !) pour voir l'URL de destination réelle. Méfiez-vous des pièces jointes inattendues, en particulier celles provenant d'expéditeurs inconnus.
  • Langage urgent ou menaçant : Les courriels qui créent un faux sentiment d'urgence ou de peur afin d'inciter à une action immédiate sont une tactique courante.
  • Demandes d'informations sensibles : Les organisations légitimes demandent rarement des mots de passe, des numéros de sécurité sociale ou les détails complets d'une carte de crédit par courrier électronique.
  • Les salutations génériques : Les courriels commençant par "Cher client" au lieu de votre nom peuvent constituer un signal d'alarme, même si ce n'est pas toujours le cas.
  • En cas de doute, ne cliquez sur aucun lien et n'ouvrez pas les pièces jointes. Contactez l'expéditeur supposé par un canal de communication distinct et connu (par exemple, son site web officiel ou son numéro de téléphone) pour vérifier l'authenticité du courriel, ou signalez-le à votre service informatique.

Comment les courriels frauduleux peuvent vous nuire

Les courriels frauduleux sont comme la boîte de Pandore, car un pourcentage élevé de cyberattaques (certaines études suggèrent plus de 70 %) commence par un courriel malveillant, et de nombreuses violations de données impliquent des tactiques d'ingénierie sociale telles que le frauduleux. Ils peuvent déclencher toute une série d'ennuis, entraînant des conséquences dangereuses, telles que

  1. L'usurpation d'identité peut conduire à l'envoi de courriels d'hameçonnage en votre nom afin de voler des informations sensibles telles que les données de connexion et de carte de crédit. 
  2. L'usurpation d'identité peut entraîner des attaques BEC. Les cybercriminels se font passer pour des cadres légitimes d'une entreprise pour virer de l'argent ou partager des informations confidentielles.
  3. Les courriels frauduleux peuvent conduire à la diffusion de logiciels malveillants et de logiciels espions, ainsi qu'à des attaques de logiciels rançonneurs (ransomware). 
  4. Des attaques répétées d'usurpation d'identité sur votre domaine peuvent nuire considérablement à votre réputation et réduire la confiance dans votre marque, ce qui peut amener les clients à hésiter à ouvrir des courriels, même légitimes. Il peut également s'agir d'une violation de la marque ou de la propriété intellectuelle. De telles attaques peuvent entraîner des pertes financières considérables pour les organisations.
  5. Des tentatives d'usurpation répétées et réussies peuvent conduire à une usurpation d'identité et à un accès non autorisé à des comptes. 
  6. Les organisations qui ne sécurisent pas leurs domaines de messagerie électronique s'exposent à des amendes réglementaires ou à des conséquences juridiques, en vertu de plusieurs cadres de conformité.
  7. Les courriels frauduleux ciblant les fournisseurs ou les vendeurs peuvent compromettre les relations commerciales, entraînant des transactions frauduleuses, des violations de données ou des perturbations opérationnelles.

Que dois-je faire si mon domaine fait l'objet d'une usurpation d'identité ?

Si vous pensez que votre adresse électronique a été utilisée dans une attaque par usurpation d'identité, vous pouvez suivre les meilleures pratiques indiquées ci-dessous pour traiter les incidents d'usurpation de domaine : 

  • Vérifier les rapports DMARC pour détecter les tentatives d'usurpation.
  • Renforcer votre politique DMARC (par exemple, passer de l'absence à la quarantine ou au rejet).
  • Notifier les utilisateurs et les équipes internes concernés
  • Signalez les incidents de spoofing à votre fournisseur de services de messagerie ou à vos équipes de sécurité.
  • Utiliser des outils pour suivre et analyser les tentatives d'usurpation d'identité (spoofing)

Meilleures pratiques pour éviter l'usurpation d'adresse électronique

Voici quelques bonnes pratiques qui ont fait leurs preuves et qui peuvent vous aider à éviter l'usurpation d'adresse électronique : 

Sensibiliser les employés 

Les employés jouent un rôle crucial dans la prévention de l'usurpation d'adresse électronique, car ils sont souvent la première ligne de défense contre les attaques. Les organisations devraient proposer des formations pour reconnaître les tentatives de phishing, vérifier les coordonnées de l'expéditeur et réagir de manière appropriée aux courriels suspects. En informant les employés sur ce qu'il faut rechercher et sur la manière de réagir aux tentatives d'usurpation d'identité, on peut réduire considérablement le risque d'être victime de ces attaques.

Maintenir des listes d'expéditeurs précisesSPF enregistrementsSPF )

Examinez et mettez régulièrement à jour votre enregistrement SPF pour vous assurer qu'il ne contient que les adresses IP actuellement autorisées et les fournisseurs tiers autorisés à envoyer des courriers électroniques en votre nom. Si vous mettez fin aux services d'un fournisseur, supprimez rapidement ses adresses IP de votre enregistrement SPF . Un enregistrement obsolète pourrait permettre au système d'un ancien fournisseur compromis d'être utilisé pour envoyer des courriels usurpés qui passent les contrôles SPF pour votre domaine.

Mettre en œuvre des conseils pratiques en matière de sécurité du courrier électronique

Encouragez les utilisateurs à ne pas ouvrir les pièces jointes provenant d'expéditeurs inconnus, à vérifier les incohérences dans les adresses électroniques et à signaler les messages suspects. Ces habitudes, petites mais efficaces, peuvent minimiser le risque d'attaques par usurpation d'identité.

Désactiver les rapports de non-remise (NDR) 

En empêchant les NDR provenant de spams ou de courriels usurpés, on s'assure que les attaquants ne reçoivent pas de retour d'information qui pourrait les aider à affiner leurs tactiques. Cette simple mesure peut réduire l'exposition à de futures tentatives d'usurpation.

Outils et ressources pour lutter contre l'usurpation d'adresse électronique

Il existe plusieurs outils que vous pouvez déployer pour vous aider dans votre lutte contre l'usurpation d'identité. Il s'agit des outils suivants 

Outils d'aplanissement SPF

Les enregistrementsSPF peuvent être interrompus en raison d'un trop grand nombre de consultations DNS. Cela peut être évité en utilisant des outils d'aplatissement SPF avec des macrosSPF des capacités d'optimisation. Si les solutions d'aplatissement traditionnelles ou dynamiques peuvent offrir un soulagement temporaire, les outils d'aplatissement SPF avancés, qui utilisent souvent des macros SPF , peuvent être plus efficaces. Certains outils offrent également des fonctionnalités telles que des contrôles périodiques pour surveiller les changements d'adresses IP par vos fournisseurs de services de messagerie, ce qui contribue à maintenir votre enregistrement SPF précis et à jour.

Lecteurs XML DMARC

Les rapports DMARC sont envoyés au format XML, qui peut être difficile à interpréter manuellement. Les lecteurs DMARC XML analysent ces rapports dans un format facile à lire, fournissant des informations sur les échecs d'authentification, les expéditeurs non autorisés et les tentatives d'usurpation de domaine. Cela aide les organisations à surveiller leur position en matière de sécurité du courrier électronique et à prendre des mesures correctives.

Solutions tierces de sécurité du courrier électronique

Les solutions avancées de sécurité des emails utilisent une intelligence des menaces basée sur l'IA pour détecter et prédire les modèles et les tendances d'attaques. Ces nouvelles technologies peuvent empêcher l'usurpation d'adresses électroniques avant même qu'elles n'atteignent les boîtes de réception ! Par exemple, PowerDMARC utilise l'analyse prédictive de la Threat Intelligence pour prédire les cybermenaces basées sur les courriels avant qu'elles n'apparaissent.

En conclusion

Bien que l'usurpation d'adresse électronique soit l'une des menaces les plus persistantes dans le cybermonde, les entreprises peuvent mettre en œuvre les bons outils et les bonnes stratégies pour l'éviter. Une surveillance constante, le respect des meilleures pratiques en matière d'authentification des courriels et l'investissement dans des outils de lutte contre l'usurpation d'identité permettent d'atténuer la plupart des risques. 

En empêchant l'usurpation d'adresse électronique, vous pouvez protéger votre marque contre des pertes financières importantes et la prochaine grande violation de données. Il est temps d'être proactif en vous inscrivant à une essai DMARC gratuitet commencez à protéger vos domaines contre l'usurpation d'identité !

Derniers messages de Yunes Tarada (voir tous)
Comment Microsoft 365 traite-t-il les courriels entrants qui échouent à la norme DMARC ?Comment Microsoft 365 traite-t-il les courriels entrants qui ne répondent pas aux critères DMARC ?Qu'est-ce qu'un enregistrement DKIM et pourquoi est-il important ?Qu'est-ce que DKIM et comment fonctionne-t-il ?