Qu'est-ce qu'une attaque par relecture DKIM et comment s'en protéger ?

Blog

Dans le cadre d'une attaque par relecture DKIM, un pirate peut renvoyer un message signé DKIM à plusieurs destinataires, en profitant de la réputation du domaine d'origine.

par Ahona Rudra

Temps de lecture : 5 min
Qu'est-ce qu'une attaque par relecture DKIM et comment s'en protéger ?
Table des matières-

DKIM est un aspect crucial de l'authentification des courriels qui utilise la cryptographie sous forme de signatures numériques pour signer les messages envoyés par un domaine. Cela permet de s'assurer que les courriels provenant d'une source autorisée ne sont pas altérés avant d'atteindre leur destinataire, ce qui limite les menaces d'usurpation d'identité. 

Dans une attaque par relecture DKIM, un attaquant intercepte un message électronique légitime signé DKIM, puis le renvoie plusieurs fois au destinataire prévu ou à une cible différente, sans modifier le contenu du message ou la signature. L'objectif de cette attaque est de tirer parti de la confiance établie par la signature DKIM pour faire croire au destinataire qu'il reçoit plusieurs copies du même message légitime.

Points clés à retenir

  1. DKIM utilise des signatures cryptographiques pour vérifier que les courriers électroniques n'ont pas été modifiés pendant leur transit.
  2. Une attaque par relecture DKIM consiste à renvoyer un message électronique fiable pour faire croire au destinataire qu'il s'agit d'un nouveau message légitime.
  3. Les attaquants peuvent exploiter DKIM en utilisant des domaines à forte réputation pour se faire passer pour des sources de courrier électronique fiables.
  4. La prévention des attaques par rejeu DKIM implique des stratégies telles que le sursignage des en-têtes et la rotation régulière des clés DKIM.
  5. L'information des destinataires des courriels sur le DKIM et la mise en œuvre d'une limitation du débit peuvent contribuer à atténuer les risques d'attaques par rediffusion.

Qu'est-ce qu'une attaque par rediffusion DKIM ? 

Une attaque par rediffusion DKIM est une cyberattaque par laquelle un acteur de la menace intercepte un courrier électronique signé et approuvé par DKIM, puis le renvoie ou le "rediffuse" pour faire croire au destinataire qu'il s'agit d'un nouveau message approuvé, alors qu'il pourrait être altéré ou nuisible.

Avant de décrire l'anatomie d'une attaque par rejeu DKIM et de discuter des stratégies d'atténuation, examinons le fonctionnement de la norme DKIM : 

Simplifiez la sécurité avec PowerDMARC !

15 jours d'essaiRéservez une démo

Comment DKIM authentifie-t-il les e-mails ?

DKIM (DomainKeys Identified Mail) est une méthode d'authentification du courrier électronique qui permet de vérifier l'authenticité des messages électroniques et de détecter les tentatives d'usurpation d'identité et d'hameçonnage. DKIM ajoute une signature numérique au message électronique sur le serveur d'envoi, et cette signature peut être vérifiée par le serveur de messagerie du destinataire pour s'assurer que le message n'a pas été altéré pendant le transit.

DKIM fonctionne en s'appuyant sur les processus suivants : 

1. Signature des messages: Lorsqu'un courriel est envoyé à partir d'un domaine qui utilise DKIM, le serveur de messagerie qui l'envoie génère une signature cryptographique unique pour le message. Cette signature est basée sur le contenu du courriel (en-tête et corps du message) et sur certains champs d'en-tête spécifiques, tels que l'adresse "From" et le champ "Date". Le processus de signature implique généralement l'utilisation d'une clé privée.

2. Publication de la clé publique: Le domaine d'envoi publie une clé publique DKIM dans ses enregistrements DNS (Domain Name System). Cette clé publique est utilisée par le serveur de messagerie du destinataire pour vérifier la signature.

3. Transmission du message: Le message électronique, qui contient désormais la signature DKIM, est transmis par l'internet au serveur de messagerie du destinataire.

4. Vérification: Lorsque le serveur de messagerie du destinataire reçoit le courrier électronique, il extrait la signature DKIM des en-têtes du courrier électronique et recherche la clé publique DKIM de l'expéditeur dans les enregistrements DNS du domaine de l'expéditeur.

Si la signature correspond au contenu du courriel, le destinataire peut être raisonnablement certain que le courriel n'a pas été altéré pendant le transport et qu'il provient réellement du domaine de l'expéditeur déclaré.

5. Réussite ou échec: En fonction du résultat de la procédure de vérification, le serveur du destinataire peut marquer l'e-mail comme étant vérifié par DKIM ou échoué par DKIM.

DKIM aide à prévenir diverses attaques par courrier électronique, telles que le phishing et le spoofing, en fournissant un mécanisme permettant de vérifier l'authenticité du domaine de l'expéditeur.

Comment fonctionnent les attaques de relecture DKIM ?

Dans une attaque par relecture DKIM, des personnes malveillantes peuvent utiliser la clémence des signatures DKIM pour tromper les destinataires des courriels et potentiellement diffuser des contenus nuisibles ou des escroqueries. 

Voyons comment fonctionne une attaque par relecture DKIM, étape par étape :

Flexibilité de la signature DKIM

Le DKIM permet au domaine de la signature (le domaine qui signe le courrier électronique) d'être différent du domaine mentionné dans l'en-tête "From" du courrier électronique. Cela signifie que même si un courriel prétend provenir d'un domaine particulier dans l'en-tête "From", la signature DKIM peut être associée à un domaine différent.

Vérification DKIM

Lorsque le serveur d'un destinataire reçoit un courriel portant une signature DKIM, il vérifie la signature pour s'assurer que le courriel n'a pas été modifié depuis qu'il a été signé par les serveurs de messagerie du domaine. Si la signature DKIM est valide, elle confirme que le message est passé par les serveurs de messagerie du domaine signataire et qu'il n'a pas été altéré pendant son transit.

Exploiter des domaines de haute réputation

C'est ici que l'attaque entre en jeu. Si un pirate parvient à prendre le contrôle ou à pirater une boîte aux lettres, ou à créer une boîte aux lettres avec un domaine très réputé (c'est-à-dire une source fiable aux yeux des serveurs de messagerie), il tire parti de la réputation du domaine à son avantage.

Envoi de l'e-mail initial

L'attaquant envoie un seul courriel depuis son domaine à forte réputation vers une autre boîte aux lettres qu'il contrôle. Ce premier courriel peut être inoffensif, voire légitime, afin d'éviter tout soupçon.

Rediffusion

Le pirate peut alors utiliser l'e-mail enregistré pour rediffuser le même message à un ensemble différent de destinataires, souvent ceux qui n'étaient pas visés à l'origine par l'expéditeur légitime. Étant donné que la signature DKIM du domaine à haute réputation est intacte, les serveurs de messagerie sont plus susceptibles de lui faire confiance, pensant qu'il s'agit d'un message légitime - contournant ainsi les filtres d'authentification. 

Marche à suivre pour éviter les attaques de relecture DKIM

Stratégies de prévention des attaques par rejeu DKIM pour les expéditeurs de courrier électronique : 

1. Suralignement des en-têtes

Pour garantir que les en-têtes clés tels que Date, Objet, De, À et CC ne peuvent pas être ajoutés ou modifiés après la signature, envisagez de les sur-signer. Cette mesure de protection empêche les acteurs malveillants d'altérer ces composants essentiels du message.

2. Définition de délais d'expiration courts (x=)

Mettre en œuvre un délai d'expiration (x=) aussi court que possible. Cela réduit la fenêtre d'opportunité pour les attaques par rejeu. Les domaines nouvellement créés doivent avoir un délai d'expiration encore plus court que les anciens, car ils sont plus vulnérables aux attaques. 

3. Utilisation d'horodatages (t=) et de nonces

Pour mieux prévenir les attaques par rejeu, incluez des horodatages et des nonces (nombres aléatoires) dans les en-têtes ou le corps du message. Il est ainsi difficile pour les attaquants de renvoyer le même courriel à un moment ultérieur, car les valeurs auraient changé.

4. Rotation périodique des clés DKIM

Effectuez une rotation régulière des clés DKIM et mettez à jour vos enregistrements DNS en conséquence. Cela minimise l'exposition des clés à longue durée de vie qui pourraient être compromises et utilisées dans des attaques par rejeu.

 

Stratégies de prévention des attaques par rejeu DKIM pour les récepteurs de courrier électronique : 

1. Mise en œuvre de la limitation du débit

Les destinataires peuvent mettre en place une limitation de débit pour les messages électroniques entrants afin d'empêcher les attaquants d'inonder votre système avec des messages électroniques rediffusés. Pour ce faire, vous pouvez fixer des limites au nombre de courriels acceptés d'un expéditeur spécifique dans un délai donné.

2. Informer les destinataires du courrier électronique

Sensibilisez vos destinataires à l'importance de la norme DKIM et encouragez-les à vérifier les signatures DKIM sur les courriels entrants. Cela peut contribuer à réduire l'impact d'éventuelles attaques par rediffusion sur vos destinataires.

3. Mesures de sécurité du réseau

Mettre en œuvre des mesures de sécurité du réseau pour détecter et bloquer le trafic provenant d'adresses IP malveillantes connues et de sources susceptibles d'être impliquées dans des attaques par rejeu.

Comment PowerDMARC aide à atténuer les attaques de relecture DKIM

Pour que la gestion des clés DKIM soit facile et sans effort pour les propriétaires de domaines, nous avons lancé notre service complet de gestion des clés DKIM hébergées. solution DKIM hébergée. Nous vous aidons à surveiller vos flux d'e-mails et vos pratiques de signature DKIM afin que vous puissiez détecter rapidement les écarts, tout en gardant une longueur d'avance sur les attaquants.

L'optimisation des enregistrements sur notre tableau de bord est automatique, sans qu'il soit nécessaire d'accéder plusieurs fois à votre DNS pour des mises à jour manuelles. Passez à l'automatisation avec PowerDMARC en apportant des modifications à vos signatures, en gérant des sélecteurs multiples et en effectuant la rotation de vos clés DKIM sans les inconvénients d'un travail manuel. Inscrivez-vous dès aujourd'hui pour un essai gratuit!

Derniers messages de Ahona Rudra (voir tous)
Les 5 principales escroqueries à la fraude par courrier électronique : Tendances 20242021 escroqueriesQu'est-ce que la gestion continue de l'exposition aux menaces (CTEM) ?