Maintenant que la plupart des gens sont familiarisés avec les attaques de phishing classiques et sont donc en mesure de les éviter, les acteurs malveillants sont passés à quelque chose de plus insidieux. L’usurpation d’adresse électronique ou email spoofing, qui est une forme de spear phishing, c’est-à-dire une attaque dans laquelle les attaquants se font passer pour quelqu’un que la cible connaît, est un moyen beaucoup plus subtil de compromettre les informations d’identification ou l’appareil d’un utilisateur. Toutefois, à l’instar du phishing, une fois que l’on connaît les signes d’un e-mail frauduleux et que l’on a formé les autres utilisateurs à les repérer, il est souvent facile de résoudre le problème.
Qu’est-ce que l’usurpation d’adresse électronique ?
On parle d’usurpation d’adresse électronique (email spoofing) lorsqu’un pirate envoie un e-mail à un utilisateur en usurpant l’identité de quelqu’un d’autre, généralement une personne connue de l’utilisateur. Il s’agit souvent d’un superviseur, d’un directeur ou d’un cadre de la même entreprise. Grâce aux en-têtes, le logiciel de messagerie de l’utilisateur affiche une adresse électronique qui semble légitime à l’utilisateur moyen, qui ne regardera probablement pas l’adresse de plus près si le nom lui est familier.
Parce que les utilisateurs font confiance aux personnes de leur entreprise, ils sont très susceptibles d’effectuer l’action indiquée dans l’e-mail. Il peut s’agir d’un simple clic sur un lien malveillant qui installe un logiciel malveillant, ou de l’achat de centaines de dollars de cartes-cadeaux et de leur envoi à une adresse fournie. Bien que cela ressemble au phishing (hammeçonnage), les deux attaques sont distinctes. Bien que les e-mails de phishing visent également à propager des logiciels malveillants ou à compromettre les utilisateurs, leur objectif premier est le vol. Les e-mails frauduleux, en revanche, ne sont que des usurpations d’adresse électronique qui peuvent conduire à des attaques par hameçonnage. Les attaques par usurpation d’adresse électronique peuvent également demander des informations d’identification de l’utilisateur, et si ces informations sont partagées, la sécurité et les données de l’entreprise sont en danger.
Comment fonctionne l’usurpation d’adresse électronique ?
Les attaquants sont en mesure de falsifier les adresses électroniques en raison du manque de sécurité du protocole SMTP (Simple Mail Transfer Protocol), qui ne prend pas en charge le chiffrement, l’authentification ou d’autres mesures de sécurité similaires. Si vous utilisez Gmail ou Outlook, par exemple, vous utilisez le protocole SMTP. Il n’est donc pas difficile pour un pirate de trouver et de compromettre un serveur SMTP. Une fois qu’il dispose d’un serveur, l’attaquant commence à ajuster l’en-tête d’un e-mail.
Dans l’en-tête, un espace est réservé à l’identité de l’expéditeur. Le protocole SMTP ne disposant pas de protocoles d’authentification, un pirate peut très facilement modifier l’adresse électronique figurant dans la ligne “Expéditeur”. L’attaquant doit tenir compte de certains détails, notamment si le domaine utilisé est légitime, s’il existe une quarantaine ou une autre protection autour de ce domaine, et si le serveur SMTP a été configuré correctement. Si ces éléments ne sont pas pris en compte, l’e-mail se retrouvera dans le dossier spam de la victime.
Cependant, en supposant qu’un attaquant dispose d’un serveur correctement configuré et qu’il choisisse un domaine utilisable, le processus est simple. Il change l’adresse de l’expéditeur, rédige un e-mail qui semble provenir d’une personne de confiance, s’assure que toutes les commandes ou invites du code ont été adaptées à la nouvelle adresse de l’expéditeur (ou utilise simplement un outil en ligne, s’il veut vraiment se faciliter la tâche), et l’usurpation d’adresse électronique commence.
Comment identifier les e-mails frauduleux
Étant donné la simplicité de ces stratagèmes d’usurpation d’adresse électronique, il n’est pas surprenant que leur fréquence augmente. Pour lutter contre ces attaques, l’une des meilleures choses à faire est d’apprendre à les identifier et de former les utilisateurs dans les environnements que vous gérez. Voici quelques éléments à prendre en compte lorsque vous ouvrez un e-mail.
- Précision de la signature des e-mails : Si la politique de l’entreprise prévoit une signature spécifique pour les e-mails, les e-mails provenant d’un autre employé ou d’un supérieur hiérarchique doivent en comporter une. Vérifiez d’abord qu’il y a bien une signature, puis confirmez les détails. Par exemple, assurez-vous que l’adresse électronique figurant dans la signature correspond à l’adresse électronique figurant dans la ligne “Expéditeur” et vérifiez l’indicatif régional du numéro de téléphone. Si vos bureaux se trouvent tous dans un pays, mais que le numéro de téléphone provient d’un autre pays, il s’agit d’un signal d’alarme.
- Adresse électronique mal orthographiée : Avant de cliquer sur les pièces jointes ou de répondre à l’e-mail, jetez un coup d’œil à la ligne “Expéditeur”. Si un domaine familier comme bestbuy.com est tapé comme betsbuy.com, il s’agit d’un e-mail frauduleux.
- Adresse électronique générique: Bien que de nombreuses attaques par usurpation d’adresse électronique comportent des domaines légitimes dans leur adresse électronique, il arrive que l’expéditeur n’y consacre ni le temps ni l’effort nécessaires. Au lieu de cela, vous pouvez recevoir un e-mail provenant de Gmail, Outlook ou d’un autre domaine générique qui ne correspond manifestement pas au domaine ou aux conventions de votre entreprise.
- Contenu de l’e-mail : Bien que tous les e-mails urgents ne soient pas usurpés, un e-mail qui tente de vous alarmer ou qui vous encourage à agir immédiatement doit être considéré comme suspect.
Implications et risques de l’usurpation d’adresse électronique
Le problème de l’usurpation d’adresse électronique est qu’elle est à la fois très facile à utiliser pour les attaquants et très convaincante pour l’utilisateur lambda. Si vous ne vous attaquez pas au problème, votre entreprise sera très rapidement victime d’un incident de sécurité qui pourrait s’avérer très coûteux.
Votre entreprise peut se retrouver à payer de grosses sommes d’argent à des attaquants en supposant que toutes les demandes qu’ils font sont légitimes. Si un employé fournit des informations d’identification, les données privées de l’entreprise sont en danger. Les utilisateurs, qu’il s’agisse de vos clients ou de vos employés, courent un risque accru d’usurpation d’identité et de pertes financières à la suite d’une infraction commise par un acteur malveillant.
Techniques de prévention de l’usurpation d’adresse électronique
Il est important de former les utilisateurs à éviter les e-mails frauduleux, mais cela ne suffit généralement pas à protéger votre entreprise. L’erreur humaine étant à l’origine de la grande majorité des incidents de sécurité signalés, les mesures préventives suivantes peuvent s’avérer nécessaires pour limiter le risque d’une attaque réussie.
- SPF (Sender Policy Framework) : SPF n’est pas la solution la plus sophistiquée, mais c’est un bon début pour filtrer les e-mails illégitimes. Il fonctionne à l’aide d’un enregistrement joint aux e-mails qui identifie les serveurs autorisés de votre domaine. Le serveur de réception doit alors déterminer, sur la base de cet enregistrement, si l’e-mail doit être autorisé à être reçu.
- DMARC (Domain-based Message Authentication, Reporting & Conformance) : Plus complet que SPF, DMARC fournit à la fois l’enregistrement que le serveur de réception peut analyser et des instructions sur ce qu’il convient de faire si l’e-mail n’est pas accepté par ce serveur de réception. Il demande également des rapports, une fonction utile si vous souhaitez obtenir davantage d’informations sur les e-mails qui transitent par vos serveurs.
- DKIM (DomainKeys Identified Mail) : DKIM se concentre sur l’authentification. La bonne nouvelle, c’est qu’elle est plus sûre que d’autres options ; la mauvaise nouvelle, c’est que vous pouvez casser votre e-mail si vous configurez DKIM de manière incorrecte. Cette méthode de prévention nécessite également des enregistrements, mais elle publie également des signatures pour vérifier la légitimité.
- Filtrage des e-mails et protection avancée contre les menaces : Le déploiement de solutions de filtrage des e-mails pour détecter et bloquer les e-mails usurpés est une autre bonne mesure préventive. Les filtres détectent des éléments tels que des liens suspects, des mots ou des phrases spécifiques utilisés dans le spam et la réputation de l’adresse IP de l’expéditeur. Une fois détecté, le filtre déplace le e-mail dans un dossier distinct pour indiquer qu’il n’est peut-être pas légitime. De plus, l’implémentation d’une protection avancée contre les menaces, qui est une application en nuage plus sensible qu’un filtre traditionnel, peut réduire davantage le nombre d’e-mails illégitimes que vous et d’autres employés recevez.
Éviter les dangers du spoofing
Comme dans la plupart des domaines de l’informatique, une once de prévention vaut une livre de remède. Tout ce que vous pouvez faire pour réduire le risque d’usurpation d’adresse électronique et les attaques par hameçonnage qui en découlent probablement vous fera gagner du temps et de l’argent à long terme. Ne mettez pas en danger la santé financière de votre entreprise ou les informations privées de vos clients. Utilisez des méthodes de prévention telles que le filtrage, la protection avancée, SPF, DKIM et DMARC pour assurer une sécurité solide des e-mails et les protéger contre les e-mails usurpés.
En fin de compte, la meilleure façon de prévenir l’usurpation d’adresse électronique est la sensibilisation. Bien que les méthodes de prévention soient utiles, certains e-mails frauduleux peuvent toujours parvenir à vos utilisateurs. Tant que les équipes de votre entreprise sont conscientes de la menace et savent à quoi s’attendre, elles peuvent prendre des mesures pour éviter et prévenir activement les risques de sécurité, garantissant ainsi la sécurité de votre entreprise et de ses données.