spoofing-usurpation email

Utilisé pour le phishing et autres attaques d’ingénierie sociale, le spoofing d’email est redoutable. Bien exécuté, il est difficile à détecter et induit en erreur le destinataire.

Pour le contrer, des solutions techniques peuvent être mises en place lorsque vous configurez vos serveurs mails. Nous allons ainsi voir les trois éléments indispensables à installer pour se protéger du spoofing d’email : SPF, DKIM et DMARC.

Qu’est-ce que le spoofing d’email ?

Pour comprendre le spoofing d’email, reprenons le fonctionnement des mails. Les emails sont acheminés grâce au protocole SMTP pour arriver sur les serveurs de messagerie du destinataire.

Le SMTP est un protocole du début d’internet et a peu évolué depuis. Ainsi, tout serveur peut envoyer un email en affichant n’importe quelle adresse email. En effet, le champ de l’expéditeur (from) n’est qu’un champ de texte parmi d’autres, non protégé. C’est pour cela que le spoofing est possible.

Le spoofing d’email, ou usurpation d’adresse email, consiste à s’attribuer une adresse email lors de l’envoi d’un message. L’intérêt est de cacher l’origine réelle de l’expéditeur et de faire croire à une adresse de confiance.

Plusieurs types d’attaques de phishing se servent de l’usurpation d’adresse email pour les rendre plus crédibles.

Nous nous concentrons dans cet article sur le spoofing d’email, mais le spoofing couvre une variété de techniques pour prendre l’identité d’une personne. Par exemple, des attaques exploitent le spoofing téléphonique, c’est-à-dire usurpent un numéro d’appel. D’autres attaques utilisent le spoofing d’ARP, de DNS, etc.

Le spoofing d’email rend le phishing plus dangereux

Le phishing (ou hameçonnage) est une attaque par email pour obtenir des informations sensibles ou pour faire effectuer des actions pouvant entraîner un incident de sécurité. Il utilise très souvent le spoofing d’email, car il fait croire que l’expéditeur est connu ou fiable. Dans les cas de phishing « classiques » comme d’attaques plus sophistiquées de spear-phishing ou d’arnaques au président (attaques BEC), l’usurpation d’adresse email rend crédible ou renforce les prétextes annoncés.

En effet, depuis les premiers mails de scams et de phishing, nous avons tous appris à nous méfier des messages aux fautes d’orthographe évidentes, aux demandes exagérées, à ne pas suivre de lien inhabituel, etc.

Mais les attaquants se sont adaptés et ont fait évoluer le phishing. Désormais, les emails de phishing respectent majoritairement les codes actuels pour le contenu et la mise en forme (signature, logo, bouton pour inciter à cliquer…).

Le spoofing d’email est un élément en plus pour mettre les cibles en confiance, en leur donnant l’impression d’échanger avec un contact connu ou officiel. Elles sont ainsi plus susceptibles de cliquer sur un lien ou de répondre à une demande d’informations confidentielles.

Spoofing et attaques homographiques, deux visages du phishing

Nous pouvons distinguer deux « formes » de spoofing :

  • le spoofing qui usurpe une vraie adresse email ;
  • ou l’utilisation d’une autre adresse email, qui est très proche visuellement ou crédible dans le scénario de phishing. Ce sont alors des attaques homographiques.

Prenons par exemple grace.hopper@sciences.com pour expliquer les attaques homographiques. Elles s’appuient sur différentes « astuces » pour se faire passer pour la personne ou l’organisation souhaitée.

  • Changement, inversion, ajout ou suppression de caractères : grace.hopper@sciemces.com
  • Utilisation de caractères non latins (caractères non ASCII) : grace.hopper@scieпces.com
  • Utilisation d’un domaine proche ou crédible dans l’attaque : grace.hopper@sciences.us ; grace.hopper@science.com

La seule limite dans les possibilités de variation est l’imagination des attaquants et les contraintes du SMTP (caractères non supportés, restrictions selon les TLDs…). Vous pouvez détecter les attaques homographiques en regardant attentivement l’adresse de l’expéditeur. Il faut parfois faire « Répondre au message » pour voir la vraie adresse de réponse, si l’attaquant avait aussi fait afficher une autre adresse d’expéditeur.

La difficulté, lorsque vous connaissez le contact, est de reconnaitre d’un coup d’œil l’expéditeur sans lire l’adresse et de commencer à traiter le mail. Pris dans le rythme d’une journée de travail, il est facile de tomber dans le piège.

Les attaques homographiques sont plus fréquemment utilisées que le spoofing d’email, car il est devenu plus dur à exécuter. Les filtres anti-spams et autres indicateurs des services de messagerie se basent sur l’absence des trois protocoles pour classer les mails comme spams ou phishing.

Il est donc indispensable de configurer le SPF, DKIM et DMARC pour :

  • que les emails de spoofing soient détectés avant d’arriver dans les boites de messagerie,
  • que des attaquants n’usurpent pas votre domaine,
  • et que vos emails arrivent correctement chez vos destinataires.

Le protocole SPF : sécuriser les serveurs d’envoi

La première mesure est de déclarer les serveurs. Le standard SPF (Sender Policy Framework) est un enregistrement DNS qui définit les serveurs de messagerie autorisés à envoyer des messages pour votre domaine. Ce protocole permet donc de lister les serveurs et les adresses IP autorisés à utiliser le nom de domaine. C’est la première étape pour authentifier vos emails.

Concrètement, lorsqu’un message de votre organisation est envoyé, les serveurs mails du destinataire vérifient que le mail vient bien d’un des domaines autorisés. S’il ne vient pas d’un domaine autorisé, le message arrivera dans les spams.

Les enregistrements SPF mal configurés peuvent provoquer des problèmes de délivrabilité. Selon le prestataire de solution mail que vous utilisez, ils fournissent généralement des indications pour la configuration. Vous pouvez aussi consulter ces bonnes pratiques de configuration SPF.

Le DKIM : signer et authentifier les messages

En deuxième mesure, le protocole DKIM (ou DomainKeys Identified Mail) est à installer. Il définit une authentification du domaine d’envoi des emails grâce à une paire de clés privées et publiques. Les clés permettent de signer et valider la source des messages.

Il s’agit en effet d’une signature mise sur votre enregistrement DNS, qui inclut l’identité du signataire.

En pratique, la signature est ajoutée à l’en-tête des emails sortants grâce à la clé privée. Lorsque les serveurs du destinataire reçoivent le mail, ils vérifient grâce à la clé publique la source du message et si le message a été modifié.

Le protocole DKIM est un complément du SPF et aide à déterminer si le message doit être considéré comme spam ou non.

Le DMARC : vérifier l’application des protocoles SPF et DKIM

Le DMARC (Domain-based Message Authentication, Reporting and Conformance) vient ensuite renforcer le SPF et DKIM. L’enregistrement DMARC vérifie l’application des protocoles SPF et DKIM, et en particulier la correspondance entre l’en-tête et le domaine expéditeur.

Vous pouvez utiliser cet outil pour vous guider ou vérifier la configuration SPF, DKIM et DMARC.

Il définit les règles à suivre si un message échoue à ces vérifications. Trois options sont alors prévues : Rejet, Quarantaine ou Ne rien faire. Vous pouvez configurer les règles pour accepter un alignement souple ou strict.

De plus, le protocole DMARC envoie des rapports indiquant les messages validés ou non provenant de votre domaine. Cela peut être intéressant pour identifier d’éventuelles menaces, des abus ou des failles de configuration.

Le BIMI : une indication visuelle facultative

Enfin, une autre configuration facultative est possible : le BIMI (Brand Indicators for Message Identification). Ce n’est pas un élément technique qui renforce la sécurité, mais un ajout visuel qui donne une indication supplémentaire sur l’identité de l’expéditeur.

Il permet d’afficher le logo de marque directement dans la boite de réception. Le BIMI ne peut être ajouté que si vous avez les protocoles SPF, DKIM et DMARC actifs, et si la politique DMARC est sur quarantaine ou rejet.

Déployé depuis 2019, tous les fournisseurs de messagerie (notamment Outlook & Office365) ne supportent pas encore le BIMI.

Si l’idée est intéressante de renforcer la confiance en sachant quelle image s’affiche habituellement à côté de tel expéditeur, cela ne garantit pas une protection contre le phishing.

En effet, un attaquant pourrait tout à fait chercher quelle image utilise l’organisation qu’il souhaite usurper, configurer ensuite un domaine avec le SPF, DKIM et DMARC puis l’associer à la même image. Le BIMI sera alors un inconvénient, car les utilisateurs se méfieront encore moins de ce mail.

Comment se protéger du spoofing d’email et du phishing ?

Ces trois protocoles permettent de limiter les risques de spoofing d’une adresse email exacte. Ils servent également à protéger les domaines qui n’envoient pas ou plus d’emails. Vous pouvez consulter cette ressource qui détaille les configurations à faire pour ces cas-là.

Grâce à l’adoption de ces protections, le spoofing d’email est beaucoup moins courant qu’auparavant.

En revanche, les attaquants utilisent de plus en plus souvent le « spoofing visuel », les attaques homographiques, lors de phishing. Pour parer ces attaques, la clé est la sensibilisation des équipes. Elles doivent acquérir les moyens de déjouer les attaques de phishing, des indices pour identifier les mails suspects aux ressorts psychologiques utilisés par le phishing.

Le phishing reste une méthode d’attaque d’extrêmement efficace, car les techniques et prétextes inventés par les attaquants se renouvellent sans cesse. Il faut bien noter que le phishing est bien plus que l’usurpation d’emails.

En plus de formations, un audit d’ingénierie sociale donne les moyens de tester les réflexes des équipes en réalisant des attaques adaptées au contexte. Grâce aux mises en situation concrètes, les collaborateurs se rendent mieux compte des menaces auxquelles ils font face et retiennent également mieux les situations à risque.