Glossaire

Usurpation d'e-mails

En quoi consiste l'usurpation d'e-mails ?

L'usurpation d'e-mails correspond au fait de falsifier l'en-tête d'un e-mail dans l'espoir d'amener le destinataire à croire que l'e-mail provient d'une autre personne ou d'un autre lieu que son origine véritable. Les protocoles e-mail fondamentaux étant dépourvus de méthodes d'authentification, il est courant que les e-mails de spam et de phishing utilisent ces méthodes d'usurpation pour tromper le destinataire quant à l'origine du message.

L'objectif final de l'usurpation d'e-mails est d'amener les destinataires à ouvrir, et éventuellement même à répondre à, une sollicitation. Bien que les messages ainsi falsifiés ne représentent généralement qu'une gêne mineure qui ne nécessite aucune autre action que leur suppression, il existe des versions plus malveillantes pouvant causer des problèmes plus graves, voire représenter une réelle menace pour la sécurité.

Par exemple, un message falsifié peut prétendre provenir d'un cybermarchand bien connu et demander au destinataire de fournir des informations personnelles telles qu'un mot de passe ou un numéro de carte bancaire. Le faux message peut même demander au destinataire de cliquer sur un lien pour bénéficier d'une promotion à durée limitée, lequel lien pointe en réalité vers un malware qui sera alors téléchargé et installé sur l'appareil de la victime.

Il existe notamment un type de phishing, courant dans les attaques de compromission de la messagerie en entreprise, qui consiste à falsifier des e-mails pour faire croire qu'ils proviennent du PDG ou du directeur financier de l'entreprise qui travaille avec des fournisseurs étrangers. L'e-mail demande alors que les virements dus aux fournisseurs soient envoyés à des coordonnées différentes.

Comment fonctionne l'usurpation d'e-mails

L'usurpation des e-mails est possible car le protocole SMTP (Simple Mail Transfer Protocol) n'intègre pas de mécanisme d'authentification des adresses. Et bien que des protocoles et des mécanismes d'authentification des adresses e-mail aient été développés entre temps contre l'usurpation d'e-mails, leur adoption tarde à se généraliser.

Les raisons de l'usurpation d'e-mails

Bien qu'ils soient surtout connus pour le phishing, il existe en fait plusieurs raisons d'usurper l'adresse e-mail de l'expéditeur. Citons en particulier les raisons suivantes :

  • Masquer l'identité réelle de l'expéditeur – encore que, si l'objectif se limite à cela, il est alors plus simple de créer des adresses e-mail anonymes.
  • Échapper aux listes noires antispam. Les expéditeurs qui envoient des spams finissent toujours rapidement en liste noire. Pour résoudre ce problème, le plus simple pour eux est de changer d'adresse e-mail.
  • Se faire passer pour une connaissance du destinataire, par exemple dans le but de lui soutirer des informations sensibles ou l'accès à des données personnelles.
  • Se faire passer pour une entreprise avec laquelle travaille le destinataire, dans le but de mettre la main sur des coordonnées bancaires ou autres données personnelles.
  • Salir l'expéditeur usurpé, une attaque contre la réputation du supposé expéditeur en le montrant sous un mauvais jour.
  • L'envoi de messages au nom de quelqu'un d'autre peut aussi servir à usurper une identité, par exemple en demandant des informations aux gestionnaires des comptes bancaires ou de sécurité sociale de la victime.

Protections contre l'usurpation d'e-mails

Comme le protocole e-mail SMTP (Simple Mail Transfer Protocol) ne prévoit pas d'authentification, il a toujours été très simple d'usurper l'adresse de l'expéditeur. À force, la plupart des fournisseurs de solutions mail sont devenus très forts pour détecter et alerter les utilisateurs de la présence d'un spam, sans toutefois les supprimer. Mais certaines technologies ont depuis été conçues pour permettre l'authentification des messages entrants :

  • SPF (Sender Policy Framework) : consiste à vérifier si une certaine adresse IP est autorisée à envoyer un e-mail depuis un domaine donné. Le protocole SPF peut créer des faux positifs et impose toujours au serveur destinataire de vérifier lui-même l'enregistrement SPF, puis de valider l'expéditeur de l'e-mail.
  • DKIM (Domain Key Identified Mail) : méthode qui utilise une paire de clés de chiffrement utilisées pour signer les messages sortants et valider les messages entrants. Cependant, DKIM n'étant utilisé que pour signer certaines parties spécifiques d'un message, celui-ci peut être transmis sans que la validité de la signature en soit affectée. Cette technique est appelée « replay attack ».
  • DMARC (Domain-Based Message Authentication, Reporting, and Conformance) : méthode qui donne à l'expéditeur la possibilité de faire savoir au destinataire si l'e-mail est protégé par SPF ou DKIM, et comment réagir si le message échoue l'étape d'authentification. L'adoption de DMARC reste pour le moment limitée.

Comment les e-mails sont usurpés

Le moyen le plus simple d'usurper les e-mails consiste à trouver un serveur de messagerie dont le port SMTP est ouvert. Le protocole SMTP ne prévoit aucun système d'authentification. Par conséquent, les serveurs mal configurés ne possèdent aucune protection contre les éventuels cybercriminels. Sinon, rien n'empêche un pirate déterminé de créer son propre serveur de messagerie. Cette façon de faire est classique dans les cas de fraude au PDG/directeur financier. Dans ce cas, le pirate achète des domaines que l'on confond facilement avec celui de l'entreprise pour laquelle ils se font passer, et font partir les e-mails de ce domaine. Par ex. « @exernple.com » au lieu de « @exemple.com ». Selon la manière dont les e-mails sont formatés, il peut être très difficile pour un utilisateur standard de remarquer la différence.

Bien que l'usurpation d'adresse e-mail soit efficace pour ce qui est de falsifier l'adresse e-mail elle-même, l'adresse IP de l'ordinateur à l'origine du message, elle, peut généralement être identifiée via la ligne « Received: » située dans l'en-tête du message. On constate que la fraude passe souvent par un tiers innocent, dont l'infection par un malware a permis au pirate de détourner sa machine pour lui faire envoyer des messages sans même que son propriétaire ne s'en rende compte.

Pourquoi l'usurpation d'e-mails est un sujet important

Pour ne pas devenir victime d'usurpation d'e-mail, il est important de garder son antimalware à jour et de se méfier de toutes les techniques d'ingénierie sociale. En cas de doute quant à la validité d'un e-mail, il peut être utile de contacter directement l'expéditeur pour éviter la fraude, en particulier lorsqu'il est question de partager des données privées ou financières.

En savoir plus sur l'usurpation d'e-mails

Termes associés

Lectures complémentaires

Découvrez comment Barracuda peut vous aider

Barracuda Email Security Gateway utilise un puissant système d'authentification de l'expéditeur pour bloquer les usurpations en tous genres. Avec ses fonctionnalités de vérification du protocole de messagerie, de protection contre l'usurpation de l'expéditeur et de suppression en cas de notifications non valides, Barracuda Email Security Gateway s'impose comme une évidence pour protéger vos boîtes aux lettres contre les tentatives d'usurpation.

Barracuda Essentials utilise les technologies de protection contre l'usurpation pour vous aider à bloquer les tentatives de spear phishing avant qu'elles ne causent des dommages à votre entreprise. De plus, Barracuda Essentials exploite des informations antifraude, la détection heuristique et comportementale ainsi que la validation des noms de domaine pour limiter les dégâts causés par la fraude aux e-mails.

Des questions sur l'usurpation d'e-mails ? Contactez-nous dès maintenant !