Usurpation d'e-mails

Le spoofing par e-mail consiste à falsifier l’en-tête d’un e-mail afin d’inciter le destinataire à croire qu’il provient d’une autre source. Étant donné que les protocoles basiques de messagerie électronique ne disposent pas d’une méthode d’authentification intégrée, les spams et les e-mails d’hameçonnage s’appuient généralement sur le spoofing pour tromper le destinataire et lui faire croire que l’expéditeur est digne de confiance.

L’objectif final du spoofing par e-mail est d’inciter les destinataires à ouvrir un message, et éventuellement d’y répondre. Bien que les messages ainsi falsifiés ne représentent généralement qu’une gêne mineure qui ne nécessite aucune autre action que leur suppression, il existe des versions plus malveillantes pouvant causer des problèmes plus graves, voire représenter une réelle menace pour la sécurité.

Par exemple, un e-mail de spoofing peut prétendre provenir d’un cybermarchand connu et demander au destinataire de fournir des informations personnelles telles qu’un mot de passe ou un numéro de carte bancaire. Le faux e-mail peut même demander au destinataire de cliquer sur un lien pour bénéficier d’une promotion à durée limitée, le lien le redirigeant en réalité vers un malware qui sera alors téléchargé et installé sur l’appareil de la victime.

• Le spoofing par e-mail consiste à usurper l’identité d’un expéditeur de confiance dans le but de masquer l’identité d’un cybercriminel.
• Le protocole SMTP (Simple Mail Transfer Protocol) n’est pas capable d’authentifier les e-mails, ce qui permet aux cybercriminels d’usurper facilement des adresses e-mail d’expéditeurs. 
• Le spoofing ne doit pas être confondu avec l’hameçonnage. Le premier vise à masquer l’identité de l’expéditeur, tandis que le but de l’hameçonnage est d’obtenir des informations privées.
• Le spoofing par e-mail est une tactique utilisée dans la plupart des attaques par hameçonnage.
• De nombreux signes permettent aux utilisateurs finaux de repérer le spoofing par e-mail. Faire connaître ces signes aux employés est souvent la meilleure ligne de défense contre ces attaques.

En exploitant l’absence d’authentification intégrée dans les principaux protocoles de messagerie électronique, les cybercriminels ont mis au point un moyen efficace d’utiliser le spoofing pour inciter les destinataires à se fier à l’expéditeur d’un e-mail. Cette pratique remonte aux années 1970, lorsque des hackers ont exploité les vulnérabilités des protocoles de messagerie électronique dépourvus d’authentification.

Cependant, le spoofing par e-mail n’a pris son essor que dans les années 1990, lorsque les spammeurs ont commencé à l’utiliser pour contourner les filtres. Dans les années 2000, cette tactique est devenue une menace mondiale pour la cybersécurité.

Aujourd’hui, les protocoles de sécurité tels que Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) et Domain-Based Message Authentication, Reporting, and Conformance (DMARC) aident à lutter contre l'usurpation d'e-mails. Malgré ces efforts, cette technique reste un problème majeur. Il s’agit de l’un des principaux vecteurs des attaques des compromission de la messagerie en entreprise (Business Email Compromise) par spam et par hameçonnage. Google bloque d’ailleurs près de 100 millions d’e-mails d’hameçonnage chaque jour.

L’hameçonnage est une attaque de social engineering avec laquelle les cybercriminels tentent d’inciter les utilisateurs à révéler des informations sensibles en se faisant passer pour une entité légitime, généralement par le biais d’e-mails ou de sites web frauduleux. Le spoofing est une technique utilisée pour dissimuler l’identité ou l’origine de l’expéditeur. C’est une tactique courante dans l’hameçonnage et d’autres attaques.

Voici un aperçu des différences entre l’hameçonnage et le spoofing :

Les attaques par hameçonnage visent à inciter les utilisateurs à divulguer des données personnelles ou à effectuer des actions qui profiteront au pirate. Les e-mails de spoofing, qui se font passer pour des sources fiables, sont souvent utilisés pour rendre les tentatives d’hameçonnage plus convaincantes. Alors que l’hameçonnage cible principalement la psychologie humaine, le spoofing exploite les vulnérabilités techniques pour contourner les mesures de sécurité.

L'usurpation des e-mails est possible car le protocole SMTP (Simple Mail Transfer Protocol) n'intègre pas de mécanisme d'authentification des adresses. Et bien que des protocoles et des mécanismes d'authentification des adresses e-mail aient été développés entre temps contre l'usurpation d'e-mails, leur adoption tarde à se généraliser.

Le processus de spoofing par e-mail comprend généralement les étapes suivantes :

1. Le pirate crée un e-mail avec une adresse d’expéditeur falsifiée. 
2. Il utilise son propre serveur SMTP ou un serveur SMTP qui ne nécessite pas d’authentification. 
3. L’e-mail est envoyé via ce serveur, qui ne vérifie pas l’authenticité de l’adresse de l’expéditeur. 
4. Le serveur de réception traite l’e-mail sur la base des informations contenues dans les en-têtes, qui semblent légitimes.

Des protocoles d’authentification tels que SPF, DKIM et DMARC ont été mis au point pour empêcher le l'usurpation, mais leur adoption a été progressive. Ces protocoles permettent aux propriétaires de domaines de spécifier quels serveurs de messagerie sont autorisés à envoyer des e-mails en leur nom et fournissent des signatures cryptographiques pour vérifier l’identité de l’expéditeur.

Exemple : un hacker peut utiliser le spoofing par e-mail afin de se faire passer pour une banque. Pour cela, il peut créer un e-mail avec un en-tête contenant informations suivantes :

texte

De : serviceclient@banquelegitime.com
À : victime@email.com
Objet : Urgent : Mise à jour de la sécurité de votre compte

Le pirate envoie ensuite cet e-mail par l’intermédiaire d’un serveur SMTP qui n’authentifie pas l’expéditeur. L’e-mail reçu par la victime semblera provenir du service client de sa banque. Le message peut contenir un lien d’hameçonnage ou demander au destinataire des informations sensibles, exploitant ainsi la confiance associée à l’adresse e-mail usurpée.

Pour se prémunir contre ces menaces, les fournisseurs de courrier électronique et les entreprises mettent de plus en plus souvent en œuvre des protocoles d’authentification. Toutefois, l’efficacité de ces mesures dépend de leur adoption à grande échelle et d’une configuration adéquate. Les utilisateurs peuvent se protéger en faisant preuve de prudence face aux e-mails inattendus, en vérifiant l’adresse de l’expéditeur et en s’abstenant de cliquer sur les pièces jointes ou les liens suspects.

 

Bien que cette technique soit surtout utilisée à des fins d'hameçonnage, il existe en réalité plusieurs raisons d'usurper l'adresse e-mail d'un expéditeur. En voici quelques-unes :

• Masquer l’identité réelle de l’expéditeur. Toutefois, s’il s’agit du seul objectif, il suffit de créer des adresses e-mail anonymes.
• Échapper aux listes de blocage antispam. Les expéditeurs de spams finissent toujours rapidement sur une liste de blocage. Pour contourner ce problème, le plus simple est d’usurper une adresse e-mail.
• Se faire passer pour quelqu’un que le destinataire connaît. Un pirate peut ainsi exploiter la confiance que la victime accorde à une connaissance et lui demander des informations sensibles ou l’accès à des données personnels.
• Se faire passer pour une entreprise avec laquelle le destinataire entretient une relation. L’objectif est de s’emparer d’identifiants bancaires ou d’autres données personnelles.
• Ternir l’image de l’expéditeur usurpé. Cela peut prendre la forme d’une attaque contre la réputation du supposé expéditeur en le montrant sous un mauvais jour.
• Commettre une usurpation d'identité. Par exemple, il peut s’agir d’une demande d’informations provenant des comptes financiers ou médicaux de la victime.

Voici une liste de caractéristiques qui peuvent indiquer que vous avez reçu un e-mail de spoofing :

• L’expéditeur utilise une adresse e-mail suspecte qui ne correspond pas à l’identité prétendue (par exemple, un e-mail qui prétend provenir de PayPal avec l’adresse « vpaypal_security@outlook.com » au lieu d’une adresse avec le nom de domaine légitime de PayPal).
• Le nom affiché ne correspond pas à l’adresse e-mail réelle (par exemple, un e-mail de « Johan Dubois » provenant de l’adresse e-mail « thomas.dupont@gmail.com »)
• Langage urgent ou menaçant créant un sentiment de pression
• Une demande d’informations sensibles telles que des mots de passe ou des données financières
• Pièces jointes ou liens inattendus
• Des fautes de grammaire et/ou d’orthographe ou des tournures inhabituelles
• Une salutation générique au lieu d’un message personnalisé (par exemple, « Cher client » ou « Cher utilisateur »)
• Des logos et des références de marque incohérents ou incorrects
• Des heures d’envoi inhabituelles, en particulier en dehors des heures de bureau
• Des demandes visant à contourner les procédures de sécurité habituelles
• Incohérences avec les communications précédentes de l’expéditeur présumé
• Des en-têtes d’e-mails contenant des informations de routage inattendues (par exemple, des en-têtes indiquant que l’e-mail a été acheminé par le biais de plusieurs pays, alors que l’expéditeur est censé se trouver dans la région ou le pays)
• Des liens qui, lorsqu’ils sont survolés avec la souris, révèlent des URL suspectes (par exemple, des domaines mal orthographiés ou des URL longues et trop complexes)
• L’utilisation de domaines de messagerie publics (par exemple, gmail.com) pour les communications officielles d’une entreprise

Étant donné que le protocole de messagerie SMTP ne dispose pas de capacités d’authentification, il a toujours été très simple d’usurper l’adresse e-mail d’un expéditeur. Par conséquent, la plupart des fournisseurs de courrier électronique sont devenus des experts en matière de détection de spams. Dans ce cas, ils alertent les utilisateurs plutôt que de rejeter purement et simplement ce type de messages.

D’autres protections comprennent les cadres mentionnés précédemment qui facilitent l’authentification des messages entrants :

• SPF (Sender Policy Framework) : il permet de lutter contre le spoofing en vérifiant si une adresse IP donnée peut envoyer des e-mails à partir d’un domaine spécifique. Le protocole SPF peut créer des faux positifs, mais il impose toujours au serveur destinataire de vérifier lui-même l’enregistrement SPF, puis de valider l’expéditeur de l’e-mail.
• DKIM (Domain Key Identified Mail) : cette méthode utilise une paire de clés de chiffrement pour signer les messages sortants et valider les messages entrants. Cependant, la norme DKIM n’étant utilisée que pour signer certaines parties spécifiques d’un message, ce dernier peut être transmis sans que la validité de la signature en soit affectée. Cette technique est appelée « replay attack ».
• DMARC (Domain-Based Message Authentication, Reporting, and Conformance) : cette méthode permet à l’expéditeur d’indiquer au destinataire si l’e-mail est protégé par SPF ou DKIM ainsi que les mesures à prendre en cas d’échec de l’authentification. L’adoption du protocole DMARC reste pour le moment limitée.

Le spoofing par e-mail n’est pas toujours facile à repérer. Cependant, en disposant d’une formation adéquate en matière d’identification des e-mails de spoofing et en comprenant les nuances de la sécurité des e-mails, les organisations peuvent protéger leur infrastructure numérique et leurs données les plus précieuses contre ce vecteur d’attaque très répandu.

Vous ne savez pas par où commencer ? Demandez conseil à des experts en sécurité des e-mails. L’équipe de Barracuda se fera un plaisir de vous faire profiter de son expertise en matière de cybersécurité. Programmez dès aujourd’hui une démonstration en matière de protection des e-mails et laissez-nous vous guider pour vous permettre de communiquer en toute sécurité.