logo ami cybersecurite

Usurpation d’identité par courriel : comment reconnaître et contrer le email spoofing ?

Sommaires

L’email spoofing, ou usurpation d’identité par courriel, est une tactique de fraude courante qui peut compromettre vos informations personnelles. Cet article va droit au cœur du sujet pour examiner comment ces attaques sont orchestrées et comment vous pouvez renforcer la sécurité de votre courrier électronique. En suivant les conseils pratiques proposés, découvrez les méthodes pour détecter et contrer l’email spoofing de manière efficace.

À lire sur le même sujet : Quelles sont les différentes catégories de cybermenaces ?

Les points clés

  • L’usurpation d’email est une technique de cyberattaque où un fraudeur modifie l’en-tête d’un email pour faire croire qu’il provient d’une source légitime, souvent utilisée dans le phishing.
  • Il existe diverses méthodes d’usurpation comme l’usurpation par nom d’affichage, via des domaines légitimes ou des domaines similaires, et des mesures de protection authentifiant les emails sont disponibles telles que SPF, DKIM et DMARC.
  • Face aux risques d’usurpation d’email, il est crucial de prendre des mesures proactives telles que la mise en place de protocoles d’authentification, la formation des employés à la reconnaissance d’emails frauduleux et l’adoption de bonnes pratiques de sécurité pour protéger son adresse email.

Comprendre l’usurpation d’email

L’usurpation d’email est une attaque cybernétique qui consiste à falsifier les en-têtes des courriels pour faire croire qu’ils proviennent d’une source de confiance. L’objectif de ces attaques est de collecter des informations personnelles ou d’exploiter les victimes. Cette pratique est courante dans le phishing, car elle repose sur la confiance que nous accordons aux adresses apparentes de l’expéditeur. Et soyons honnêtes, combien d’entre nous vérifient vraiment l’authenticité des en-têtes de courriel?

L’usurpation d’email est facilitée par le protocole SMTP (Simple Mail Transfer Protocol) qui ne nécessite pas d’authentification pour envoyer des emails. Cela signifie que les cybercriminels peuvent modifier manuellement les champs ‘De’ et ‘À‘ dans les en-têtes, rendant ainsi possible l’usurpation d’email sans la nécessité de compromettre un compte email réel. Cette technique, initialement utilisée par des spammeurs pour éviter les filtres anti-spam, est devenue un risque majeur en cybersécurité.

Qu’est-ce que l’usurpation d’email?

L’usurpation d’email est un acte malveillant où l’expéditeur modifie l’en-tête de the email pour faire croire que le message vient d’une autre adresse. Imaginez que vous recevez un email de votre banque vous demandant de confirmer vos informations personnelles.

Vous vérifiez l’adresse de l’expéditeur et vous voyez que l’email semble provenir de votre banque. Vous faites confiance à l’adresse de l’expéditeur et vous cliquez sur le lien pour confirmer vos informations.

Félicitations, vous venez de tomber dans le piège d’une attaque de phishing par usurpation d’email, également connue sous le nom de phishing emails. Les attaquants peuvent utiliser des scripts simples ou exploiter l’API e-mail pour modifier l’adresse de l’expéditeur, rendant l’usurpation accessible même sans compétences techniques avancées.

Pourquoi les usurpateurs choisissent-ils l’email?

Les usurpateurs choisissent l’email en raison de la facilité de manipulation des champs de l’e-mail et de la confiance générale des utilisateurs dans les adresses apparemment légitimes.

En effet, les utilisateurs font généralement confiance aux adresses mail qui semblent légitimes, ce qui rend l’usurpation d’identité par courriel plus efficace. De plus, le protocole SMTP ne fournit pas de moyen d’authentifier les adresses email, ce qui permet la manipulation des champs de l’e-mail.

Dans les systèmes de messagerie électronique, l’adresse de l’expéditeur, également connue sous le nom de “sender address”, peut être manuellement définie par l’application cliente sans aucune validation par les serveurs de messagerie sortante. Les email spoofers utilisent l’email spoofing dans le but de tromper le destinataire et peuvent ainsi causer d’importantes pertes financières en manipulant les email messages.

Les méthodes d’usurpation d’email

Il existe plusieurs méthodes d’usurpation d’email, mais les trois principales sont l’usurpation par nom d’affichage, l’usurpation via des domaines légitimes et l’usurpation en utilisant des domaines similaires. Chacune de ces méthodes a ses propres caractéristiques et tactiques, mais toutes ont le même objectif : tromper le destinataire pour lui faire croire que l’email vient d’une source de confiance.

Les cybercriminels peuvent exploiter les serveurs SMTP comportant des ports ouverts pour mener à bien des campagnes d’usurpation.

Cela souligne l’importance de surveiller ces serveurs pour prévenir de telles attaques. En effet, une fois qu’un serveur SMTP a été compromis, il peut être utilisé pour envoyer des milliers d’emails usurpés, ce qui peut causer d’énormes dommages.

Face aux risques d’usurpation, les organisations utilisent des solutions automatisées anti-usurpation qui se basent sur la science des données comportementales pour atténuer et prévenir les dommages causés par ces cyberattaques.

Ces solutions analysent les comportements de l’utilisateur et les caractéristiques des emails pour détecter les emails usurpés et bloquer les attaques avant qu’elles ne puissent causer des dommages.

Usurpation par nom d’affichage

L’usurpation par nom d’affichage est une forme d’usurpation d’email où seul le nom visible de l’expéditeur est falsifié. Cette technique est rendue possible parce que le protocole SMTP ne dispose pas d’une méthode authentifiant les adresses email, ce qui permet de falsifier les informations visibles par le destinataire. Les emails malveillants peuvent être envoyés avec un nom d’affichage qui semble être celui d’une personne de confiance, incitant le destinataire à penser que l’email vient de cette personne.

Cette forme d’usurpation profite souvent de l’interface des applications d’emails sur smartphones qui montrent principalement le nom d’affichage, omettant l’adresse de l’expéditeur. Sur les appareils mobiles, l’usurpation est encore plus plausible car ils affichent souvent seulement le nom d’affichage, sans montrer explicitement l’adresse de l’expéditeur.

Usurpation via des domaines légitimes

L’usurpation via des domaines légitimes implique l’utilisation de serveurs de messagerie compromis pour envoyer des emails frauduleux à partir de domaines de confiance. Les attaquants prennent le contrôle de serveurs de messagerie légitimes pour envoyer des emails frauduleux en utilisant des domaines de confiance. Cette méthode d’usurpation rend les emails frauduleux difficiles à détecter car ils émanent d’un serveur SMTP authentiquement compromis et non d’un réseau interne détourné.

Les fraudeurs peuvent envoyer des milliers de faux emails via un serveur SMTP vulnérable, apparemment provenant d’individus fiables tels que des PDG ou des cadres d’entreprise, augmentant la crédibilité des messages. L’envoi d’emails qui semblent provenir de domaines de confiance via des serveurs SMTP compromis augmente la crédibilité de l’email et potentiellement le succès de l’attaque d’usurpation.

Usurpation et domaines similaires

L’usurpation et domaines similaires utilisent des domaines enregistrés ressemblant à ceux de confiance pour tromper les destinataires et les inciter à révéler des informations sensibles. Les cybercriminels utilisent la technique du lookalike domain spoofing en enregistrant des domaines similaires aux domaines de confiance pour créer un sentiment d’autorité.

Le typosquatting est une technique où les attaquants enregistrent des domaines proches de ceux de confiance, avec des erreurs typographiques ou des variations subtiles.

Les attaques utilisant des domaines similaires demandent aux destinataires de faire preuve d’une vigilance accrue et de procéder à un examen minutieux de l’e-mail, y compris ses métadonnées, car les différences peuvent ne pas être immédiatement évidentes.

Les usurpateurs peuvent créer de nouvelles adresses email en utilisant des noms empruntés, rendant les messages frauduleux plus difficiles à identifier par les filtres anti-spam. Des attaquants techniquement avancés peuvent envoyer des e-mails qui semblent provenir d’adresses légitimes, comme Amazon, bien que les e-mails viennent en réalité de l’adresse des usurpateurs.

Protéger votre adresse email contre l’usurpation

Protéger votre adresse email contre l’usurpation nécessite la mise en place de mesures de sécurité. Il est essentiel de prendre des mesures proactives pour sécuriser votre adresse email et prévenir les attaques. Les mesures défensives contre l’usurpation d’email incluent:

  • La configuration correcte des domaines expéditeurs
  • La configuration des serveurs de messagerie
  • La configuration du système de réception pour appliquer des normes d’authentification élevées.

En effet, l’authentification des emails est une étape essentielle pour se protéger contre l’usurpation d’email. Il existe plusieurs méthodes d’authentification, comme le SPF (Sender Policy Framework), le DKIM (DomainKeys Identified Mail) et le DMARC (Domain-based Message Authentication, Reporting and Conformance). Ces protocoles aident à vérifier l’expéditeur de l’email et à déterminer si l’email est légitime ou non.

En plus de l’authentification des emails, il est également important de mettre en place des mesures de prévention pour éviter de devenir une cible d’usurpation d’email. Cela peut inclure l’utilisation de filtres de spam, la mise à jour régulière des logiciels de sécurité et la formation des employés à la détection des emails usurpés.

Mise en place de SPF (Sender Policy Framework)

Le SPF est un enregistrement DNS qui spécifie quels serveurs de messagerie sont autorisés à envoyer des messages pour un domaine donné, renforçant la vérification des emails envoyés. Pour activer SPF, un enregistrement TXT doit être créé dans le DNS du domaine, spécifiant les serveurs et adresses IP pouvant légitimement envoyer des emails de ce domaine.

Un exemple d’enregistrement SPF pourrait être v=spf1 include:spf.protection.outlook.com -all, indiquant qu’aucun autre serveur en dehors de ceux spécifiés n’est autorisé à envoyer des emails pour le domaine. Il est crucial d’avoir un seul enregistrement SPF par domaine ou sous-domaine pour éviter tout conflit ou ambiguïté dans l’authentification des emails.

Les concepteurs d’enregistrements SPF doivent minimiser le nombre de recherches DNS, car dépasser la limite des 10 recherches autorisées peut provoquer des erreurs de validation SPF.

Authentification avec DKIM (DomainKeys Identified Mail)

Le DKIM utilise des clés privées et publiques pour assurer l’authenticité de l’expéditeur et l’intégrité des messages. DKIM utilise un cryptage asymétrique avec une clé publique pour crypter l’email et une clé privée pour le décrypter, assurant ainsi l’authenticité et l’intégrité du message.

Pour configurer DKIM, suivez ces étapes :

  1. Obtenez une clé spécifique au domaine via la console d’administration du service de messagerie.
  2. Ajoutez la clé aux enregistrements DNS sous forme de TXT.
  3. Les clés DKIM recommandées sont de 2048 bits pour une meilleure sécurité.
  4. Assurez-vous d’inclure un préfixe sélecteur spécifique, comme ‘google’ par défaut.

Il est essentiel d’activer la signature DKIM dans la console d’administration pour que les emails sortants soient signés avec la clé DKIM et vérifiables par les récepteurs. Le DKIM ajoute des détails de la signature à l’en-tête de l’email pour confirmer que celui-ci a été envoyé par le domaine affiché, contribuant à protéger contre l’usurpation d’identité et à réduire les risques de marquage comme spam.

DKIM est complémentaire au SPF, les deux contribuant à déterminer si le message doit être considéré comme du spam par les systèmes de filtrage des messageries.

Validation avec DMARC (Domain-based Message Authentication, Reporting and Conformance)

Le DMARC aide à vérifier l’implémentation effective des protocoles SPF et DKIM et établit des politiques sur la façon de gérer les emails qui échouent à ces vérifications. Avant la mise en œuvre de DMARC, il est essentiel de s’assurer que l’infrastructure de messagerie peut supporter SPF et DKIM et que l’on dispose des accès nécessaires aux enregistrements DNS.

Pour créer un enregistrement DMARC, on peut utiliser un portail spécialisé qui facilitera la configuration et la publication de l’enregistrement DNS TXT sous le sous-domaine _dmarc du domaine principal. La politique DMARC devrait être initialement définie sur ‘none’ pour observer le trafic des e-mails sans affecter leur distribution, avant de passer à ‘quarantaine’ ou à ‘rejet’ suite à une analyse des rapports.

La maintenance de DMARC comprend:

  • La génération de rapports pour observer l’utilisation du domaine
  • La détection des activités suspectes
  • Un suivi régulier pour identifier tout problème potentiel.

Reconnaître un e-mail usurpé

Pour reconnaître un e-mail usurpé, il est important d’examiner l’en-tête complet de l’e-mail, qui contient des informations sur l’expéditeur, le destinataire et les résultats de vérification. Les en-têtes d’email incluent souvent les résultats de validation SPF, fournissant des indications sur le fait que l’expéditeur était ou non autorisé à envoyer des emails via le domaine en question.

Pour prévenir l’usurpation de nom d’affichage, il faut vérifier les adresses email qui semblent suspectes, en scrutant le nom de domaine et en les comparant avec les échanges précédents.
La recherche inversée de l’adresse IP permet de vérifier que le domaine associé à l’adresse IP correspond bien à l’expéditeur présumé, confirmant ainsi la source authentique de l’email.

Inspection de l’en-tête de l’email

Pour identifier le véritable domaine de l’expéditeur d’un e-mail, il est crucial d’examiner l’en-tête ‘Received’, qui inclut des informations telles que le nom du domaine et l’adresse IP. Le champ ‘Received’ situé le plus bas dans l’en-tête d’un e-mail est le plus important à examiner, car il détient les détails concernant les premiers noeuds de transmission et, par conséquent, sur l’expéditeur initial du message. En outre, cela permet également de protéger the recipient contre les tentatives de phishing ou de fraude.

Une bonne pratique pour la reconnaissance des emails usurpés est de s’assurer que le nom d’affichage de l’expéditeur correspond au domaine mentionné dans l’en-tête de l’email. L’authentification DKIM d’un e-mail peut être vérifiée en inspectant la section ‘Authentication-Results’ de l’en-tête pour y trouver une mention DKIM=pass ou DKIM=OK, ce qui indique une authentification DKIM réussie.

Vérification de l’adresse IP de l’expéditeur

Une recherche IP inversée s’effectue en interrogeant les serveurs DNS pour trouver les sites web associés à une adresse IP, ce qui permet de vérifier l’alignement avec l’adresse IP déclarée par l’expéditeur. Un portail d’intelligence sur les menaces fournit des informations détaillées sur le domaine, comme Kaspersky Threat Intelligence Portal, et peut être utilisé pour faciliter l’interprétation de l’en-tête “Received” de l’email.

Les outils en ligne permettent de réaliser une recherche IP inversée pour découvrir les sites Web hébergés sur l’adresse IP de l’expéditeur présumé. La recherche IP inversée peut révéler l’utilisation d’un serveur d’hébergement partagé, indiquant plusieurs sites Web partageant la même adresse IP, ce qui peut aider à évaluer la légitimité de l’expéditeur.

Analyse des résultats de validation

Pour assurer l’authenticité d’un e-mail, on peut examiner les résultats de vérification SPF, DKIM et DMARC. Il est essentiel de comparer l’adresse de retour (Return-Path) avec l’adresse e-mail de l’expéditeur et de vérifier la correspondance des domaines Received: from et Received-SPF, ainsi que les adresses IP.

Les outils spécialisés peuvent effectuer la vérification des enregistrements DMARC, qui sont des informations publiques, et aider à paramétrer DMARC pour la protection contre l’usurpation d’e-mail.

Réponses aux attaques d’usurpation

Si vous avez été victime d’une attaque d’usurpation d’email, il est important de réagir rapidement pour limiter les dégâts. Changer régulièrement de mot de passe et informer vos fournisseurs de services après avoir été victime d’usurpation d’adresse email sont des étapes cruciales. Mais n’oubliez pas que la prévention est la meilleure défense.

Il est essentiel de comprendre que les victimes d’usurpation d’email peuvent faire face à des pertes financières, à la perte de confiance des clients, et à des fuites de données sur le dark web, soulignant l’importance de réagir promptement.

Que faire si mon adresse mail a été usurpée?

Si vous suspectez que votre adresse email a été usurpée, il est crucial de prendre des mesures immédiates pour protéger votre compte. L’utilisation de plates-formes de sécurité email modernes est cruciale pour empêcher les emails frauduleux de passer à travers les filtres de sécurité.

La formation des employés à reconnaître les emails suspects est une étape clé pour réagir efficacement en cas d’usurpation d’adresse email. Si un email usurpé est reçu, il est recommandé de ne pas cliquer sur aucun lien dans l’email mais plutôt d’entrer manuellement le domaine dans la barre d’adresse du navigateur pour accéder à votre compte.

Prévention des attaques par appât (bait attacks)

Les attaques par appât, également connues sous le nom de “phishing attacks”, sont une menace croissante dans le paysage des cybermenaces. Ces attaques consistent à envoyer des emails avec un contenu très court ou vide dans le but de vérifier l’existence de l’adresse email de la victime ou d’initier une conversation qui pourrait conduire à des activités malveillantes. Pour se protéger contre ces attaques, il est crucial de mettre en place des programmes de formation à la sensibilisation à la cybersécurité pour équiper les employés de la capacité de repérer et traiter les tactiques modernes d’usurpation d’e-mail.

L’utilisation de systèmes de défense basés sur l’IA est une stratégie efficace pour identifier et bloquer les attaques par appât.

Exemples concrets d’usurpation d’email

Pour illustrer l’impact potentiel des attaques d’usurpation d’email, examinons quelques exemples concrets. Ces attaques ne se limitent pas aux particuliers, elles touchent aussi les grandes entreprises. Voici quelques cas :

  1. En janvier 2016, l’entreprise autrichienne FACC a subi une perte de 42 millions d’euros à cause d’un email usurpé se faisant passer pour le PDG et demandant un transfert de fonds pour un projet fictif.
  2. Crelan Bank, une banque belge, a été escroquée de 75,6 millions d’euros en février 2016 suite à une usurpation d’email ciblant un employé qui a cru transférer des fonds à la demande du PDG.
  3. Les dirigeants de Sony Pictures ont reçu des emails de phishing en 2014 à partir d’un domaine imitant celui d’Apple, ce qui a conduit à un accès non autorisé aux données de l’entreprise et à des pertes estimées à plus de 80 millions d’euros.
  4. Facebook et Google ont perdu environ 90 millions d’euros entre 2013 et 2015 à cause d’un lituanien envoyant de fausses factures par email, ce qui les a trompés en leur faisant croire qu’ils payaient des services légitimes.
  5. Un incident public notable s’est produit avec la compagnie Fingerprint Cards où un email usurpé a mené à des conséquences importantes, mettant en lumière le danger de l’usurpation d’email pour les entreprises.

Attaques notoires et leurs impacts

Les conséquences de ces attaques d’usurpation d’email peuvent être dévastatrices. Les pertes financières peuvent être énormes, comme dans les exemples que nous avons mentionnés. Mais les conséquences ne se limitent pas à l’argent. Les attaques d’usurpation d’email peuvent aussi entraîner une perte de confiance de la part des clients, une atteinte à la réputation de l’entreprise et des fuites de données sensibles.

C’est pourquoi il est si important de comprendre comment ces attaques fonctionnent et comment se protéger contre elles.

Différenciation entre compte piraté et usurpé

Il est important de comprendre la différence entre un compte piraté et un compte usurpé. Un compte de messagerie piraté signifie que quelqu’un a obtenu un accès complet à votre compte. Cela peut se produire si vous cliquez sur un lien dans un email de phishing et que vous saisissez vos informations de connexion sur une page de connexion frauduleuse.

L’usurpation d’un compte de messagerie, en revanche, consiste à faire croire aux destinataires qu’un email provient de vous, alors qu’il a été envoyé depuis un autre compte. Cela peut se produire si un attaquant a réussi à falsifier l’en-tête de l’email pour faire croire qu’il provient de votre adresse. Si un compte a été compromis précédemment, les pirates peuvent utiliser les contacts pour envoyer des emails usurpés qui paraissent provenir du propriétaire légitime du compte.

En résumé

L’usurpation d’email est une menace cybernétique sérieuse qui peut avoir des conséquences dévastatrices. Cependant, en comprenant comment ces attaques fonctionnent et en mettant en place des mesures de sécurité appropriées, vous pouvez vous protéger contre l’usurpation d’email. N’oubliez pas que la première ligne de défense contre l’usurpation d’email est la sensibilisation.

En restant vigilant et en apprenant à reconnaître les signes d’un email usurpé, vous pouvez éviter de devenir une victime. Souvenez-vous que si un email semble suspect, il vaut mieux être prudent et ne pas cliquer sur les liens ou ouvrir les pièces jointes. En fin de compte, votre sécurité en ligne dépend en grande partie de vous.

FAQ

Quelle est la différence entre le phishing et l’usurpation d’adresse email (email spoofing) ?

La principale différence entre le hameçonnage et le détournement d’adresse e-mail réside dans leurs objectifs. Le détournement vise à se faire passer pour l’identité de quelqu’un d’autre, tandis que le hameçonnage vise à voler des informations personnelles. En bref, le détournement d’adresse e-mail est une imitation, tandis que le hameçonnage est une tentative de vol d’informations sensibles.

Que se passe-t-il si vous ouvrez un email usurpé ?

Si vous ouvrez un e-mail frauduleux, le fraudeur pourra collecter des données pour des attaques cybernétiques ciblées, comme votre adresse IP, votre système d’exploitation et votre emplacement. Il est donc crucial de ne pas ouvrir de telles emails.

Peut-on vérifier si un email est usurpé ?

Oui, vous pouvez vérifier si un e-mail est falsifié en comparant l’adresse de l’expéditeur à l’adresse de réponse et en vérifiant si les informations du champ “Received” correspondent à l’adresse de l’expéditeur. Assurez-vous de vérifier si les informations de ce champ correspondent bien à l’adresse e-mail de l’expéditeur pour repérer les e-mails falsifiés.

Pour aller plus loin
Protégez votre votre entreprise

Sécurisez maintenant votre entreprise des intrusions informatiques et travaillez l’esprit tranquille.

Définition-SASE-Secure-Access-Service-Edge
Cybersecurité
Qu’est-ce que SASE (Secure Access Service Edge) ?

SASE, ou Secure Access Service Edge, est un modèle d’architecture de réseau innovant conçu pour répondre aux exigences de connectivité et de sécurité des entreprises

En savoir plus »
Définition-attaque-XSS
Cybersecurité
Qu’est-ce qu’une attaque XSS ?

Une attaque XSS, abréviation de Cross-Site Scripting, est un vecteur d’attaque courant dans lequel des acteurs malveillants injectent du code malicieux, généralement sous la forme

En savoir plus »
Attaques-par-drive-by-download
Cybersecurité
Qu’est-ce qu’une attaque par drive-by download ?

Les attaques par “drive-by download” représentent une menace significative pour la sécurité des utilisateurs sur internet. Elles se déroulent lorsqu’un utilisateur visite un site web

En savoir plus »
définition-une-attaque-de-whaling
Cybersecurité
Qu’est-ce qu’une attaque par whaling ?

Les attaques de whaling sont une forme de cybersécurité menaçante et ciblée qui vise les hauts dirigeants d’entreprise. Ce type d’attaque est réalisé en usurpant

En savoir plus »
Nous protégeons leurs infrastructures
5/5
Un besoin en cybersécurité ?

N’hésitez pas à nous contacter. Nos équipes vous répondront dans les meilleurs délais.​