Usurpation d'adresse e-mail :
fonctionnement et identification

juillet 5, 2022

Qu’est-ce que l’usurpation d’adresse e-mail ?

L’usurpation d’adresse e-mail est une cyberattaque qui cible des entreprises en envoyant des e-mails dont l’adresse de l’expéditeur est fausse. Comme le destinataire fait confiance à l’expéditeur présumé, il risque d’ouvrir l’e-mail et d’interagir avec son contenu, notamment une pièce jointe ou un lien malveillant.

Une attaque par usurpation d’identité est utilisée pour mener différentes attaques : spam, fraude, logiciel malveillant, vol d’identité et phishing. De faux messages peuvent également être utilisés dans le cadre d’attaques par usurpation d’adresse IP, de piratage de la messagerie en entreprise (BEC) et de type man-in-the-middle conçues pour voler des données ou de l’argent.

Une campagne d’usurpation d’adresses e-mail utilisée à des fins de fraude électronique de seconde phase était tellement courante qu’elle a fait l’objet d’un bulletin de l’IRS. Dans ce type d’attaque, de faux e-mails semblant émaner de cadres des entreprises ciblées ont été envoyés à des collaborateurs du service de paie ou des RH. Ces e-mails frauduleux réclamaient de toute urgence une liste de tous les collaborateurs, ainsi que leurs relevés de salaire. À ce stade, il ne s’agissait encore que d’une usurpation d’adresse e-mail classique. Mais il y a un hic : l’e-mail de phishing était suivi d’un deuxième e-mail demandant au collaborateur d’effectuer un virement bancaire. Il s’agissait dans ce cas d’un piratage de la messagerie en entreprise (BEC). Ce type d’attaque en deux phases reste fréquemment utilisé de nos jours.

See Crowdstrike Falcon In Action

Téléchargez le Global Threat Report 2023 pour découvrir les tendances observées par nos équipes chez les cyberpirates en matière de techniques, tactiques et procédures.

Télécharger

Comment fonctionne une usurpation d’adresse e-mail ?

Dans ce type d’attaque, le compte de l’expéditeur n’est pas piraté. L’e-mail envoyé semble juste provenir de l’expéditeur légitime. Si le compte de l’expéditeur était effectivement piraté, l’usurpateur pourrait accéder aux contacts ou utiliser le compte pour envoyer des spams, portant ainsi atteinte à la réputation de la messagerie, une mesure qui a un impact sur la délivrabilité.

Les attaques par usurpation d’adresse e-mail utilisent un serveur SMTP (Simple Mail Transfer Protocol) et une plateforme de messagerie, comme Outlook, Gmail, etc. L’escroc modifie des champs de l’en-tête du message, notamment les champs FROM, REPLY-TO et RETURN-PATH.

De telles opérations sont possibles en raison de l’évolution des applications de messagerie. Les en-têtes de message, qui incluent les champs TO, FROM et BCC, sont séparés du corps du message. Comme la sécurité n’était pas intégrée au moment où le protocole SMTP a été créé, ce dernier n’est pas en mesure d’authentifier les adresses.

Comment identifier un faux e-mail ?

  • Le nom de l’expéditeur affiché ne correspond pas à l’adresse e-mail.
  • Les informations dans la signature de l’e-mail, comme le numéro de téléphone, ne concordent pas avec le profil de l’expéditeur (par ex., l’expéditeur se trouve en Californie, mais l’indicatif du numéro de téléphone dans le fichier .sig correspond au Massachusetts).
  • Vérifiez la ligne RECEIVED dans l’en-tête de l’e-mail. Elle doit correspondre à l’adresse e-mail affichée dans le message.
  • Vérifiez la ligne RECEIVED-SPF dans l’en-tête de l’e-mail. Elle doit indiquer « Pass ». Si l’indication est « Fail » ou « Softfail », il s’agit sans doute d’un faux e-mail.
  • Si l’entreprise utilise les protocoles DKIM et DMARC, le champ AUTHENTICATION-RESULTS indique si l’e-mail remplit les exigences de ces protocoles.

Comment se protéger contre l’usurpation d’adresse e-mail ?

Utiliser des protocoles de sécurité de la messagerie

Les protocoles de sécurité de la messagerie utilisent l’authentification de domaine pour réduire les menaces et le spam. Les protocoles de sécurité de la messagerie actuellement utilisés sont les suivants : Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) et Domain-based Message Authentication, Reporting, and Conformance (DMARC).

Le protocole SPF détecte les fausses adresses d’expéditeur pendant la phase de distribution, mais uniquement dans l’enveloppe de l’e-mail, qui est utilisée lorsqu’un e-mail est renvoyé. En revanche, s’il est utilisé conjointement avec le protocole d’authentification DMARC, le protocole SPF peut détecter un faux « expéditeur visible », une technique couramment utilisée dans les attaques de phishing et le spam.

Chiffrer les e-mails

Le protocole DKIM utilise des clés publiques et privées pour prouver que l’expéditeur est bien celui qu’il prétend être. Chaque message envoyé via le protocole SMTP a besoin d’une paire de clés qui correspond à un enregistrement DNS public, qui est vérifié par le serveur de messagerie destinataire.

Déployer une passerelle de sécurité de la messagerie

Les passerelles de sécurité de la messagerie consistent en un ensemble de technologies conçues pour bloquer au niveau du réseau les e-mails qui ne répondent pas aux exigences de sécurité établies. Elles analysent tous les e-mails entrants et sortants et peuvent également inclure des fonctionnalités telles que le blocage des logiciels malveillants, le filtrage des spams et des contenus et l’archivage des e-mails. Ces mesures de protection étant appliquées au niveau du réseau, elles n’ont aucun impact sur les utilisateurs.

Utiliser une solution antimalware

Une solution antimalware permet de détecter et de bloquer les faux e-mails avant qu’ils ne soient remis dans la boîte de réception des cibles. Les logiciels antimalware doivent être régulièrement mis à jour, car les cyberattaquants font en sorte d’être informés de toute nouvelle vulnérabilité identifiée afin de l’exploiter rapidement.

EN SAVOIR PLUS

Il existe de nombreux autres types d’usurpation d’identité qui peuvent attaquer vos autres appareils.Cliquez ici pour continuer à lire