Qu'est-ce que la sécurité des e-mails ?

La sécurité des e-mails consiste à prévenir les cyberattaques lancées par e-mail, à protéger les comptes de messagerie contre les prises de contrôle et à sécuriser le contenu des e-mails. La sécurité des e-mails est un concept multi-facettes et peut nécessiter plusieurs couches de protection différentes.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir la sécurité des e-mails
  • Décrire certaines attaques par e-mail répandues

Copier le lien de l'article

Qu'est-ce que la sécurité des e-mails ?

La sécurité des e-mails consiste à prévenir les cyberattaques lancées par e-mail et les communications indésirables. Elle couvre à la fois la protection contre les prises de contrôle des comptes de messagerie, la protection des domaines contre l'usurpation d'identité, l'arrêt des attaques par hameçonnage (phishing), la prévention de la fraude, la prévention de la propagation de logiciels malveillants, le filtrage des courriers indésirables et l'utilisation du chiffrement pour protéger le contenu des e-mails contre la consultation par les personnes non autorisées.

La sécurité et la confidentialité n'ont pas été intégrées dans les e-mails lors de leur invention, et malgré l'importance des e-mails en tant que méthode de communication, elles ne le sont toujours pas, par défaut. Par conséquent, les e-mails sont un vecteur d'attaque important pour les organisations, grandes et petites, ainsi que pour les particuliers.

Quels types d'attaques sont lancées par e-mail ?

Les types d'attaques par e-mail les plus courants sont les suivants :

  • Fraude : les fraudes par e-mail peuvent revêtir différentes formes, des classiques arnaques à l'avance de frais visant le public général jusqu'aux messages de type BEC (Business email compromise) plus ciblés visant à tromper les services comptables des grandes entreprises pour qu'ils transfèrent des fonds sur des comptes illégitimes. Souvent, l'auteur d'une attaque utilise l'usurpation de domaine pour faire croire que la demande de fonds provient d'une source légitime.
  • Hameçonnage : une attaque par hameçonnage tente d'inciter la victime à transmettre des informations sensibles à l'auteur d'une attaque. Les attaques par hameçonnage par e-mail peuvent diriger les utilisateurs vers une fausse page web qui collecte des informations d'identification, ou simplement inciter l'utilisateur à transmettre des informations à une adresse e-mail secrètement contrôlée par l'attaquant. L'usurpation de domaine est également courante dans ce type d'attaques.
  • Logiciels malveillants : parmi les types de logiciels malveillants diffusés par e-mail figurent, entre autres, les logiciels espions, les scarewares, les logiciels publicitaires et les rançongiciels. Les auteurs d'attaques peuvent diffuser des logiciels malveillants par e-mail de différentes manières. L'une des plus courantes consiste à inclure, dans un e-mail, une pièce jointe contenant du code malveillant.
  • Prise de contrôle de comptes : les auteurs d'attaques s'emparent des comptes de messagerie d'utilisateurs légitimes à différentes fins, telles que la consultation des messages, le vol d'informations ou l'utilisation d'adresses e-mail légitimes pour lancer des attaques par logiciels malveillants ou transmettre du courrier indésirable à leurs contacts.
  • Interception d'e-mails : les auteurs d'attaques peuvent intercepter des e-mails afin de dérober les informations qu'ils contiennent ou de lancer des attaques de l'homme du milieu (on-path) dans lesquelles ils se font passer pour les deux protagonistes d'une conversation. À cette fin, la méthode la plus courante consiste à surveiller les paquets de données sur les réseaux locaux (LAN) sans fil, car il est extrêmement difficile d'intercepter un e-mail lorsqu'il transite par Internet.

Usurpation de domaine de messagerie

L'usurpation de domaine de messagerie est importante dans plusieurs types d'attaques par e-mail, car elle permet aux auteurs d'attaques d'envoyer des messages depuis des adresses e-mail qui paraissent légitimes. Cette technique permet aux attaquants d'envoyer un e-mail depuis une adresse d'expéditeur factice. Supposons par exemple que Chuck souhaite tromper Bob avec un e-mail ; il pourrait lui envoyer un e-mail depuis le domaine « @banque-fiable.com », même si Chuck ne possède pas réellement le domaine « banque-fiable.com » ou ne représente pas cette organisation.

Qu'est-ce qu'une attaque par phishing ?

Le hameçonnage est une tentative de vol de données sensibles, généralement sous la forme de noms d'utilisateur, de mots de passe ou d'autres informations de compte importantes. L'hameçonneur utilise lui-même les informations volées (par exemple, pour prendre le contrôle des comptes de l'utilisateur avec son mot de passe) ou revend les informations volées.

Les auteurs d'attaques par hameçonnage se font passer pour une source fiable. Avec une demande séduisante ou apparemment urgente, l'auteur de l'attaque incite la victime à fournir des informations, tout comme une personne utilise un appât pour pêcher.

Les attaques par hameçonnage se déroulent souvent par e-mail. Les hameçonneurs peuvent essayer, par la ruse, d'inciter les personnes à leur envoyer directement des informations par e-mail ou fournir un lien vers une page web qu'ils contrôlent et qui est conçue pour paraître légitime (par exemple, une fausse page de connexion, sur laquelle l'utilisateur saisit son mot de passe).

Il existe plusieurs types d'attaques par hameçonnage :

  • Le spear phishing est très ciblé, et souvent personnalisé pour être plus convaincant.
  • Le whaling cible les personnes importantes ou influentes au sein d'une organisation, comme les cadres. Il constitue un vecteur de menace majeur pour la sécurité des e-mails au sein des entreprises.
  • Les attaques par hameçonnage sans e-mail incluent le vishing (hameçonnage par appel téléphonique), le smishing (hameçonnage par SMS) et le hameçonnage sur les réseaux sociaux.

Une stratégie de sécurité des e-mails peut inclure plusieurs approches pour bloquer les attaques par hameçonnage. Les solutions de sécurité des e-mails peuvent filtrer les e-mails provenant d'adresses IP malveillantes connues. Elles peuvent bloquer ou supprimer les liens intégrés dans les e-mails afin d'empêcher les utilisateurs d'accéder à des pages web d'hameçonnage. Elles peuvent également utiliser le filtrage DNS pour bloquer ces pages web. Les solutions de prévention des pertes de données (DLP) peuvent également bloquer ou expurger les messages sortants contenant des informations sensibles.

Enfin, les employés d'une organisation devraient recevoir une formation pour apprendre à reconnaître un e-mail d'hameçonnage.

Comment sont utilisées les pièces jointes aux e-mails dans les attaques ?

Les pièces jointes aux e-mails sont une fonctionnalité extrêmement utile, mais les auteurs d'attaques utilisent cette fonctionnalité des e-mails pour envoyer à leurs cibles des contenus malveillants, notamment des logiciels malveillants.

Un moyen d'y parvenir consiste simplement à joindre le logiciel malveillant sous forme de fichier .exe, puis, par la ruse, d'inciter le destinataire à ouvrir la pièce jointe. Une approche beaucoup plus courante consiste à dissimuler le code malveillant dans un document d'apparence anodine, comme un fichier PDF ou Word. Ces deux types de fichiers permettent d'inclure du code (comme des macros), que les auteurs d'attaques peuvent utiliser pour effectuer une action malveillante sur l'ordinateur du destinataire, par exemple, le téléchargement et l'ouverture d'un logiciel malveillant.

Ces dernières années, de nombreuses infections par rançongiciel ont commencé par une pièce jointe à un e-mail. Par exemple :

  • Le rançongiciel Ryuk pénètre souvent dans un réseau par le biais d'une infection TrickBot ou Emotet, toutes deux propagées par le biais de pièces jointes à des e-mails
  • Le rançongiciel Maze utilise les pièces jointes des e-mails pour s'introduire sur le réseau de la victime
  • Les attaques par le rançongiciel Petya commençaient habituellement par une pièce jointe à un e-mail.

Une approche de la sécurité des e-mails consiste à bloquer ou neutraliser ces pièces jointes malveillantes ; cela peut impliquer l'analyse de tous les e-mails avec une solution anti-logiciels malveillants, afin d'identifier le code malveillant. En outre, les utilisateurs doivent être formés à ignorer les pièces jointes inattendues ou inexpliquées des e-mails. Pour les clients de messagerie web, l'isolation de navigateur peut également contribuer à désarmer ces attaques, car la pièce jointe malveillante est téléchargée dans un bac à sable à l'écart de l'appareil de l'utilisateur.

Qu'est-ce que le courrier indésirable ?

Le courrier indésirable (« spam ») est un terme désignant les e-mails indésirables ou inappropriés, envoyés sans l'autorisation du destinataire. Pratiquement tous les fournisseurs de messagerie offrent un certain degré de filtrage du courrier indésirable. Mais inévitablement, certains messages indésirables arrivent encore dans les boîtes de réception des utilisateurs.

Au fil du temps, les expéditeurs de courrier indésirable acquièrent une « réputation d'expéditeur » négative, et un nombre croissant de leurs messages sont identifiés comme indésirables. C'est pourquoi ils aspirent souvent à prendre le contrôle des boîtes de réception d'utilisateurs, à voler l'espace d'adressage IP ou à usurper des domaines, afin d'envoyer des courriers indésirables qui ne sont pas détectés comme tels.

Les particuliers et les organisations peuvent adopter plusieurs approches pour réduire le nombre de courriers indésirables qu'ils reçoivent. Ils peuvent réduire ou éliminer les listes publiques contenant leurs adresses e-mail. Ils peuvent déployer un filtre anti-courrier indésirable tiers, en plus du filtrage fourni par leur service de messagerie. Et ils peuvent identifier de manière cohérente les e-mails indésirables comme tels, afin de mieux former la solution de filtrage dont ils disposent.

*Si un pourcentage élevé d'e-mails d'un expéditeur n'est pas ouvert ou est identifié comme indésirable par les destinataires, ou si les messages d'un expéditeur sont trop souvent renvoyés à l'expéditeur, les FAI et les services de messagerie dégradent la réputation de l'expéditeur de ces e-mails.

Comment les attaquants prennent-ils le contrôle de comptes de messagerie ?

Les auteurs d'attaques peuvent utiliser une boîte de réception volée à des fins très diverses, notamment pour envoyer du courrier indésirable, lancer des attaques par hameçonnage, propager des logiciels malveillants, obtenir des listes de contacts ou utiliser l'adresse e-mail pour dérober d'autres comptes de l'utilisateur.

Ils peuvent utiliser un certain nombre de méthodes pour s'introduire dans un compte de messagerie :

  • Achat de listes d'identifiants précédemment volés : de nombreuses violations de données personnelles ont eu lieu au fil des ans, et des listes d'identifiants et de mots de passe volés circulent largement sur le dark web. L'auteur d'une attaque peut acheter une de ces listes et utiliser les identifiants pour s'introduire dans des comptes d'utilisateurs, souvent par le biais d'une infiltration de comptes.
  • Attaques par force brute : lors d'une attaque par force brute, l'auteur charge une page de connexion et utilise un bot pour tenter de deviner rapidement les identifiants d'un utilisateur. La limitation du taux et la limitation du nombre de tentatives de saisie d'un mot de passe arrêtent efficacement cette méthode.
  • Attaques par hameçonnage : l'auteur de l'attaque peut avoir précédemment lancé une attaque par hameçonnage pour obtenir les identifiants de connexion du compte de messagerie de l'utilisateur.
  • Infections du navigateur web : de manière semblable à une attaque de l'homme du milieu, une partie malveillante peut infecter le navigateur web d'un utilisateur afin d'accéder à toutes les informations qu'il saisit sur les pages web, notamment son nom d'utilisateur et son mot de passe.
  • Logiciels espions : l'auteur de l'attaque peut avoir préalablement infecté l'appareil de l'utilisateur et installé un logiciel espion afin de surveiller toutes les informations qu'il saisit, notamment son nom d'utilisateur et son mot de passe de messagerie.

L'utilisation de l'authentification multifactorielle (AMF) au lieu de l'authentification par mot de passe à facteur unique est un moyen de protéger les boîtes de réception contre la compromission. Les entreprises peuvent également demander à leurs utilisateurs d'utiliser un service d'authentification unique (SSO) au lieu de se connecter directement à la messagerie.

Comment le chiffrement protège-t-il les e-mails ?

Le chiffrement est une méthode consistant à brouiller les données, afin que seules les parties autorisées puissent les déchiffrer et les lire. Le chiffrement revient à glisser une enveloppe scellée autour d'une lettre, afin que seul le destinataire puisse en lire le contenu, même si un certain nombre de parties vont manipuler la lettre lors de son transfert de l'expéditeur au destinataire.

Le chiffrement n'est pas automatiquement intégré dans l'e-mail ; cela signifie qu'envoyer un e-mail revient à envoyer une lettre sans enveloppe pour en protéger le contenu. Dans la mesure où les e-mails contiennent souvent des données personnelles et confidentielles, cela peut constituer un gros problème.

Tout comme une lettre n'est pas instantanément remise par une personne à une autre, les e-mails ne sont pas directement remis par l'expéditeur au destinataire. Au lieu de cela, ils traversent plusieurs réseaux connectés et sont acheminés d'un serveur de messagerie à un autre, jusqu'à ce qu'ils atteignent finalement le destinataire. Toute personne présente au milieu de ce processus pourrait intercepter et lire l'e-mail s'il n'est pas chiffré, notamment le fournisseur de service de messagerie. Toutefois, l'endroit où un e-mail a le plus de chances d'être intercepté est à proximité de son origine, via une technique appelée « reniflage de paquets » (c'est-à-dire la surveillance des paquets de données sur un réseau).

Le chiffrement revient à mettre une enveloppe scellée autour d'un e-mail. La plupart des méthodes de chiffrement d'e-mails recourent à la cryptographie à clé publique (en savoir plus). Certains e-mails sont chiffrés de bout en bout ; leur contenu est ainsi protégé contre la consultation par le fournisseur de service de messagerie, ainsi que par toute autre partie externe.

Comment les enregistrements DNS aident-ils à prévenir les attaques par e-mail ?

Le DNS (Domain Name System) stocke les enregistrements publics relatifs à un domaine, y compris l'adresse IP de ce domaine. Le DNS est essentiel pour permettre aux utilisateurs de se connecter à des sites web et d'envoyer des e-mails sans devoir à mémoriser de longues adresses IP alphanumériques.

Il existe des types spécialisés d'enregistrements DNS qui permettent d'assurer que les e-mails proviennent d'une source légitime, et non d'un usurpateur : les enregistrements SPF, les enregistrements DKIM et les enregistrements DMARC. Les fournisseurs de services de messagerie vérifient les e-mails par rapport à ces trois registres, afin de s'assurer qu'ils proviennent bien de l'emplacement prétendu et qu'ils n'ont pas été modifiés pendant leur acheminement.

L'assistant Cloudflare Email DNS Security aide les propriétaires de domaines à configurer rapidement et correctement ces enregistrements DNS cruciaux. Pour en savoir plus, consultez notre article de blog.

Comment arrêter les attaques par hameçonnage ?

De nombreux fournisseurs de messagerie disposent d'une protection intégrée contre le hameçonnage (et les enregistrements DNS cités ci-dessus sont généralement l'un des signaux qu'ils examinent pour bloquer les tentatives d'hameçonnage). Cependant, les e-mails d'hameçonnage atteignent encore régulièrement les boîtes de réception des utilisateurs. De nombreuses organisations déploient une protection supplémentaire contre le hameçonnage pour mieux défendre leurs utilisateurs et leurs réseaux.

Cloudflare Area 1 Email Security offre une protection dans le Cloud contre le hameçonnage. Cloudflare Area 1 découvre à l'avance les infrastructures d'hameçonnage et analyse les modèles de trafic afin de corréler les attaques et d'identifier les campagnes d'hameçonnage. Découvrez dans le détail le fonctionnement de ce service anti-hameçonnage.