L'usurpation d'e-mail consiste, pour les acteurs malveillants, à manipuler les adresses e-mail afin de se faire passer pour des expéditeurs légitimes. Cette technique se révèle courante dans les attaques par phishing.
Cet article s'articule autour des points suivants :
Contenu associé
Qu'est-ce que le SMTP ?
Prévenir le phishing
Comment bloquer le courrier indésirable ?
Qu'est-ce qu'un e-mail ?
Qu'est-ce que la sécurité des e-mails ?
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Lors d'une attaque par usurpation d'e-mail, un pirate utilise l'en-tête d'un e-mail pour dissimuler sa propre identité et se faire passer pour un expéditeur légitime. (L'en-tête d'un e-mail se compose d'un fragment de code contenant des détails importants sur le message, comme l'expéditeur, le destinataire et les données de suivi.)
Si l'usurpation d'adresse électronique est une tactique spécifique consistant à falsifier les informations de l'en-tête du courrier électronique, les attaquants peuvent utiliser d'autres tactiques pour obtenir des résultats similaires. Par exemple, les attaquants peuvent créer un domaine de messagerie qui ressemble beaucoup à celui de l'expéditeur légitime, dans l'espoir que les destinataires ne remarquent pas l'erreur. Par exemple, on peut utiliser le domaine "@1egitimatecompany.com" au lieu de "@legitimatecompany.com". Les attaquants peuvent également modifier le nom d'affichage pour se faire passer pour un expéditeur : par exemple, envoyer des courriers électroniques malveillants depuis "LegitimateCEOName@gmail.com" au lieu de "LegitimateCEOName@legitimatecompany.com".
La différence essentielle entre ces techniques repose sur le fait que les tentatives d'usurpation d'e-mail qui réussissent se présentent comme des domaines légitimes (par exemple, cloudflare. com) contrairement à celles qui s'appuient sur un domaine à l'orthographe modifiée (janeexecutive@jan3scompany.com) ou dont l'adresse ne correspond pas du tout au domaine (janetherealceo@gmail.com). Cet article se concentrera spécifiquement sur les e-mails aux en-têtes falsifiés.
L'usurpation d'e-mail s'inscrit dans la catégorie plus large de l'usurpation de domaine. Lors d'une usurpation de domaine, les pirates tentent de falsifier le nom d'un site web (ou une adresse e-mail), généralement dans le cadre d'attaques par phishing. La catégorie de l'usurpation de domaine s'étend au-delà du seul courrier électronique et peut inclure la création de faux sites web ou d'annonces publicitaires frauduleuses.
Les acteurs malveillants s'appuient sur des scripts pour falsifier les champs visibles par le destinataire d'un e-mail. Situés dans l'en-tête de l'e-mail, ces champs comprennent, entre autres, les adresses « De » (From) et « Répondre à » (Reply-to). Vous trouverez ci-dessous un exemple de ce à quoi les champs pourraient ressembler au sein d'un e-mail usurpé :
La falsification de ces champs est possible, car le protocole de transmission d'e-mail Simple Mail Transfer Protocol (SMTP) ne dispose pas d'une méthode intégrée d'authentification des adresses e-mail. Au final, les adresses e-mail de l'expéditeur et du destinataire se situent à deux endroits au sein d'un e-mail : dans l'en-tête et dans l'enveloppe SMTP. L'en-tête d'un e-mail inclut des champs visibles par le destinataire. L'enveloppe SMTP, en revanche, contient les informations utilisées par les serveurs pour acheminer un e-mail à l'adresse appropriée. Or, ces champs n'ont pas besoin de correspondre entre eux pour qu'un e-mail puisse être envoyé avec succès. Comme l'enveloppe SMTP ne vérifie jamais l'en-tête et que le destinataire ne peut pas voir les informations contenues dans l'enveloppe, le processus d'usurpation d'un e-mail s'avère relativement simple.
Un e-mail usurpé semble provenir d'un expéditeur légitime. Les destinataires peuvent donc se faire prendre au piège et être conduits à divulguer des informations sensibles, à cliquer sur des liens malveillants ou à effectuer toute autre action qu'ils n'entreprendraient pas en temps normal. Voilà pourquoi l'usurpation d'e-mail intervient fréquemment dans les attaques par phishing.
Dans certains cas, les acteurs malveillants auront recours à d'autres techniques pour renforcer la crédibilité d'un domaine d'e-mail usurpé. Ils pourraient par exemple, copier le logo et/ou les éléments graphiques et de design d'une marque ou d'une entreprise, voire employer un message et un niveau de langue paraissant appropriés pour l'entreprise imitée.
Les destinataires d'e-mail peuvent suivre les étapes ci-dessous pour veiller à ne pas se laisser duper par un e-mail usurpé :
Les propriétaires de domaines peuvent également prendre des mesures pour empêcher l'envoi de message depuis leur domaine par des acteurs malveillants. Pour ce faire, les organisations peuvent créer des enregistrements DNS (Domain Name System) spécifiquement dédiés à l'authentification. Ces enregistrements comprennent les suivants :
Au niveau organisationnel, les responsables de la sécurité peuvent également prendre des mesures pour défendre leurs collaborateurs contre cette menace en mettant en place une protection contre le phishing et les logiciels malveillants.
Si les méthodes d'authentification du courrier électronique peuvent contribuer à vous protéger contre l'usurpation d'e-mail, il ne s'agit pas pour autant d'une solution de sécurité complète des e-mails. Ainsi, l'authentification des e-mails ne prend pas en compte d'autres techniques courantes de phishing, comme les usurpations de domaines par voie de similarité ou les e-mails envoyés depuis des domaines légitimes, mais compromis.
La solution de sécurité des e-mails Cloudflare Area 1 propose une approche plus globale. Elle sonde Internet de manière préventive afin d'identifier l'infrastructure des acteurs malveillants. Cette opération permet ainsi de bloquer les attaques par phishing et de sécuriser les boîtes de réception.