Qu'est-ce que l'usurpation d'e-mail ?

L'usurpation d'e-mail consiste, pour les acteurs malveillants, à manipuler les adresses e-mail afin de se faire passer pour des expéditeurs légitimes. Cette technique se révèle courante dans les attaques par phishing.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Comprendre ce qu'est l'usurpation d'e-mail.
  • Découvrir comment l'usurpation d'e-mail fonctionne.
  • Profiter de conseils en matière de protection contre l'usurpation d'e-mail.

Copier le lien de l'article

Qu'est-ce que l'usurpation d'e-mail ?

Lors d'une attaque par usurpation d'e-mail, un pirate utilise l'en-tête d'un e-mail pour dissimuler sa propre identité et se faire passer pour un expéditeur légitime. (L'en-tête d'un e-mail se compose d'un fragment de code contenant des détails importants sur le message, comme l'expéditeur, le destinataire et les données de suivi.)

Si, en tant que tactique spécifique, l'usurpation d'e-mail implique la falsification des informations contenues dans l'en-tête d'un e-mail, les acteurs malveillants peuvent passer par d'autres moyens pour atteindre des résultats similaires. Ils peuvent ainsi légèrement altérer l'orthographe du domaine, comme « Jane Executive » janeexecutive@jan3scompany.com pour « Jane Executive » janeexecutive@janescompany.com, par exemple. Les pirates peuvent également modifier le nom d'affichage ou la partie locale afin de se faire passer pour un expéditeur légitime, mais sans toucher à la partie domaine de l'adresse e-mail. Dans le cas présent, le nom d'affichage et l'adresse e-mail pourraient prendre la forme suivante : « Jane Executive » janetherealceo@gmail.com.

La différence essentielle entre ces techniques repose sur le fait que les tentatives d'usurpation d'e-mail qui réussissent se présentent comme des domaines légitimes (par exemple, cloudflare. com) contrairement à celles qui s'appuient sur un domaine à l'orthographe modifiée (janeexecutive@jan3scompany.com) ou dont l'adresse ne correspond pas du tout au domaine (janetherealceo@gmail.com). Cet article se concentrera spécifiquement sur les e-mails aux en-têtes falsifiés.

L'usurpation d'e-mail s'inscrit dans la catégorie plus large de l'usurpation de domaine. Lors d'une usurpation de domaine, les pirates tentent de falsifier le nom d'un site web (ou une adresse e-mail), généralement dans le cadre d'attaques par phishing. La catégorie de l'usurpation de domaine s'étend au-delà du seul courrier électronique et peut inclure la création de faux sites web ou d'annonces publicitaires frauduleuses.

Comment l'usurpation d'e-mail fonctionne-t-elle ?

Les acteurs malveillants s'appuient sur des scripts pour falsifier les champs visibles par le destinataire d'un e-mail. Situés dans l'en-tête de l'e-mail, ces champs comprennent, entre autres, les adresses « De » (From) et « Répondre à » (Reply-to). Vous trouverez ci-dessous un exemple de ce à quoi les champs pourraient ressembler au sein d'un e-mail usurpé :

  • De : « Expéditeur légitime » email@entrepriselegitime.com
  • Répondre à : email@entrepriselegitime.com

La falsification de ces champs est possible, car le protocole de transmission d'e-mail Simple Mail Transfer Protocol (SMTP) ne dispose pas d'une méthode intégrée d'authentification des adresses e-mail. Au final, les adresses e-mail de l'expéditeur et du destinataire se situent à deux endroits au sein d'un e-mail : dans l'en-tête et dans l'enveloppe SMTP. L'en-tête d'un e-mail inclut des champs visibles par le destinataire. L'enveloppe SMTP, en revanche, contient les informations utilisées par les serveurs pour acheminer un e-mail à l'adresse appropriée. Or, ces champs n'ont pas besoin de correspondre entre eux pour qu'un e-mail puisse être envoyé avec succès. Comme l'enveloppe SMTP ne vérifie jamais l'en-tête et que le destinataire ne peut pas voir les informations contenues dans l'enveloppe, le processus d'usurpation d'un e-mail s'avère relativement simple.

Un e-mail usurpé semble provenir d'un expéditeur légitime. Les destinataires peuvent donc se faire prendre au piège et être conduits à divulguer des informations sensibles, à cliquer sur des liens malveillants ou à effectuer toute autre action qu'ils n'entreprendraient pas en temps normal. Voilà pourquoi l'usurpation d'e-mail intervient fréquemment dans les attaques par phishing.

Dans certains cas, les acteurs malveillants auront recours à d'autres techniques pour renforcer la crédibilité d'un domaine d'e-mail usurpé. Ils pourraient par exemple, copier le logo et/ou les éléments graphiques et de design d'une marque ou d'une entreprise, voire employer un message et un niveau de langue paraissant appropriés pour l'entreprise imitée.

Se protéger contre l'usurpation d'e-mail

Les destinataires d'e-mail peuvent suivre les étapes ci-dessous pour veiller à ne pas se laisser duper par un e-mail usurpé :

  • Méfiez-vous des messages vous incitant à agir rapidement ou avec précipitation : les destinataires doivent appréhender avec prudence les e-mails inattendus ou non sollicités qui leur demandent de révéler des informations personnelles, d'effectuer un versement ou de procéder immédiatement à toute autre action. Un e-mail impromptu vous invitant à modifier vos identifiants de connexion à une application, par exemple, doit être considéré comme suspect.
  • Inspectez les en-têtes d'e-mail : de nombreux clients de courrier électronique proposent un moyen d'afficher l'en-tête d'un e-mail. Pour <a href='https://it.umn.edu/services-technologies/how-tos/gmail-view-email-headers' 'target=_blank'>Gmail, par exemple, il suffit de cliquer sur « Afficher l'original » pour révéler l'en-tête de l'e-mail. Une fois l'en-tête affiché, recherchez la section « Received » (Reçu). Si le domaine indiqué se montre différent de celui qui figure dans l'adresse « De » (From), l'e-mail est probablement falsifié.
  • Utilisez des logiciels permettant de filtrer les messages usurpés : en sollicitant une authentication auprès des e-mails entrants, un logiciel antispam peut ainsi bloquer les tentatives d'usurpation.

Les propriétaires de domaines peuvent également prendre des mesures pour empêcher l'envoi de message depuis leur domaine par des acteurs malveillants. Pour ce faire, les organisations peuvent créer des enregistrements DNS (Domain Name System) spécifiquement dédiés à l'authentification. Ces enregistrements comprennent les suivants :

  • Enregistrements SPF : un enregistrement Sender Policy Framework (SPF, cadre de politiques relatives à l'expéditeur) dresse la liste des serveurs autorisés à envoyer des e-mails depuis un domaine particulier. Ainsi, une adresse e-mail associée à un domaine, mais créée de toutes pièces par un utilisateur, ne figurerait pas dans l'enregistrement SPF et ne passerait donc pas le test d'authentification.
  • Enregistrements DKIM : les enregistrements Domain Keys Identified Mail (DKIM, courrier identifié par clés de domaine) s'appuient sur une paire de clés de chiffrement pour l'authentification : l'une publique et l'autre, privée. La clé publique est conservée dans l'enregistrement DKIM et la clé privée signe numériquement l'en-tête DKIM. Les e-mails usurpés provenant d'un domaine doté d'un enregistrement DKIM ne seront pas signés à l'aide des clés de chiffrement appropriées et ne passeront donc pas l'étape d'authentification.
  • Enregistrements DMARC : les enregistrements Domain-based Message Authentication Reporting and Conformance (DMARC, rapports et conformité relative à l'authentification des messages en fonction du domaine) contiennent des politiques DMARC, qui indiquent aux serveurs de messagerie les étapes à suivre après la vérification des enregistrements SPF et DKIM. Les propriétaires de domaine peuvent définir des règles régissant la nécessité de bloquer, d'autoriser ou de transmettre (ou non) les messages en fonction de ces tests de vérification. Comme les politiques DMARC sont examinées en même temps que d'autres politiques d'authentification et qu'elles permettent aux propriétaires de domaine de définir des règles plus spécifiques, ces enregistrements ajoutent une couche supplémentaire de protection contre l'usurpation d'e-mail.

Au niveau organisationnel, les responsables de la sécurité peuvent également prendre des mesures pour défendre leurs collaborateurs contre cette menace en mettant en place une protection contre le phishing et les logiciels malveillants.

Comment l'authentification des e-mails s'intègre-t-elle à la sécurité du courrier électronique ?

Si les méthodes d'authentification du courrier électronique peuvent contribuer à vous protéger contre l'usurpation d'e-mail, il ne s'agit pas pour autant d'une solution de sécurité complète des e-mails. Ainsi, l'authentification des e-mails ne prend pas en compte d'autres techniques courantes de phishing, comme les domaines de type « look-alike » (similaires) ou les e-mails envoyés depuis des domaines légitimes, mais compromis.

La solution de sécurité des e-mails Cloudflare Area 1 propose une approche plus globale. Elle sonde Internet de manière préventive afin d'identifier l'infrastructure des acteurs malveillants. Cette opération permet ainsi de bloquer les attaques par phishing et de sécuriser les boîtes de réception.