La plupart des domaines les plus importants en termes de trafic sont vulnérables à un email spoofing
Quelles sont les meilleures solutions ?

Le , par Stéphane le calme

62PARTAGES

La mauvaise configuration des serveurs email semble être de plus en plus répandue et laisse la possibilité à des pirates de se servir de la technique d’usurpation d’identité baptisée email spoofing (ou adresse spoofing, usurpation d’adresse mail), d’après un rapport de l’entreprise suédoise Detectify qui est spécialisée en sécurité.

Pour rappel, cette technique consiste à envoyer des messages en se faisant passer pour quelqu’un d’autre dans le but de cacher l’origine réelle de l’expéditeur, la plupart du temps pour faire croire à une adresse de confiance. Les messages peuvent alors apparaître comme provenant d’un de vos amis, de Google ou même de votre banque même si le courriel n’est pas souvent lancé depuis ces sources. Par cette voie, des attaquants peuvent inviter les victimes à entrer leurs informations bancaires en se faisant passer pour leur banque. C’est un moyen très utilisé pour subtiliser les identifiants des utilisateurs.

L’équipe Detectify s’est lancée dans une recherche pour évaluer combien ce problème de mauvaise configuration des serveurs email est répandu. Pour ce faire, elle a étudié les 500 sites générant le plus de trafic selon l’index Alexa, un baromètre populaire de données commerciales de trafic web ainsi que des analytiques y afférant. « Nous avons découvert que plus de 50 % de ces domaines étaient vulnérables, soit en n’ayant pas d’authentification configurée, soit en ayant une authentification mal configurée », ont indiqué les chercheurs. Pour eux, ce constat vient mettre en évidence à quel point le problème est répandu, mais également combien bien installer une authentification mail peut s’avérer difficile. En tout, 276 sites sur les 500 étaient vulnérables à ce type d’attaque.

Bien entendu, les services/entreprises sont conscients des risques associés avec cette technique et font de leur mieux pour inviter leurs utilisateurs/clients à la prudence en multipliant les messages d’avertissement comme celui-ci qui est issu d’Apple sur sa plateforme iTunes.


Pour les chercheurs cependant demeure un problème : « si le courriel provient effectivement du domaine officiel du service parce que les serveurs email n’ont pas été configurés avec une authentification. Dans ce cas il est encore plus difficile pour l’utilisateur de savoir que l’adresse mail a été usurpée ».

Les chercheurs recommandent alors trois solutions pour se protéger de ce type d’attaques : SPF (Sender Policy Framework), DKIM et DMARC. Ils insistent sur l’importance de configurer correctement les serveurs mail ainsi que les domaines d’envoi et systèmes de réception.

SPF crée essentiellement un dossier public, définissant une liste de serveurs email autorisés à se servir du domaine. Dans l’idéal, tous les messages se faisant passer pour le domaine en question seront détectés comme étant des spams et rejetés avant d’être livrés.

SPF dispose de trois modes :
  • Softfail : le mode recommandé en premier lieu lorsque vous établissez un enregistrement SPF. De cette façon, vous serez en mesure de vérifier si des courriels légitimes ont été marqués comme étant des spams ou pas, et les accepter comme courriels légitimes par la suite pour de futures correspondances ;
  • Hardfail : après avoir évolué un moment avec Softfail, il est commun de passer à Hardfail dont l’action va simplement permettre de rejeter les mails considérés comme étant des spams.
  • Neutral : ne dispose d’aucune action.


Les chercheurs expliquent que l’un des problèmes avec plusieurs fournisseurs de services de messagerie, à l’instar de Gmail, est que nombreux sont ceux qui semblent éviter de marquer les courriels comme étant potentiellement des spams dans la boîte de réception des utilisateurs. « De cette façon, les utilisateurs reçoivent quand même des courriels suspects tandis qu’ils pensent avoir déjà pris des mesures pour se protéger. En d’autres termes, la seule mise en place d’un enregistrement SPF ne suffit pas ».

Pour John Levine, consultant en infrastructure email, les entreprises en charge des domaines de site web le font pour éviter de perdre des courriels légitimes qui pourraient être marqués à tort comme étant des spams : « il y a plusieurs façons d’envoyer des courriels légitimement, et SPF ne peut décrire que quelques-unes d’entre elles ».

DKIM consiste en gros en une encapsulation d’une signature cryptographique dans un email qui va permettre de vérifier le nom du domaine par lequel le message a été envoyé. En envoyant un courriel depuis un serveur configuré DKIM (DomainKeys Identified Mail), le serveur va faire un hash de l’en-tête et du corps de l’email séparément. Par la suite, avec une clé privée, il sera en mesure de créer une signature qu’il va envoyer avec le courriel.

Lorsque le bénéficiaire va recevoir le courriel, il va faire une requête DNS du domaine duquel le courriel prétend qu’il vient. En le faisant, il va utiliser également la clé publique qui est l’enregistrement DKIM pour l’aider à vérifier de l’authenticité de la signature et donc de l’authenticité de l’expéditeur.


DMARC (Domain-based Message Authentication, Reporting & Conformance) pour sa part peut être utilisé lorsque ni SPF ni DKIM n’arrivent à confirmer la légitimité d’un courriel. Il dispose de trois actions, notamment la mise en quarantaine, le rejet et aucune action. L’une des fonctionnalités clés de DMARC est la génération de rapport, ce qui permet au propriétaire d’un domaine d’être informé si quelqu’un a essayé d’envoyer des courriels en son nom.


Ce protocole gagne en popularité. Dans un billet de blog, Yahoo avait annoncé le 5 octobre dernier faire usage de ce protocole sur ses services ymail.com and rocketmail.com à compter du 2 novembre 2015. Google a également fait une annonce similaire et à déclarer qu’en juin 2016 son service de messagerie gmail va migrer vers le projet DMARC. John Rae-Grant, Lead Product Manager for Gmail, avançait à ce propos que « nous sommes heureux d'appuyer le protocole ARC pour aider les opérateurs de liste de diffusion à s’adapter à la nécessité d'une authentification forte ».

Pour Levine, bien que le système est « loin d'être infaillible », il a déjà montré son efficacité dans la prévention d’attaques par messagerie électronique. Par exemple, en 2015, Kaspersky a indiqué que les attaques par hameçonnage contre les utilisateurs PayPal ont probablement diminué suite de l'adoption de DMARC par les fournisseurs de messagerie.

Source : blog Detectify, blog DMARC

Et vous ?

Que pensez-vous de ces solutions ?

Voir aussi :

le forum sécurité web

Une erreur dans cette actualité ? Signalez-le nous !

Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web