Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Plus de 90 % des entreprises du Fortune 500 n'ont pas déployé DMARC
Un protocole d'authentification des courriels pour prévenir le phishing

Le , par Patrick Ruiz

62PARTAGES

7  0 
Un rapport de la firme de la sécurité Agari révèle que les entreprises les mieux classées en Amérique, au Royaume-Uni et en Australie laissent leurs clients vulnérables à des attaques par phishing. On parle ici d’entreprises du classement américain du Fortune 500, du FTSE 100 britannique et de l’ASX 100 australien qui n’ont pas adopté DMARC (Domain Based Message Authentification Reporting & Conformance).


67 % des entreprises du classement Fortune 500 n’ont pas déployé le protocole DMARC. Le constat est le même au Royaume-Uni avec les entreprises du FTSE 100. En Australie, les chiffres sont revus à la hausse avec 73 % des entreprises qui apparaissent dans le classement ASX 100 et que la firme Agari a identifiées comme étant dans cette situation. Le phénomène ne se limite pas à ces entreprises puisqu’une autre étude de l’organisation à but non lucratif « Global Cyber Alliance » révèle qu’à la date du 1er août 2017, 90 % des domaines appartenant à des agences fédérales américaines n’avaient pas déployé le protocole sur leurs serveurs de messagerie.

Cet état de choses laisse perplexe quand on sait que ces relevés sont antérieurs aux attaques dirigées contre les infrastructures du DNC avant la dernière élection présidentielle américaine et celles plus récentes contre des membres de l’équipe d’En marche, preuve que les attaques par phishing font partie de l’arsenal favori des cybercriminels. Des faits qui, en principe, ne sont pas étrangers aux équipes IT en charge de ces questions dans lesdites entreprises ou administrations.

L’implémentation de DMARC donne pourtant la possibilité à des entreprises de cette envergure d’empêcher à des cybercriminels d’usurper leur identité pour envoyer des courriels malicieux à leurs clients ou même à leur personnel. Le processus de déploiement du protocole serait des plus simples et pour certaines entreprises offrant ce service de suivi de domaine, gratuit pour une dizaine de milliers de courriels à surveiller par an.


Au-delà, il y a un coût à consentir, mais l’on doute fort que les sommes requises puissent empêcher aux mastodontes de ces différents classements de déployer le protocole. Le problème semble être ailleurs puisque pour certaines des entreprises ayant procédé au déploiement, on apprend que le niveau de sécurité le plus bas (qui, finalement, ne correspond à aucune sécurité) est choisi.

L’étude de la firme Agari révèle en effet que 25, 26 et 23 % des entreprises respectivement des classements Fortune 500, FTSE 100 et ASX 100 ont procédé au déploiement, mais ont choisi de ne faire filtrer aucun courriel. Résultat des courses, ce sont les clients et les employés qui doivent faire preuve de plus de prudence.

À propos d’Agari et le protocole DMARC

Les spécifications DMARC naissent des efforts concertés entre les fondateurs d’Agari et les géants de l’Internet que sont Yahoo et Paypal. Les deux entreprises figurent d'ailleurs comme pionniers en termes d’adoption de ce standard aux côtés d’autres comme Facebook, NetFlix et LinkedIn.

Source : Rapport Agari

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Des hackers mettent en œuvre des plateformes de phishing en tant que service à coûts réduits afin de faciliter le lancement des cyberattaques
Plus de 14 000 certificats SSL contenant le mot "PayPal" ont été délivrés par Let's Encrypt à des sites de phishing en l'espace d'un an

Une erreur dans cette actualité ? Signalez-le nous !