« Je vous écris pour vous demander de prendre des mesures immédiates pour vous assurer que les pirates informatiques ne peuvent pas envoyer de courriels qui se font passer pour des agences fédérales », déclare Ron Wyden, sénateur des États-Unis et membre du Comité spécial du Sénat sur le renseignement, dans une lettre envoyée mardi dernier, le 18 juillet, au département de la Sécurité intérieure. « La menace posée par les criminels et les gouvernements étrangers qui se font passer pour des agences gouvernementales américaines est réelle. »

Bien que l’impasse partisane que Washington a connue depuis des années puisse menacer la sécurité nationale des États-Unis à long terme, rien n’empêche les législateurs individuels d’exhorter les agences fédérales à adopter les bonnes priorités. Avec la prolifération des menaces à la cybersécurité et la victimisation des entreprises privées, des organismes à but non lucratif et des agences gouvernementales de tous bords, répondre aux menaces par courriel est l’étape la plus importante que beaucoup peuvent prendre pour faire face à l’environnement actuel des menaces. C’est essentiel, car actuellement 91% des cyberattaques commencent par de simples courriels d’hameçonnage, tandis que les dépenses en sécurité des courriels devraient représenter moins de 8% des dépenses en sécurité en 2017.

Ainsi, dans sa lettre au DHS, le sénateur Wyden a encouragé toutes les agences gouvernementales à adopter DMARC (Domain-based Message Authentication, Reporting and Conformance) pour empêcher les attaquants d’usurper l’identité de fonctionnaires fédéraux par courriel, principalement pour siphonner des fonds des agences gouvernementales américaines. On estime que seulement 2% des 1300 domaines du gouvernement américain, comme FTC.gov et FDIC.gov, utilisent actuellement DMARC pour bloquer les courriels usurpés. L’adoption du DMARC pourrait représenter une amélioration importante pour la cybersécurité du gouvernement.

DMARC efficace contre les courriels d’imposteurs

En 2016, l’IRS a signalé une augmentation de 400% des tentatives de criminels d’usurper l’identité de son agence par hameçonnage, selon la lettre de Wyden. Ces tentatives sont similaires à bien des égards à ce qu’on appelle la compromission des courriels d’affaires (BEC), également connue sous le nom de fraude du PDG.

Dans ces courriels, les imposteurs masquent leur identité en falsifiant l’adresse « de » dans leurs courriels, en utilisant l’obscurité de leurs domaines de « réponse » ou d’autres tactiques afin de demander des transferts de fonds immédiats sous l’identité apparente de personnes de haute autorité au sein des entreprises qu’ils ciblent. Selon les rapports, une entreprise américaine non identifiée a perdu près de 100 millions de dollars lors d’une seule attaque comme celle-ci, tandis que le FBI rapporte que BEC coûte aux entreprises américaines plus de 2,3 milliards de dollars par an.

La norme DMARC

La norme DMARC a été établie par de grandes entreprises Internet comme Yahoo, AOL, Comcast, Google, Microsoft, Bank of America et plus particulièrement pour arrêter des attaques comme celle-ci, qui affectaient les expéditeurs et les destinataires de courrier en raison d’escroqueries par hameçonnage à grande échelle tentant de pirater des courriels à grande échelle. Cependant, la propagation du DMARC n’a pas été aussi rapide que celle des attaques qu’il arrêterait, et les agences et les entreprises qui ne le mettent pas en œuvre continueront de risquer d’être victimes d’attaques. 75% des courriels d’imposteurs usurpent leur adresse de réponse pour tromper les victimes, une tactique par laquelle DMARC bloquerait le plus souvent un message à moins que l’organisation expéditeur n’ait autorisé l’exception.

En savoir plus sur DMARC : Découvrez notre explication des dossiers DMARC et notre critique de DMARC

Pourquoi une exigence DMARC d’une agence fédérale est une bonne chose

Alors que les législateurs passent la plupart de leur temps à se débattre sur de grandes lois qui peuvent avoir des effets massifs sur la société, mais qui sont rarement, voire jamais, adoptées, à l’occasion, de petites exigences et de nouvelles lois subtiles peuvent entraîner un avantage massif pour les gouvernements et leurs citoyens. L’obligation pour chaque agence fédérale de mettre en œuvre une politique DMARC respecterait certainement cette norme.

La nécessité d’une législation tangible à ce sujet est de plus en plus évidente si l’on considère que bien que de nombreuses agences fédérales américaines comme le NIST, la FTC et d’autres déploient DMARC, le département de la Sécurité intérieure lui-même ne le fait pas – un fait dangereux explicitement souligné par la lettre du sénateur Wyden. Bien qu’une seule lettre d’un sénateur puisse aider à sensibiliser les gens, obliger un organisme comme le DHS, dont l’autorisation budgétaire totale dépasse 65 milliards de dollars par année, à adopter une norme comme le DMARC nécessitera probablement un mandat législatif.

Le fait que le sénateur Wyden, un membre important du Comité sénatorial du renseignement spécial avec des contacts réguliers avec le DHS, se soit senti obligé d’écrire une lettre ouverte soulignant l’absence de politique DMARC du DHS devrait à lui seul s’avérer un œil noir important pour l’agence et ses efforts en matière de cybersécurité. Bien que cela prouve une fois de plus qu’une loi pourrait être nécessaire pour obliger les agences fédérales à mettre en œuvre correctement le DMARC, la lettre du sénateur Wyden fournit plus d’huile sur le feu en soulignant que l’agence fiscale du Royaume-Uni a réduit son volume de courriels d’hameçonnage présumé de plus de 300 millions, uniquement grâce à sa mise en œuvre du DMARC en 2016.

Bien que les escroqueries fiscales et la compromission des courriels professionnels soient une préoccupation, la possibilité que des informations sensibles soient perdues par le DHS en raison d’une usurpation évitable est une question cruciale de sécurité nationale. Compte tenu des efforts du gouvernement américain pour poursuivre des activistes comme Edward Snowden et Chelsea Manning, l’absence d’une politique DMARC complète pourrait s’avérer être le comble de l’hypocrisie et de l’insouciance supplémentaire dans la réponse aux menaces de cybersécurité.