Quelqu’un usurpe votre adresse courriel. Ils se font passer pour vous (usurpation de courriel) dans l’espoir d’hameçonner des utilisateurs sans méfiance et de leur distribuer des logiciels malveillants. Vous recevez des plaintes de personnes dans des entreprises dont vous n’avez jamais entendu parler, vous disant de cesser de leur envoyer des virus, des logiciels malveillants et des pourriels. Des administrateurs en colère vous demandent de renforcer vos paramètres de sécurité.
Vous avez probablement un million de questions en tête lorsque cela se produit. La panique fait souvent partie intégrante de la réaction. Le calme est préférable, car la plupart des cas d’usurpation ne sont pas dus au piratage de votre compte. Clarifions la différence entre « piraté/compromis » et « infecté » en ce qui concerne quelqu’un qui usurpe votre adresse courriel.
Piraté : Votre vrai compte de courriel a été compromis. Un tiers malveillant a un accès complet à votre compte. Ils ont réussi à récupérer votre mot de passe, à accéder à vos systèmes au-delà de votre courriel, à prendre le contrôle d’une session Web ouverte, etc. Ils peuvent envoyer des courriels à partir de votre compte afin que le trafic semble légitime et techniquement légitime selon tous les critères normaux d’authenticité.
Infecté : Vous (ou l’un de vos amis, collègues, contacts) avez été infecté par un logiciel malveillant et votre historique de courriel et/ou votre carnet d’adresses (ou le leur) ont été volés. Les criminels envoient des courriels qui semblent être en votre nom, mais pas directement à partir de votre compte de courriel. C’est là qu’intervient la véritable usurpation, car ils doivent dissimuler le courriel puisqu’ils ne peuvent pas envoyer directement à partir de votre compte réel comme ce serait le cas si vous aviez été piraté.
La plupart des cas d’usurpation d’identité sont dus à une machine infectée quelque part sur votre réseau ou sur l’un des réseaux de vos contacts. Ces événements n’utilisent pas vos identifiants pour se connecter à votre compte et envoyer des pourriels, ils utilisent uniquement votre nom et vos noms de contact pour usurper votre adresse électronique, en utilisant des serveurs de messagerie contrôlés à cette fin pernicieuse. Si un pirate informatique a vos identifiants, il peut faire bien pire que simplement usurper votre courriel et vous avez des choses plus importantes à craindre.
Usurpation d’entreprise
Les entreprises échangent des courriels avec des milliers de destinataires. Ils utilisent souvent des adresses électroniques génériques telles que support@domain ou sales@domain, ainsi qu’une signature formatée et des coordonnées détaillées. Un beau jour, un collègue ou un client quelque part sur la planète clique sur une pièce jointe malveillante, une promesse de fortune ou un miracle de santé, et est infecté. Cette infection est comme un minuscule espion virtuel qui passe au crible l’historique des courriels et les contacts de cet utilisateur, en utilisant des algorithmes avancés pour voler des informations précieuses. À ce stade, les criminels sauront ce qui suit à votre sujet :
- Votre nom complet
- Votre adresse courriel
- Avec qui vous communiquez
- La forme de vos courriels lors de ces communications, jusqu’aux détails de votre signature
Toutes ces informations sont très utiles lorsqu’ils commencent à se faire passer pour vous en usurpant votre adresse courriel. Voici un échantillon raisonnablement bien fait.
C’est à ce moment-là que vous pourriez commencer à transpirer. Le corps du courriel est exactement le même qu’un courriel que vous envoyez régulièrement. Bien que l’adresse courriel de FROM soit loin d’être similaire à l’adresse originale, le contenu l’est. La signature « volée » est identique à la signature originale (y compris la couleur et la police). Le message est urgent et nécessite généralement une attention immédiate. Il est essentiel d’injecter un certain niveau d’urgence pour que le bénéficiaire agisse rapidement sans réfléchir. Le fichier joint a un nom familier, le même nom qu’une pièce jointe récente reçue de ce compte. L’utilisateur qui clique sera infecté en ouvrant le fichier. S’ils sont suspicieux et utilisent le courriel de réponse pour répondre, quelqu’un écoute à l’autre bout et répondra que tout va bien.
Et si votre signature a une image intégrée ou une citation de quelqu’un de célèbre? Pas de problème! Cela ne fait que rendre la copie créée et utilisée beaucoup plus fiable pour le destinataire et plus capable de le tromper.
Voici un autre exemple :
L’image légitime a été extraite de l’historique des courriels de l’utilisateur infecté. Les coordonnées sont très similaires à celles du courriel légitime original qui a été copié et ne doivent être consultées que pour vous rassurer. Mais celui-ci contient une signature modifiée. Le numéro de téléphone ne fonctionne pas réellement, vous ne pouvez donc pas appeler et confirmer la demande. La pièce jointe originale était « Quotation.iso », un programme d’installation de fichiers, qui a été supprimé par le filtre de courriel.
Votre entreprise opère en français et vous vous croyez à l’abri? Non, pas du tout. [Traduction : Vous travaillez dans une langue autre que l’anglais, par exemple, le français, et vous pensez être protégé? Détrompez-vous!]
Nous avons constaté une énorme augmentation des parodies en français et en espagnol. Dans ce cas, l’expéditeur et le destinataire se connaissent, ce qui augmente le risque que le destinataire se fasse berner par le faux. Le contenu copié réutilise une erreur commise par l’expéditeur original (« bicoup » devrait être « beaucoup »). Le courriel falsifié est même un style de copie.
Comment puis-je résoudre ce problème?
Dans la plupart des cas d’usurpation d’identité, vous n’avez pas été piraté. Il y a cependant une infection quelque part et elle est probablement hors site, c’est-à-dire pas sur votre réseau. Le criminel de spam peut utiliser un serveur aléatoire n’importe où sur la planète pour envoyer des courriels, il n’y a donc pas grand-chose que vous puissiez faire pour agir directement sur l’échange de courriels. Il y a quelques choses que vous pouvez faire pour aider les serveurs de messagerie légitimes et les outils de filtrage du courrier du monde entier à prendre de meilleures décisions quant à savoir si les courriels censés être envoyés par vous l’ont été réellement. Pour ce faire, il publie des enregistrements SPF, DKIM et DMARC correctement formatés.
Le FPS (Sender Policy Framework) serait le minimum. C’est probablement la fonction de sécurité des courriels la plus sous-utilisée de toutes. Le FPS informe les destinataires des courriels à partir des plages d’adresses IP des courriels légitimes de votre entreprise. Bien que cela aide, ce n’est pas une solution miracle. Si, par exemple, vous utilisez Office 365 SPF, un polluposteur sur Office 365 avec un enregistrement SPF valide pourrait réussir le test même s’il se fait passer pour vous. Une solution de sécurité des courriels bien configurée vérifiera toujours l’enregistrement SPF du domaine d’où elle a reçu un courriel et rejettera les courriels envoyés par le mauvais serveur.
DKIM (DomainKeys Identified Mail) est un peu plus complexe mais très efficace. Il ajoute une signature (cachée) à votre courriel pour prouver que votre entreprise l’a effectivement envoyé. L’authenticité est établie à l’aide de chiffrement et de clés asymétriques. De nombreux fournisseurs de messagerie prennent en charge DKIM.
Le DMARC (Domain Message Authentication Reporting and Conformance) est plus complexe, plus l’entreprise est grande, plus elle sera complexe à mettre en œuvre. Il combine le meilleur du FPS et du DKIM. DMARC permet à un domaine de publier s’il utilise SPF et/ou DKIM, et ce qu’il faut faire d’un courriel reçu de ce domaine qui échoue à l’un ou l’autre des tests. Bien que DMARC puisse être un excellent outil de protection contre l’hameçonnage, son adoption par le marché a été décevante en raison des taux élevés de faux positifs. La principale raison des faux positifs est la mauvaise configuration des enregistrements qui entraînent le rejet de ce qui est à toutes fins utiles des courriels légitimes. Nous avons déjà écrit à ce sujet ici.
En conclusion
Les spammeurs et les escrocs font des efforts extraordinaires pour tromper ceux qui vous connaissent en envoyant des courriels prétendant provenir de vous (usurpation d’identité). La cause en est souvent une infection mineure qui ne s’est même pas produite sur votre propre réseau. Vous pouvez vous protéger, protéger votre entreprise et votre réputation en adoptant des normes et des protocoles plus avancés pour vos courriels professionnels tels que SPF, DKIM et DMARC.
Une autre chose que vous pouvez faire est d’utiliser une solution de sécurité des courriels avancée et complète qui est soutenue par des experts en sécurité dont le plaisir sera de configurer correctement votre SPF, DKIM et DMARC.
