Comment analyser un e-mail suspect

Si vous recevez un e-mail qui vous semble suspect, analysez-le vous-même. Voici comment procéder.

Les signes d’hameçonnage peuvent être évidents : une adresse du destinataire différente de celle de la soi-disant entreprise, des incohérences ou encore des notifications qui semblent avoir été envoyées par des services en ligne. Pourtant, la détection d’un faux message n’est pas toujours facile. Pour qu’une imitation semble authentique, les cybercriminels falsifient le champ visible de l’adresse e-mail.

Cette technique est peu utilisée lorsqu’il s’agit d’attaques d’hameçonnage de masse, mais nous la voyons plus souvent dans les messages ciblés. Si un message vous semble correct mais que vous avez des doutes sur l’authenticité de l’expéditeur, essayez de creuser un peu plus profond et vérifiez l’en-tête Received (Reçu). Cet article vous explique comment procéder.

Pourquoi douter

Toute demande étrange est un signal d’alerte. Par exemple, si un message vous demande de faire quelque chose qui ne relève pas de vos responsabilités, ou vous demande de réaliser une action atypique, vous devriez faire particulièrement attention. Cela est d’autant plus vrai si l’expéditeur dit qu’il s’agit de quelque chose d’important (une demande faite par le PDG !) ou d’urgent (à payer dans les deux heures !). Ce sont les méthodes habituelles d’hameçonnage. Vous devriez aussi vous méfier si on vous demande de :

  • Suivre le lien qui figure dans un e-mail et qui vous redirige vers un site externe qui vous demande de saisir vos identifiants ou des informations bancaires ;
  • Télécharger et ouvrir un fichier (surtout s’il s’agit d’un fichier exécutable) ;
  • Réaliser des actions ayant un lien avec des transferts de fonds ou avec l’accès à certains systèmes ou services.

Comment trouver l’en-tête d’un e-mail

Malheureusement, le champ visible De peut facilement être falsifié. En revanche, l’en-tête Received devrait montrer le vrai domaine de l’expéditeur. Vous pouvez trouver cet en-tête dans n’importe quel client de messagerie. Dans ce cas, nous allons prendre l’exemple de Microsoft Outlook puisque ce service est très utilisé par les entreprises de nos jours. Ce processus ne devrait pas beaucoup différé avec les autres services de messagerie. Si vous utilisez un autre service, vous pouvez lire les informations de la section d’aide ou essayer de trouver l’en-tête vous-même.

Pour Microsoft Outlook :

  1. Ouvrez le message que vous souhaitez vérifier ;
  2. Sélectionnez Propriétés dans l’onglet Fichier;
  3. Dans la fenêtre Propriétés qui s’ouvre, cherchez le champ Received dans la section En-têtes Internet.

Avant d’être remis au destinataire, un e-mail peut passer par plusieurs nœuds intermédiaires, et c’est pourquoi vous risquez de voir plusieurs champs Received. C’est le plus bas qui vous intéresse puisqu’il contient des informations sur l’expéditeur d’origine. Il devrait ressembler à cela :

En-tête Received

En-tête Received

Comment vérifier le domaine de l’en-tête Received

La façon la plus facile d’interpréter l’en-tête Received est d’utiliser notre site Threat Intelligence Portal. Certaines fonctionnalités sont libres d’accès, ce qui veut dire que vous pouvez les utiliser sans vous inscrire.

Pour vérifier l’adresse, copiez-la, ouvrez Kaspersky Threat Intelligence Portal, collez-la dans le champ de recherche de l’onglet Lookup puis cliquez sur Look up. Le portail va vous fournir tous les renseignements disponibles sur le domaine, sa réputation et les détails WHOIS. Le résultat se présente de cette façon :

Informations obtenues sur le site Kaspersky Threat Intelligence Portal

Informations obtenues sur le site Kaspersky Threat Intelligence Portal

La toute première ligne va certainement afficher un verdict « Good » (bon) ou un symbole « Uncategorized » (Non catégorisé). Cela signifie simplement que nos systèmes n’ont pas détecté que ce domaine ait été utilisé à des fins criminelles dans le passé. Lorsqu’ils préparent une attaque ciblée, les cybercriminels peuvent enregistrer un nouveau domaine ou utiliser un domaine légitime de bonne réputation ayant une faille. Vérifiez minutieusement le nom de l’entreprise à laquelle le domaine appartient pour voir s’il correspond à celui que l’utilisateur soi-disant représente. Il est peu probable que l’employé d’une entreprise partenaire en Suisse, par exemple, envoie un e-mail via un domaine inconnu enregistré en Malaisie.

D’ailleurs, il convient d’utiliser notre portail pour vérifier les liens qui figurent dans les e-mails, surtout s’ils semblent suspects, et d’avoir recours à l’onglet File Analysis pour analyser les pièces jointes.

Kaspersky Threat Intelligence Portal offre bien d’autres fonctionnalités utiles, mais la plupart ne sont accessibles qu’aux utilisateurs ayant un compte. Pour plus d’informations sur ce service, consultez l’onglet About the Portal.

Vous protéger contre l’hameçonnage et les e-mails malveillants

Même si la vérification d’e-mails suspects est une bonne idée, il serait encore mieux de garder les messages d’hameçonnage à distance. Ainsi, nous vous conseillons toujours d’installer des solutions anti-hameçonnage au niveau du serveur de messagerie de votre entreprise.

De plus, si vous installez une solution équipée d’une protection anti-hameçonnage sur tous les postes de travail, celle-ci bloque les liens d’hameçonnage qui redirigent l’utilisateur, au cas où l’expéditeur du message voudrait leurrer le destinataire.

Conseils