{"id":13700,"date":"2020-02-12T10:58:31","date_gmt":"2020-02-12T10:58:31","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=13700"},"modified":"2020-02-12T15:46:43","modified_gmt":"2020-02-12T15:46:43","slug":"36c3-fake-emails","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/36c3-fake-emails\/13700\/","title":{"rendered":"Faux e-mails : comment est-ce possible ?"},"content":{"rendered":"

Vous pouvez facilement savoir s\u2019il s\u2019agit d\u2019un e-mail de phishing en v\u00e9rifiant l\u2019adresse qui appara\u00eet dans le champ \u00ab\u00a0De\u00a0\u00bb. Malheureusement cela n\u2019est pas toujours faisable. Pourtant, il est bel et bien possible de cr\u00e9er un faux e-mail identique a un message authentique. Si un cybercriminel sait comment faire, l\u2019entreprise prise pour cible va rencontrer de vrais probl\u00e8mes. La plupart des utilisateurs n\u2019h\u00e9sitent pas \u00e0 cliquer sur un lien malveillant ou \u00e0 t\u00e9l\u00e9charger un fichier que leur sup\u00e9rieur, ou un client, aurait envoy\u00e9 par e-mail. Nous ne pouvons pas vraiment leur en vouloir, surtout s\u2019il est impossible de savoir si l\u2019adresse e-mail a \u00e9t\u00e9 usurp\u00e9e.<\/p>\n

Comment se fait-il qu\u2019un cybercriminel puisse imiter si parfaitement un e-mail ? Lors de son intervention \u00e0 la 36\u00ba \u00e9dition du Chaos Communication Congress, sur l\u2019authentification par e-mail pour les tests d\u2019intrusion, Andrew Konstantinov a r\u00e9pondu \u00e0 cette question et a donn\u00e9 un aper\u00e7u de l\u2019efficacit\u00e9 des syst\u00e8mes de protection de l\u2019usurpation d\u2019adresse e-mail.<\/p>\n

Probl\u00e8me 1 : les e-mails doivent circuler<\/h2>\n

De nos jours, les e-mails sont une des m\u00e9thodes de communication de base et les op\u00e9rations quotidiennes de toutes les entreprises en d\u00e9pendent fortement. M\u00eame si nous ne pensons pas vraiment \u00e0 la technologie lorsque tout se passe bien, vous pouvez \u00eatre certain que tout le monde va s\u2019en rendre compte si d\u2019un seul coup les employ\u00e9s ne re\u00e7oivent plus aucun e-mail. Par cons\u00e9quent, la fiabilit\u00e9 est g\u00e9n\u00e9ralement la priorit\u00e9 de n\u2019importe quel administrateur du serveur e-mail. Les e-mails doivent tout simplement \u00eatre envoy\u00e9s et remis aux destinataires, peu importe le moyen.<\/p>\n

Cela signifie que le serveur e-mail de l\u2019entreprise doit \u00eatre compatible avec autant de serveurs que possible. C\u2019est l\u00e0 qu\u2019est le probl\u00e8me : les normes qui s\u2019appliquent aux e-mails sont grandement d\u00e9pass\u00e9es.<\/p>\n

Probl\u00e8me 2 : protocole e-mail sans authentification<\/h2>\n

Le protocole principalement utilis\u00e9 pour les communications par e-mail entre le client et le serveur, et le serveur et le serveur est le SMTP. Il a commenc\u00e9 \u00e0 \u00eatre utilis\u00e9 en 1982 et sa derni\u00e8re mise \u00e0 jour remonte \u00e0 2008. Plus de dix ans se sont \u00e9coul\u00e9s. Tout comme avec d\u2019autres normes anciennes, le SMTP est un cauchemar en mati\u00e8re de s\u00e9curit\u00e9.<\/p>\n

Analysons d\u2019abord le contenu typique de vos e-mails :
\n\u2022 L\u2019enveloppe SMTP. Cette partie est utilis\u00e9e pour les communications serveur-serveur et n\u2019appara\u00eet jamais dans les e-mails de clients. Elle contient les adresses de l\u2019exp\u00e9diteur et du destinataire.
\n\u2022 L\u2019en-t\u00eate. Les e-mails de clients l\u2019affichent. C\u2019est l\u00e0 o\u00f9 vous trouvez les champs habituels \u00ab\u00a0De\u00a0\u00bb, \u00ab\u00a0\u00c0\u00a0\u00bb, \u00ab\u00a0Date\u00a0\u00bb et \u00ab\u00a0Objet\u00a0\u00bb que vous utilisez pour n\u2019importe quel e-mail.
\n\u2022 Le corps du message. Le texte de l\u2019e-mail et autres contenus.<\/p>\n

\"Quel

Quel est le contenu du message d\u2019un e-mail. Image source<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Le principal probl\u00e8me est que ce protocole n\u2019offre aucun moyen d\u2019authentification. La responsabilit\u00e9 du champ de l\u2019adresse de l\u2019exp\u00e9diteur, qu\u2019il s\u2019agisse de l\u2019enveloppe SMTP ou de l\u2019en-t\u00eate, rel\u00e8ve enti\u00e8rement du serveur de l\u2019exp\u00e9diteur. Pire encore, l\u2019adresse de l\u2019exp\u00e9diteur dans l\u2019enveloppe SMTP n\u2019a pas besoin d\u2019\u00eatre la m\u00eame que celle qui figure dans l\u2019en-t\u00eate (et l\u2019utilisateur ne voit que cette derni\u00e8re).<\/p>\n

M\u00eame si la norme dit qu\u2019il ne faut qu\u2019un en-t\u00eate par e-mail, le SMTP ne respecte pas vraiment cette limite. Si un message contient plus d\u2019un en-t\u00eate, alors l\u2019e-mail du client choisit tout simplement lequel il veut afficher \u00e0 l\u2019utilisateur.<\/p>\n

Pas besoin d\u2019\u00eatre un cybercriminel professionnel pour se rendre compte que cela pourrait engendrer beaucoup de probl\u00e8mes.<\/p>\n

Le protocole e-mail ne dispose d\u2019aucun moyen permettant de s\u2019assurer qu\u2019un e-mail a vraiment \u00e9t\u00e9 envoy\u00e9 par l\u2019exp\u00e9diteur qui appara\u00eet<\/p>\n

Probl\u00e8me 3 : Faux entrant, faux sortant \u2014 il faut tout contr\u00f4ler<\/h3>\n

Les choses se compliquent davantage puisque chaque communication par e-mail implique deux parties. Ce probl\u00e8me de non-authentification se divise donc en deux sous-probl\u00e8mes.<\/p>\n

D\u2019une part, vous voulez \u00eatre certain que l\u2019e-mail re\u00e7u a vraiment \u00e9t\u00e9 envoy\u00e9 par l\u2019adresse indiqu\u00e9e. D\u2019autre part, il est fort probable que vous souhaitiez \u00e9viter que n\u2019importe qui puisse envoyer des e-mails depuis votre adresse. Malheureusement le protocole ne peut pas vous aider.<\/p>\n

Il n\u2019est pas surprenant de constater que le protocole SMTP a si souvent mal \u00e9t\u00e9 utilis\u00e9 que certaines personnes ont commenc\u00e9 \u00e0 concevoir de nouvelles technologies pour corriger les d\u00e9fauts mentionn\u00e9s auparavant.<\/p>\n

Tentative de correction 1 : SPF (v\u00e9rification du nom de domaine de l\u2019exp\u00e9diteur d\u2019un e-mail)<\/h2>\n

L\u2019id\u00e9e \u00e0 l\u2019origine du SPF est assez simple. Le serveur destinataire devrait pouvoir v\u00e9rifier si l\u2019adresse du serveur qui a envoy\u00e9 l\u2019e-mail correspond \u00e0 la v\u00e9ritable adresse du serveur de l\u2019e-mail associ\u00e9e au domaine.<\/h2>\n

Plus facile \u00e0 dire qu\u2019\u00e0 faire. Le protocole SMTP ne dispose de rien pour faire cette v\u00e9rification. Il faudrait donc ajouter une m\u00e9thode d\u2019authentification au syst\u00e8me existant. Il a fallu attendre dix ans pour que cette technologie devienne une \u00ab\u00a0norme propos\u00e9e\u00a0\u00bb. De nos jours, seulement environ 55 % du million de serveurs utilise le SPF, et la plupart d\u2019entre eux emploient des politiques assez laxistes.<\/p>\n

Le SPF rencontre bien d\u2019autres probl\u00e8mes : une architecture chaotique qui facilite une mauvaise configuration, certaines techniques permettent de le contourner, notamment gr\u00e2ce \u00e0 d\u2019autres serveurs h\u00e9berg\u00e9s sur la m\u00eame adresse, etc. Le plus gros d\u00e9faut du SPF est qu\u2019il ne v\u00e9rifie que l\u2019adresse de l\u2019enveloppe SMTP et ignore compl\u00e8tement le champ \u00ab\u00a0De\u00a0\u00bb de l\u2019en-t\u00eate, qui correspond \u00e0 l\u2019adresse que l\u2019utilisateur voit.<\/p>\n

R\u00e9sultat :<\/b>
\n\u2022 Le SPF vous aide \u00e0 v\u00e9rifier si l\u2019e-mail a \u00e9t\u00e9 envoy\u00e9 depuis un serveur authentique.
\n\u2022 L\u2019adresse que l\u2019utilisateur voit peut \u00eatre fausse.<\/p>\n

Tentative de correction 2 : DomainKeys Identified Mail (DKIM)<\/h2>\n

DomainKeys Identified Mail aborde le probl\u00e8me diff\u00e9remment. Le DKIM signe par chiffrement l\u2019en-t\u00eate du message et une partie du corps du message gr\u00e2ce \u00e0 une cl\u00e9 priv\u00e9e, dont la signature peut \u00eatre v\u00e9rifi\u00e9e gr\u00e2ce \u00e0 une cl\u00e9 publique publi\u00e9 sur le Domain Name System (syst\u00e8me de noms de domaine).<\/h2>\n

Il convient toutefois de souligner que le DKIM ne devrait pas chiffrer la totalit\u00e9 du message. En r\u00e9alit\u00e9, il lui ajoute un addenda \u00e0 signature cryptographique. C\u2019est un probl\u00e8me. La partie chiffr\u00e9e peut difficilement \u00eatre modifi\u00e9e, mais vous pouvez facilement supprimer la totalit\u00e9 de la signature et \u00e9laborer un faux message. Les r\u00e9sultats sont ind\u00e9tectables.<\/p>\n

La mise en place du DKIM est compliqu\u00e9e puisqu\u2019il faut \u00e9mettre et g\u00e9rer des cl\u00e9s cryptographiques. De plus, une mauvaise configuration du DKIM peut permettre \u00e0 un cybercriminel de conserver la v\u00e9ritable signature du DKIM dans un message tout en modifiant compl\u00e8tement l\u2019en-t\u00eate et le corps du message.<\/p>\n

R\u00e9sultat :<\/b>
\n\u2022 Le DKIM vous permet de signer num\u00e9riquement les messages, ce qui assure au serveur destinataire que vous avez vraiment envoy\u00e9 le message.
\n\u2022 Difficile \u00e0 mettre en place puisqu\u2019il faut g\u00e9rer les cl\u00e9s cryptographiques.
\n\u2022 Les cybercriminels peuvent tout simplement supprimer la signature et se faire passer pour vous.
\n\u2022 Un mauvais r\u00e9glage peut permettre l\u2019envoi de faux messages avec de vraies signatures DKIM.<\/p>\n

Tentative de correction 3 : Domain-based Message Authentication, Reporting and Conformance (DMARC)<\/h2>\n

M\u00eame si son nom est assez long, le protocole Domain-based Message Authentication, Reporting and Conformance est plus facile \u00e0 comprendre que le SPF ou le DKIM. Il s\u2019agit d\u2019une extension de ces deux para-m\u00e8tres qui corrige la plupart de leurs erreurs.<\/p>\n

Tout d\u2019abord, le DMARC aide l\u2019administrateur du domaine \u00e0 indiquer quel m\u00e9canisme de protection (SPF, DKIM, ou les deux) le serveur utilise, ce qui rectifie vraiment le m\u00e9canisme DKIM. Ensuite, il corrige aussi le SPF puisqu\u2019il v\u00e9rifie l\u2019adresse de l\u2019en-t\u00eate, qui correspond au champ \u00ab\u00a0De\u00a0\u00bb visible par l\u2019utilisateur, et il analyse aussi l\u2019adresse de l\u2019exp\u00e9diteur qui se trouve dans l\u2019enveloppe SMTP.<\/p>\n

L\u2019inconv\u00e9nient est que le protocole DMARC est relativement nouveau, n\u2019est pas encore une norme \u00e0 pro-prement parl\u00e9 (RFC 7489 ne le d\u00e9finit pas comme standard ou norme propos\u00e9e mais comme \u00ab\u00a0instructif\u00a0\u00bb) et n\u2019est pas utilis\u00e9 autant qu\u2019il devrait l\u2019\u00eatre. Une \u00e9tude a analys\u00e9 20 000 domaines et a constat\u00e9 que seule-ment 20 % d\u2019entre eux ont adopt\u00e9 le DMARC en 2019 et que seul 8,4 % ont des politiques strictes.<\/p>\n

\"\"

Malheureusement, l\u2019adoption du DMARC n\u2019est pas courante et il est souvent utilis\u00e9 sans \u00ab\u00a0aucune\u00a0\u00bb politique. Image source<\/a><\/p><\/div>\n

\u00a0<\/p>\n

R\u00e9sultat :<\/b>
\n\u2022 Correction de la plupart des probl\u00e8mes que pr\u00e9sentent SPF et DKIM.
\n\u2022 Pas encore adopt\u00e9 \u00e0 grande \u00e9chelle et donc efficacit\u00e9 r\u00e9duite.<\/p>\n

Comment se prot\u00e9ger de l\u2019usurpation d\u2019e-mail<\/h2>\n

En conclusion, la falsification d\u2019e-mails est encore possible parce que le protocole SMTP n\u2019a pas \u00e9t\u00e9 con\u00e7u en pensant \u00e0 la s\u00e9curit\u00e9, ce qui permet aux cybercriminels d\u2019introduire l\u2019adresse e-mail de l\u2019exp\u00e9diteur dans un faux e-mail. Certains m\u00e9canismes de protection sont apparus au cours de ces derni\u00e8res d\u00e9cennies (SPF, DKIM et DMARC). Pourtant, pour que ces m\u00e9canismes soient efficaces, ils doivent \u00eatre utilis\u00e9s par le plus grand nombre de serveurs possible et \u00eatre mis en place correctement. Dans l\u2019id\u00e9al, ils devraient \u00eatre install\u00e9s sur chaque serveur e-mail du Web.<\/p>\n

De plus, il ne faut pas oublier qu\u2019\u00e0 cause de certaines erreurs de configuration le serveur e-mail pourrait commencer \u00e0 ajouter des lettres, ce qui ferait automatiquement \u00e9chouer la v\u00e9rification du DKIM. Ayez toujours \u00e0 l\u2019esprit que ces technologies vous aident \u00e0 g\u00e9rer les menaces de masse mais que pour prot\u00e9ger votre entreprise des attaques e-mail sophistiqu\u00e9es vous devez installer d\u2019autres solutions de protection sur vos postes de travail et sur le serveur e-mail<\/a><\/p>\n

Voici quelques conseils pour prot\u00e9ger vos e-mails :
\n\u2022 Utilisez au moins le SPF. V\u00e9rifiez qu\u2019il soit bien configur\u00e9. N\u2019oubliez pas que les cybercriminels exp\u00e9riment\u00e9s peuvent contourner le SPF (plus de d\u00e9tails dans cette vid\u00e9o).
\n\u2022 Mettez en place le DKIM pour une meilleure protection. Ce syst\u00e8me peut s\u2019av\u00e9rer plus complexe mais il en vaut la peine. Encore une fois, v\u00e9rifiez qu\u2019il soit bien configur\u00e9 (des id\u00e9es sur ce que les cybercriminels recherchent).
\n\u2022 Dans l\u2019id\u00e9al, adoptez le DMARC puisqu\u2019il corrige la plupart des vuln\u00e9rabilit\u00e9s exploitables de SPF et DKIM.
\n\u2022 V\u00e9rifiez la configuration de vos e-mails entrants.
\n\u2022 Installez des solutions de s\u00e9curit\u00e9 compatibles avec les m\u00e9canismes modernes d\u2019authentification. Par exemple, vous pouvez installer Kaspersky Security for Mail Servers<\/a> ou Kaspersky Security for Microsoft Office 365<\/a>
\n<\/p>\n","protected":false},"excerpt":{"rendered":"

Le phishing et les attaques cherchant \u00e0 compromettre les e-mails de votre entreprise reposent sur l\u2019utilisation de faux e-mails. Comment se fait-il que les cybercriminels puissent les rendre si cr\u00e9dibles ?<\/p>\n","protected":false},"author":421,"featured_media":13703,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,686,3151],"tags":[3789,3698,2679,2680,505,89,1105],"class_list":{"0":"post-13700","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-threats","9":"category-smb","10":"tag-36c3","11":"tag-bec","12":"tag-ccc","13":"tag-chaos-communication-congress","14":"tag-e-mail","15":"tag-phishing","16":"tag-spear-phishing"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/36c3-fake-emails\/13700\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/36c3-fake-emails\/18466\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/36c3-fake-emails\/15342\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/36c3-fake-emails\/20227\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/36c3-fake-emails\/18555\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/36c3-fake-emails\/17055\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/36c3-fake-emails\/21035\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/36c3-fake-emails\/19876\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/36c3-fake-emails\/26277\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/36c3-fake-emails\/7644\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/36c3-fake-emails\/32362\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/36c3-fake-emails\/13910\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/36c3-fake-emails\/12746\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/36c3-fake-emails\/21957\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/36c3-fake-emails\/26726\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/36c3-fake-emails\/24957\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/36c3-fake-emails\/20916\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/36c3-fake-emails\/25747\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/36c3-fake-emails\/25579\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/36c3\/","name":"36c3"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/13700","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/421"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=13700"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/13700\/revisions"}],"predecessor-version":[{"id":13715,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/13700\/revisions\/13715"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/13703"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=13700"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=13700"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=13700"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}