Écrit par Laurent G. et Gyorgy J.
Depuis son apparition au MIT en 1965, l’e-mail a révolutionné nos échanges au quotidien en devenant un outil de collaboration central et en occupant une place toujours plus importante dans la sphère personnelle : chaque jour, c’est plus de 306 milliards d'e-mails qui sont envoyés dans le monde !
Lors de sa création, ses concepteurs étaient à mille lieues d’imaginer les enjeux de cybersécurité qui s’imposent à nous aujourd’hui.
Le saviez-vous ? Il est possible de se faire passer pour n'importe quelle personne lors de l'envoi d'un mail. Il suffit d’utiliser un simple serveur SMTP.
Lancé en 1982, le protocole SMTP (Simple Mail Transfert Protocol) n’offre aucun mécanisme de sécurité pouvant garantir l’identité de l’émetteur d’un e-mail. A l’envoi d’un e-mail, votre logiciel de messagerie convertit votre courriel et ses pièces jointes en format « texte », avant de se connecter au serveur SMTP qui est paramétré. Le texte est envoyé.
Mais aussi étonnant que cela puisse paraître, l'information « adresse de l'expéditeur » est portée par un simple champ de texte ! La responsabilité de l’adresse de l’expéditeur relève entièrement de l’expéditeur. Ensuite, le serveur SMTP envoie simplement le mail vers le serveur du destinataire.
Les individus malintentionnés ont ainsi trouvé dans l’e-mail, le point d’entrée idéal pour exploiter la vulnérabilité contre laquelle il est le plus compliqué de se protéger : la faille humaine.
Usurpation d’identité ciblée ou campagnes de phishing de grande ampleur, ces attaques ont en commun qu’elles exploitent la difficulté à confirmer l’identité de l’émetteur de l’e-mail, et donc sa légitimité, pour induire une action chez le destinataire : le clic sur un lien renvoyant vers un site malveillant, l’exécution d’un virement bancaire, la transmission d’une information confidentielle, etc. Aujourd’hui, on estime que plus de 9 cyber-attaques sur 10 utilisent des e-mails frauduleux.
Il s’agit bien là du principal enjeu pour sécuriser nos boites mail : garantir l’authentification des courriels, alors que près d’un e-mail de phishing sur trois est ouvert par la personne visée. C’est bien que la seule formation des utilisateurs n’est pas suffisante, et que des solutions de protection techniques doivent être mises en place.
Plutôt qu’une refonte en profondeur de SMTP pour le sécuriser, trop complexe à mettre en œuvre sur un protocole déjà largement déployé, nous avons vu émerger de nouveaux protocoles destinés à améliorer la sécurité des échanges en SMTP. Les avez-vous mis en œuvre ?
DMARC, la meilleure réponse technique pour garantir la légitimité des e-mails ?
Face à la recrudescence des attaques par e-mail, un groupement d’industriels (Microsoft, Yahoo !, Google, etc.) crée DMARC en 2012. Acronyme anglais pour Domain-based Message Authentication, Reporting and Conformance, cette spécification technique qui assure l’authentification des e-mails s’est depuis révélée particulièrement efficace pour prévenir les attaques de phishing.
Ce protocole est configuré en ajoutant directement un enregistrement DNS sur vos domaines, afin de détecter et d’empêcher la diffusion d'e-mails frauduleux. Concrètement, le DMARC empêche les expéditeurs non autorisés d'utiliser votre nom de domaine dans le champ « émetteur » d’un e-mail. Sa mise en place nécessite l’implémentation de SPF qui consiste à définir le ou les expéditeur(s) autorisé(s) à envoyer des e-mails avec un domaine donné ainsi que DKIM qui assure la « signature » de vos e-mails. DMARC indique alors aux fournisseurs de service de messagerie quoi faire à la réception d’un e-mail émis avec une adresse de votre domaine. Ils peuvent l’accepter, si cet e-mail est signé avec votre nom de domaine avec les protocoles DKIM ou SPF ; ou bien le rejeter, si ce n’est pas le cas.
Fort de son succès, DMARC s’est imposé comme une solution de sécurité incontournable, et bon nombre de fournisseurs de messagerie et filtres anti-spams sont désormais paramétrés pour exclure plus ou moins systématiquement les e-mails non authentifiés du courrier désirable. La mise en place de DMARC présente donc un nouvel avantage pour votre organisation, elle limite le risque de catégorisation en « spam » des e-mails issus de votre domaine (en particulier vos campagnes Marketing) et participe à la bonne « réputation » de votre marque en la matière.
Vers une mise en œuvre généralisée de DMARC
Le département américain de la sécurité intérieure (DHS) a publié une directive opérationnelle contraignante afin d’imposer la mise en place de DMARC par toutes ses agences dès 2018. En Europe aussi DMARC est très largement utilisé : le au Royaume Uni, le UK Governmental Digital Service (GDS) a lui aussi imposé DMARC, tout comme aux Pays-Bas, où « tous les gouvernements néerlandais doivent mettre en œuvre une politique stricte pour le DMARC d'ici la fin de 2019 ». Après les organisations publiques, c’est bien au tour des entreprises de prendre le virage DMARC.
La mise en place de DMARC implique un travail préalable pour identifier une « liste blanche » de serveurs émetteurs autorisés, afin d’éviter le blocage d’e-mails légitimes en provenance de domaines et sous domaines extérieurs à votre organisation. Un point très important : la plupart des e-mails de votre entreprise peuvent ne pas provenir de votre système de messagerie d'Outlook, mais peuvent, être des e-mails commerciaux, des e-mails marketing, des e-mails d'information et d'enquête, des e-mails envoyés depuis vos applications internes ou des outils tiers, dans le cloud, …
Dans votre projet de mise en place de DMARC, il est donc essentiel de travailler avec toutes les parties prenantes de votre organisation pour comprendre leurs besoins métiers, repenser les options d'envoi d'e-mails, reconfigurer les solutions, envisager des changements d’outils, migrer vers de nouveaux sous-domaines… Il s’agit en soi d’un réel chantier, qui dépasse la simple dimension technique et qui doit embrasser l’ensemble des usages au sein de votre organisation.
Une fois la liste des émetteurs légitimes dressée, vient le moment d’activer DMARC en le configurant sur votre domaine.
À partir de cet instant, le domaine de votre organisation et ses sous-domaines sont sécurisés, empêchant toute utilisation abusive de @votreentreprise.com, protégeant contre les attaques par compromission des e-mails, les e-mails d'usurpation d'identité, les e-mails de phishing, les escroqueries par e-mail et autres. Vos e-mails seront « authentifiés » nativement. Les faux e-mails seront bloqués ou mis en quarantaine.
Avec chaque mois plus de 100 000 nouvelles activations de DMARC, la tendance est à sa généralisation, avec une croissance de près de 50 % en 2020. Nous avons constaté, chez les clients que nous avons accompagnés sur le sujet, une nette diminution du taux d’ouverture des e-mails d’hameçonnage, et donc à la réduction du risque de compromission.
Pour tenter une comparaison d’actualité, on peut considérer qu’à l’image d’une campagne vaccinale, la systématisation de DMARC par les organisations et les fournisseurs de service de messagerie, nous rapprochera d’une immunité collective contre les e-mails malveillants…