Le blog de Skysnag

Qu'est-ce que l'usurpation d'adresse électronique ?

11 octobre 2023  |  6 min lire

L'usurpation d'adresse électronique est la création de messages électroniques avec une adresse d'expéditeur falsifiée. Cela signifie que le message semble provenir d'une autre source que celle prévue. Dans les campagnes d'hameçonnage et de spam, l'usurpation d'adresse électronique est couramment utilisée pour rendre plus difficile l'identification de l'expéditeur authentique par les destinataires et éviter qu'ils n'ouvrent le message. Les attaques par usurpation d'identité modifient les en-têtes des courriels pour faire croire que le message provient d'un autre expéditeur. Cela peut se faire en modifiant le champ From ou d'autres éléments de l'en-tête.

L'usurpation d'adresse électronique est possible pour les raisons suivantes

  1. Absence d'authentification : Il n'existe pas de méthode standard pour authentifier l'expéditeur d'un message électronique. Il est donc possible d'envoyer un courriel avec une adresse d'expéditeur falsifiée.
  2. L'usurpation de domaine : L'usurpation de domaine est un type d'usurpation de courrier électronique qui consiste à falsifier le nom de domaine de l'expéditeur. Cela peut se faire en modifiant le champ "From" ou d'autres parties de l'en-tête de l'e-mail.
  3. Relais SMTP : Le relais SMTP est une méthode de distribution du courrier électronique qui permet d'envoyer des messages d'un serveur à un autre. Il peut être utilisé pour envoyer des messages électroniques avec une adresse d'expéditeur falsifiée.

Histoire de l'usurpation d'adresse électronique

L'usurpation d'adresse électronique est utilisée depuis les premiers jours du courrier électronique. En 1978, deux ingénieurs de Digital Equipment Corporation ont utilisé cette technique pour envoyer un message au président de la société, en prétendant qu'il provenait du PDG. Dans les années 1990, les spammeurs ont utilisé l'usurpation d'adresse électronique pour envoyer des messages commerciaux non sollicités (UCE). En 2001, le virus Melissa a utilisé l'usurpation d'adresse électronique pour se propager. En 2003, le virus SoBig a utilisé l'usurpation d'adresse électronique pour se propager. En 2007, le ver Storm a utilisé l'usurpation d'adresse électronique pour se propager.

Comment fonctionne l'usurpation d'adresse électronique

L'usurpation d'adresse électronique consiste à falsifier l'adresse de l'expéditeur d'un message électronique. Cela peut se faire en modifiant le champ "From" ou d'autres parties de l'en-tête.

Lorsque l'usurpation d'adresse électronique est utilisée dans le cadre d'une campagne de phishing, le pirate envoie souvent des courriels qui semblent provenir d'une entreprise ou d'un site web légitime. Le courriel contient généralement un lien qui mène à un faux site web conçu pour voler les identifiants de connexion du destinataire.

Exemple d'usurpation d'identité Paypal

En 2018, une vaste campagne d'usurpation d'adresse électronique a ciblé les utilisateurs de PayPal. Les courriels prétendaient provenir de PayPal et indiquaient que le compte du destinataire avait été suspendu. L'e-mail invitait le destinataire à cliquer sur un lien pour réactiver son compte. Cependant, le lien menait à un faux site web conçu pour voler les identifiants de connexion PayPal de l'utilisateur.

Cette campagne a été couronnée de succès parce qu'elle a utilisé l'usurpation d'adresse électronique pour faire croire que les courriels provenaient d'une source légitime. Le courriel utilisait également un langage persuasif pour inciter le destinataire à cliquer sur le lien.

Comment éviter d'être victime d'une attaque de type "Spoofing" ?

Il est important de se méfier des courriels non sollicités. Si un courriel semble suspect, ne cliquez pas sur les liens ou les pièces jointes. Contactez plutôt l'entreprise directement pour confirmer que le courriel est légitime.

Un pirate peut envoyer des messages par programmation à l'aide de scripts de base dans n'importe quel langage qui configure l'adresse de l'expéditeur à une adresse électronique de son choix. Les points de terminaison de l'API de messagerie permettent à l'expéditeur de spécifier l'adresse de l'expéditeur, qu'elle existe ou non. Les serveurs de messagerie sortants ne peuvent pas déterminer si l'adresse de l'expéditeur est légitime.

Les serveurs de messagerie utilisent Protocole de transfert de courrier simple (SMTP) pour envoyer et recevoir des messages. Lorsque vous cliquez sur "Envoyer dans votre client de messagerie, le message est envoyé au serveur SMTP configuré dans votre logiciel client. Le serveur SMTP recherche alors le domaine du destinataire et achemine le message vers le serveur de messagerie de ce domaine. Le serveur de messagerie du destinataire délivre alors le message dans la bonne boîte de réception.

Chaque fois qu'un message électronique passe d'un serveur à un autre sur l'internet, l'adresse IP de chaque serveur est enregistrée et incluse dans les en-têtes du message. Ces en-têtes indiquent l'itinéraire et l'expéditeur réels, mais de nombreuses personnes ne les consultent pas avant d'interagir avec un expéditeur de courrier électronique.

Les trois parties principales d'un courrier électronique sont les suivantes

  • L'adresse de l'expéditeur
  • L'adresse du destinataire
  • Le corps du message

Un pirate peut facilement falsifier l'adresse de l'expéditeur d'un courriel pour faire croire qu'il provient d'une source légitime. Les serveurs de messagerie ne valident pas l'adresse de l'expéditeur, de sorte que le message sera délivré même si l'adresse est fausse. Cela peut être utilisé dans les attaques de phishing pour faire croire que le courriel provient d'une source fiable. L'attaquant peut également utiliser le champ Reply-To pour spécifier où les réponses doivent être envoyées, ce qui peut être une autre adresse électronique qu'il contrôle.

Cet e-mail a un statut FAIL dans le champ Received-SPF, ce qui est le meilleur indicateur qu'il s'agit d'un e-mail usurpé. L'adresse électronique figurant dans le champ "De l'expéditeur" est censée provenir de Bill Gates (b.gates@microsoft.com). Cependant, le courrier électronique a été traité à l'origine par le serveur de courrier électronique email.random-company.nlqui est le premier indice qu'il s'agit d'un cas d'usurpation d'adresse électronique. Le meilleur champ à examiner dans ces en-têtes est la section Received-SPF.

SPF

SPF est un protocole de sécurité qui a été normalisé en 2014. Il fonctionne en conjonction avec DMARC pour stopper les logiciels malveillants et les attaques de phishing.

SPF permet de détecter les courriels usurpés et est devenu courant dans la plupart des services de messagerie pour lutter contre l'hameçonnage. Mais c'est au détenteur du domaine qu'il incombe d'utiliser SPF. Le détenteur d'un domaine doit configurer une entrée DNS TXT spécifiant toutes les adresses IP autorisées à envoyer un courriel au nom du domaine afin d'utiliser SPF.

Lorsque cette entrée DNS est configurée, les serveurs de messagerie des destinataires recherchent l'adresse IP lors de la réception d'un message afin de s'assurer qu'elle correspond aux adresses IP autorisées du domaine de messagerie. En cas de correspondance, le champ Received-SPF affiche l'état PASS. S'il n'y a pas de correspondance, le champ affiche l'état FAIL. Les destinataires doivent vérifier cet état lorsqu'ils reçoivent un courriel contenant des liens, des pièces jointes ou des instructions écrites.

Statistiques sur l'usurpation d'adresse électronique

  • 3,1 milliards de courriels frauduleux sont envoyés chaque jour. Cela représente environ un courriel usurpé pour deux personnes sur la planète. L'étude a également révélé que la majorité de ces courriels usurpés sont envoyés par des acteurs malveillants en Chine et en Russie.
  • L'usurpation d'adresse électronique et le phishing ont eu un impact mondial dont le coût est estimé à 26 milliards de dollars depuis 2016. Aux États-Unis, le FBI a indiqué que plus de 12 milliards de dollars ont été perdus à cause des escroqueries par courriel et de la cybercriminalité pour la seule année 2019.

Une attaque courante qui utilise l'usurpation d'adresse électronique est la compromission de l'adresse électronique de l'entreprise (BEC). Dans ce cas, les cybercriminels usurpent l'identité d'un cadre supérieur d'une organisation afin de demander un virement ou d'accéder à des informations sensibles.

Le nombre d'attaques par usurpation d'adresse électronique ne devrait cesser d'augmenter à l'avenir, les cybercriminels devenant de plus en plus sophistiqués dans leurs méthodes.

Ces dernières années, de nombreux exemples d'escroqueries par hameçonnage de courriers électroniques ont fait parler d'eux. Voici quelques-uns des cas les plus marquants :

  • En 2016, le Comité national démocrate (DNC) a été victime d'une attaque par hameçonnage qui a entraîné la divulgation de plus de 20 000 courriels.
  • En 2017, une attaque de phishing contre le National Health Service (NHS) britannique a conduit à l'annulation de plus de 19 000 rendez-vous.
  • En 2018, Google a révélé avoir été la cible d'une attaque de phishing qui a touché plus d'un million d'utilisateurs.
  • En 2019, la ville de Baltimore a été touchée par une attaque de ransomware provenant d'un courriel d'hameçonnage. L'attaque a paralysé les systèmes informatiques de la ville et a causé plus de 18 millions de dollars de dommages.
  • En 2020, les informations personnelles de plus de 100 millions de personnes ont été exposées lors d'une violation de données au sein de l'agence d'évaluation du crédit Equifax. Cette violation est le résultat d'une attaque par hameçonnage contre l'un des employés d'Equifax.

Comment se protéger contre l'usurpation d'adresse électronique

Vous pouvez prendre quelques mesures pour vous protéger contre les attaques par usurpation d'adresse électronique :

  1. DMARC signifie Domain-based Message Authentication and Reporting (authentification et notification des messages basés sur un domaine). Il s'agit d'une norme d'authentification des courriers électroniques qui peut être utilisée pour empêcher l'usurpation d'adresse électronique. Les expéditeurs d'e-mails peuvent utiliser DMARC pour décrire comment leurs e-mails doivent être traités en cas d'échec de l'authentification.

    Créez un compte Skysnag pour générer votre enregistrement DMARC.

  2. SPF (Secure Sender Policy Framework) est une norme d'authentification des courriels qui peut être utilisée pour empêcher l'usurpation d'adresse électronique. Les expéditeurs de courrier électronique peuvent utiliser SPF pour indiquer quels serveurs peuvent envoyer des courriers électroniques en leur nom.
  3. Utilisez un service de messagerie électronique fiable: Les services de messagerie électronique réputés sont généralement dotés de fonctions anti-spoofing.
  4. Les courriels non sollicités doivent être traités avec prudence, même s'ils semblent provenir d'une source fiable. Si un courriel semble suspect, ne l'ouvrez pas et ne cliquez pas sur les liens ou les pièces jointes.
  5. Ne répondez pas aux courriels qui demandent des informations personnelles ou financières. Ce type d'informations ne sera jamais demandé par courriel par une entreprise légitime.
  6. Maintenez votre logiciel antivirus à jour et scannez régulièrement votre ordinateur. Cela facilitera la détection et la suppression de tout logiciel dangereux installé à la suite de l'ouverture d'un courriel d'hameçonnage.
  7. Sur votre compte de messagerie, activez l'authentification à deux facteurs. Cela ajoutera une couche de sécurité supplémentaire à votre compte et rendra son accès plus difficile pour les fraudeurs.
  8. Tout courriel douteux doit être signalé à votre fournisseur d'accès et à la police. Cela permettra à d'autres personnes d'éviter d'être victimes de la même fraude.
  9. Configurez les mécanismes d'authentification du courrier électronique de votre domaine.

Conclusion

Skysnag automatise DMARC, SPF et DKIM pour vous, vous épargnant ainsi les problèmes et le temps nécessaires à une configuration manuelle. Découvrez des informations, contournez les problèmes de configuration de l'authentification des e-mails, y compris SPF et DKIM, et protégez votre domaine contre l'usurpation d'identité avec DMARC enforcement, le tout de manière autonome avec Skysnag. Commencez avec Skysnag et inscrivez-vous en utilisant ce lien pour un essai gratuit aujourd'hui et maintenez un nom de domaine sain.

Vérifiez la conformité de votre domaine à la norme DMARC

Appliquer DMARC, SPF et DKIM en quelques jours - et non en quelques mois

Skysnag aide les ingénieurs occupés à appliquer DMARC, répond à toute mauvaise configuration pour SPF ou DKIM, ce qui augmente la délivrabilité des e-mails, et élimine l'usurpation d'identité et l'usurpation d'identité.