L’usurpation d’identité par courriel et le hameçonnage ont augmenté de 220 % en 2021. Avec des chiffres aussi élevés, les cybercriminels profitent des opportunités pour usurper des emails et hameçonner des informations et des identifiants précieux. En conséquence, le coût moyen d’une violation de données en 2021 était de 4,24 millions de dollars !

Types d’usurpation d’identité

Il existe de nombreuses façons pour les cybercriminels de tenter de dérober vos informations personnelles. Voici 8 types d’usurpation d’identité :

Usurpation d’adresse e-mail

Lorsqu'un expéditeur malveillant falsifie des en-têtes d'e-mail pour commettre une fraude par e-mail en falsifiant l'adresse e-mail de l'expéditeur. L'usurpation d'adresse électronique se transforme en attaque par hameçonnage lorsque le pirate intègre à l'e-mail usurpé des liens malveillants ou une pièce jointe qui peut installer un logiciel malveillant sur l'ordinateur du destinataire.

Usurpation de l’identité de l’appelant

Lorsqu'un appelant tente de dissimuler son identité en falsifiant le numéro de téléphone qui s'affiche sur votre écran d'identification de l'appelant pendant les appels téléphoniques. Il utilise ces appels de spam pour essayer de vous inciter à donner des informations confidentielles.

Usurpation de domaine

Lorsqu'un pirate informatique semble utiliser le domaine d'une entreprise pour se faire passer pour l'entreprise ou l'un de ses employés.

Usurpation d’adresse IP

Lorsqu'un pirate modifie l'adresse source de l'en-tête du paquet pour faire croire au système informatique récepteur que le message provient d'une source fiable et non d'une adresse IP usurpée.

Usurpation de DNS

Lorsqu'un escroc utilise des enregistrements DNS modifiés pour rediriger le trafic en ligne vers un faux site web qui semble identique au vrai site.

Usurpation de GPS

Lorsque quelqu'un diffuse de faux signaux à une antenne réceptrice via un émetteur radio pour contrecarrer un signal satellite GPS authentique.

Usurpation du protocole de résolution d’adresse (ARP)

Lorsqu'un attaquant tente de contourner les contrôles d'accès au réseau afin de modifier la relation entre les adresses MAC (Media Access Control) et les adresses IP (Internet Protocol). Le résultat est qu'il apparaît comme quelqu'un d'autre à tous les autres appareils de votre réseau, ce qui lui permet d'accéder à tout le trafic destiné à l'utilisateur réel.

Usurpation de site web

Lorsque les cybercriminels développent un site web qui ressemble à une marque connue, ainsi qu'un domaine presque identique à l'adresse web d'une entreprise, ils sont en mesure de tromper la majorité des internautes et de les inciter à visiter leurs sites usurpés.

Il est difficile de surestimer le besoin de cyber-sécurité en 2022. Alors que nous passons à une société numérisée, la question de la sécurité pour chaque entreprise est devenue encore plus importante et, en même temps, plus difficile à réaliser. La sécurité d’un courriel est souvent négligée, ce qui peut avoir des conséquences terribles.

C’est une grave erreur, et un avantage énorme pour les attaquants, de croire que seules les grandes entreprises sont visées par l’usurpation d’identité et le phishing. 42 % des organisations impliquées dans des cyberattaques étaient des petites et moyennes entreprises.

Les cyberattaques peuvent prendre toutes les formes et toutes les tailles, alors pourquoi exactement le courrier électronique ? Parce que 94 % de tous les logiciels malveillants parviennent à un ordinateur par courrier électronique.

Pour mieux comprendre l’usurpation d’adresse électronique, voyons comment un cybercriminel pourrait essayer d’usurper (sans succès) GlockApps.

Qu’est-ce que l’usurpation d’adresse e-mail ?

Les attaques par usurpation d’adresse e-mail se produisent lorsqu’un cybercriminel tente de commettre une fraude par e-mail en usurpant l’identité d’une autre personne par e-mail. Il utilise ensuite cette fausse adresse d’expéditeur pour tenter de convaincre un destinataire d’effectuer une action afin d’avoir accès à ses informations personnelles et privées. En général, les usurpateurs se font passer pour une personne ou une organisation en qui le destinataire aurait confiance.

Pour réaliser une attaque par usurpation d’identité, l’expéditeur malveillant doit compromettre le protocole SMTP (Simple Mail Transfer Protocol), ce qui n’est pas difficile car il a été créé sans aucune précaution de sécurité. En général, les usurpateurs tirent parti des composants de l’en-tête de l’e-mail : le champ « From », « Return-path » et « Reply-to ».

Exemple d’usurpation d’adresse électronique

Nous avons essayé de reproduire comment un spammeur aurait pu envoyer un faux message électronique proposant une augmentation monétaire à GlockApps en échange d’informations sensibles. Dans Gmail, par exemple, ce faux e-mail n’apparaîtrait probablement pas dans la boîte de réception et serait marqué comme un spam probable.

Email usurpé marqué comme spam dans Gmail

Si vous suspectez un e-mail suspect, allez dans la section à trois points verticaux (Plus) à droite de l’en-tête de l’e-mail -> cliquez sur Afficher l’original, pour voir les détails des messages usurpés qui sont invisibles à première vue. Vous y verrez tous les détails relatifs au message, notamment : l’ID du message, l’adresse « From », ainsi que les résultats de la vérification SPF et DMARC.
exemple d’en-tête de message complet dans gmail

Comme vous pouvez le voir dans le rapport du message original, SPF indique « softfail » et l’authentification DMARC – « fail ». Remarquez également que l’ID du message indique que le message envoyé par « Alex » a en fait été envoyé par emkei.cz. C’est une indication claire que l’email n’est pas authentique.

L’erreur humaine joue un rôle important dans les courriels usurpés, car peu de destinataires vérifient la légitimité du courriel au-delà des en-têtes. En particulier, si le courriel semble digne de confiance, s’il semble urgent ou s’il provient d’une source apparemment légitime (quelqu’un qu’ils connaissent).

Que s’est-il donc passé lorsqu’un agent malveillant a tenté d’usurper notre domaine ?

Tout d’abord, nous avons reçu des alertes de l’analyseur DMARC.
Capture d’écran avec les alertes concernant la baisse du taux d’authentification et de conformité
Les alertes concernant l’authentification et le taux de conformité ont chuté de manière significative, prouvant qu’il y avait un problème dans notre infrastructure de messagerie.

Comme vous pouvez le voir, les taux d’authentification SPF, DKIM et de conformité ont tous diminué de manière significative en une journée (d’environ 90 % à 10 %). Nous avons donc consulté notre tableau de bord de rapports DMARC et voici ce que nous avons vu.

Notre tableau de bord de rapports DMARC ressemblait à deux îles dans une eau verte. Le vert représente le trafic habituel de notre domaine, tandis que les îles – vous l’avez deviné – sont les attaques d’usurpation.
Comment se protéger des attaques par usurpation d’identité ?

Il existe aujourd’hui trois protocoles de sécurité du courrier électronique couramment utilisés pour vous protéger des escrocs qui envoient des messages électroniques frauduleux : SPF, DKIM et DMARC.

SPF

Le Sender Policy Framework est le plus ancien protocole de sécurité du courrier électronique. Il s’agit d’un simple enregistrement TXT dans votre DNS (Domain Name System) qui contient toutes les adresses IP et les adresses d’expéditeur qui sont autorisées à envoyer des e-mails en votre nom. Par conséquent, seules l’adresse de l’expéditeur et les adresses IP stockées dans votre DNS permettront à l’authentification SPF de passer.

Donc, idéalement, si un message échoue à l’authentification SPF, cela pourrait signifier que quelqu’un a essayé d’utiliser une adresse d’expéditeur frauduleuse pour abuser de votre domaine et envoyer des messages non sollicités en se faisant passer pour vous. Bien que SPF ait ses inconvénients et que l’échec puisse également signifier que votre enregistrement est mal configuré, il s’agit toujours d’un drapeau rouge.

DKIM

DomainKeys Identified Mail est une norme d’authentification du courrier électronique qui utilise le cryptage à clé publique pour authentifier les messages électroniques. En d’autres termes, elle signe vos e-mails pour s’assurer qu’ils n’ont pas été modifiés au cours du processus d’envoi de l’expéditeur au destinataire.

DMARC

Le protocole DMARC (Domain-Based Message Authentication, Reporting, and Conformance) est le protocole utilisé pour une protection maximale, car il s’ajoute aux protocoles précédents pour renforcer le niveau de sécurité de vos e-mails. DMARC vous fournit des rapports qui vous permettent de voir facilement ce qui se passe avec le trafic de courrier électronique sur votre domaine. Vous bénéficiez d’une visibilité totale sur les personnes qui envoient des e-mails en votre nom, et vous pouvez choisir une politique qui s’appliquera aux e-mails suspects.

Vous pouvez choisir parmi les politiques DMARC suivantes :

  • Aucun – rien ne se passera
  • Quarantaine : les courriels suspects sont envoyés dans les spams.
  • Rejeter – le courrier non sollicité est bloqué.

Pour résumer, SPF détermine qui est autorisé à envoyer des messages en votre nom, DKIM veille à ce que les messages ne soient pas modifiés au cours du processus et DMARC harmonise ces deux éléments, vous permettant de choisir ce que vous souhaitez faire des messages suspects et vous fournissant des rapports et une visibilité.

Grâce à ces trois mesures de sécurité qui vous aident à lutter contre l’usurpation d’identité par courriel, les escrocs auront plus de mal à diffuser des logiciels malveillants et à mener des violations de données.

Dans cette attaque particulière, l’évaluation SPF a échoué parce que l’attaquant utilisait une fausse adresse électronique qui ne correspondait pas au domaine « Header From ». L’adresse IP ne figurait pas non plus dans l’enregistrement SPF. Vous voyez donc que ces protocoles de sécurité fonctionnent parfaitement ensemble.

Maintenant, si vous avez mis en œuvre DMARC avec la politique de rejet, la bonne nouvelle est que vous n’aurez pas besoin de faire quoi que ce soit contre l’attaque puisqu’elle ne passe pas par votre serveur de messagerie et que vos clients ne reçoivent pas ces e-mails usurpés.

N’utilisez pas la politique DMARC « None » pour prévenir la compromission des e-mails professionnels

De nombreuses personnes commettent l’erreur de croire qu’elles peuvent bloquer les spams et les e-mails de phishing en mettant en œuvre la politique DMARC « none ». En réalité, cette politique n’est nécessaire qu’aux premiers stades de la mise en œuvre, pour gagner en visibilité et s’assurer que vous ne bloquez aucune source légitime. Mais que se passe-t-il en cas d’attaque par usurpation d’identité si vous avez une politique « none » ?

DMARC empêche l’usurpation d’identité

Le tableau de bord DMARC Analyzer de GlockApps montre la politique DMARC et l’échec de l’évaluation de SPF et DKIM.

Dans la capture d’écran, bien que DKIM ait échoué à l’authentification, les messages sortants non sollicités n’ont pas été mis en quarantaine ou bloqués pour être envoyés dans les boîtes de réception des utilisateurs destinataires, car la politique DMARC était définie sur « none ».

Analyseur de rapports DMARC

Tout d’abord, nous vous recommandons d’utiliser des outils qui reçoivent les rapports DMARC et d’avoir une visibilité totale sur le trafic de votre domaine ou, au moins, de créer une adresse électronique privée dédiée à la réception des rapports. Mais n’oubliez pas que ces rapports sont au format XML, créé pour être lu par des machines, pas par des humains. C’est pourquoi les outils tiers, comme GlockApps DMARC Analyzer, sont tellement mieux. En plus de stocker des milliers de rapports, ils les traduisent dans un format complet et convivial et vous envoient des notifications si quelque chose ne va pas.

Commencez à utiliser notre DMARC Analyzer dès maintenant avec 10 000 messages DMARC gratuits par mois et un nombre illimité de domaines. Nous vous aiderons grâce à notre équipe d’assistance, nos guides et nos analyses approfondies.

Courriels rebondis

Les rapports DMARC commencent à arriver dans les 24 heures suivant l’envoi d’un message électronique. Mais existe-t-il un moyen de savoir immédiatement que vous êtes victime d’une usurpation d’identité ? Oui, il vous suffit de suivre vos messages rebondis. Lorsqu’un message n’est pas remis, il rebondit généralement et vous recevez un courriel contenant une erreur et, parfois, la raison. Par exemple :

Message d’erreur de Gmail affichant un exemple de message d’usurpation rebondi

Si vous suivez les meilleures pratiques en matière de listes d’e-mails, n’achetez pas de listes d’e-mails susceptibles de contenir des pièges à spam. Un pic d’e-mails rebondis devrait être un signal d’alarme indiquant que vous pourriez être victime d’une usurpation d’identité à ce moment-là. Les drapeaux rouges peuvent également être identifiés par vos destinataires (s’ils commencent à recevoir des e-mails étranges ou suspects de votre part).
Google Postmaster Tools

Google vous offre la possibilité de consulter les rapports de spam, les erreurs de livraison, les boucles de rétroaction, la réputation de l’expéditeur, etc. Si vous êtes un expéditeur légitime et que vous suivez les meilleures pratiques en matière d’e-mail, votre réputation d’expéditeur devrait être élevée. Lorsqu’un e-mail est usurpé, la réputation de l’expéditeur se dégrade très rapidement. Vous pouvez vous retrouver avec une faible réputation de spammeur et une confiance nulle des destinataires en quelques jours.

Google Postmaster affiche également vos erreurs de livraison, ce qui vous permet de constater des pics de rebond des e-mails.

Points à retenir de l’Email Spoofing

La cybercriminalité en 2022 ne doit pas être prise à la légère. Comme tout ce qui concerne l’usurpation d’e-mails monte en flèche, assurez-vous de vous protéger, vous et vos biens, contre le vol d’identité. Le courrier électronique doit être protégé comme n’importe quel autre réseau, car une grande quantité de logiciels malveillants pénètrent dans les ordinateurs par le biais du courrier électronique.

L’usurpation d’adresse électronique est l’une des cyberattaques les plus courantes. Cependant, si vous avez été victime d’un autre type d’usurpation d’identité, notamment l’usurpation de l’identité de l’appelant, l’usurpation de l’adresse IP, l’usurpation du site Web, etc.

La meilleure façon d’empêcher l’usurpation d’identité par courriel est de vous protéger en mettant en place une protection à trois niveaux : SPF, DKIM et DMARC. Bien qu’il ne s’agisse pas d’une solution miracle contre les cyber-attaques, c’est la meilleure façon de protéger votre courrier électronique contre l’usurpation d’identité de nos jours.