Aujourd’hui, nous partageons avec Steve Havert, un professionnel expérimenté de l’informatique, d’autres informations précieuses sur la sécurité de la messagerie. Dans cet article, Steve s’intéresse à l’usurpation d’adresse électronique, l’outil souvent utilisé par les spammeurs pour diffuser des campagnes de phishing.
Depuis longtemps, l’usurpation d’adresse électronique (email spoofing) a été utilisée comme un moyen efficace pour les spammeurs d’atteindre leurs cibles. Bien qu’il existe des méthodes pour identifier une adresse d’email usurpée, aucune d’entre elles n’est parfaite. Les emails falsifiés risquent d’être considérés comme des spams.
Un email falsifié est simplement un email dont l’adresse de l’expéditeur a été falsifiée. Lorsqu’un destinataire reçoit le message, il croit qu’il vient d’une source connue et il est plus susceptible de l’ouvrir et de cliquer sur un lien dans le message ou d’ouvrir une pièce jointe.
Grâce à cette technique, les cybercriminels peuvent atteindre un certain nombre d’objectifs, notamment le phishing, l’installation de malwares, l’accès à des données confidentielles, etc. La dernière attaque la plus importante est « Locky ». Elle se propage le plus souvent par le biais des spams, dont la plupart sont déguisés en factures et utilisent souvent une adresse électronique usurpée.
La première fois que j’ai trouvé une adresse d’email usurpée, je dirigeais ma propre entreprise de conseil en IT qui offrait des services d’externalisation des IT aux petites entreprises. À l’époque, les plus grandes menaces provenant de l’ouverture d’emails malveillants étaient l’infection par des virus informatiques.
Mon client avait ouvert une pièce jointe à un email qu’il avait reçu d’un associé (du moins, c’est ce qu’il pensait) et avait libéré un virus. Le virus n’avait pas causé beaucoup de dommages, mais il avait transformé son ordinateur en spambot.
Qu’est-ce que le spoofing ?
La plupart des e-mails frauduleux peuvent facilement être détectés et il suffit de les supprimer pour y remédier. Cependant, certaines variétés d’e-mails de spams peuvent représenter des risques pour la sécurité et causer de graves problèmes. Par exemple, un e-mail malveillant peut prétendre provenir d’un site d’achat très connu et demander à son destinataire de fournir des données sensibles, comme son numéro de carte de crédit ou son mot de passe.
Mon client a soupçonné un problème lorsqu’il a commencé à recevoir une grande quantité de rapports non livrables (« Non-Deliverable Reports ») dans un court laps de temps. Son carnet d’adresses électroniques contenait un certain nombre d’adresses électroniques invalides et les spams générés par son ordinateur étaient renvoyés par les serveurs des adresses invalides. Il était surpris que son associé ait envoyé un email infecté.
Il a communiqué avec l’associé pour l’avertir que l’ordinateur de son associé était infecté. Pourtant, lorsque ce dernier a analysé plusieurs virus, il n’a rien trouvé.
Au moment où mon client m’avait appelé, il était déconcerté. Dès que j’ai regardé l’en-tête de l’email offensant, j’ai réalisé ce qui s’était passé. Je lui ai expliqué le concept de l’usurpation d’adresse électronique. Il ne croyait pas que quelqu’un ait pu falsifier l’adresse électronique de l’expéditeur.
Comment l’usurpation d’identité par email a évolué et est devenue plus risquée ?
Je pense parfois à ces moments comme au bon vieux temps. Les types d’attaques que mes clients ont subies avaient tendance à causer des dommages minimes.
La plupart du temps, ils commençaient à recevoir des popups ennuyeux ou leur ordinateur commençait à ralentir quand un moteur de spambot commençait à envoyer des emails à tout le monde dans leur carnet d’adresses, ou encore lorsqu’un programme en arrière-plan téléchargeait l’historique de navigation vers un serveur situé quelque part.
Les raisons de l’usurpation d’identité par e-mail ont évolué. Outre le phishing, les pirates d’aujourd’hui utilisent l’usurpation d’adresse électronique pour les principales raisons suivantes :
- Cacher leur véritable identité lorsqu’ils envoient des spams à leurs cibles ;
- Contourner les filtres antispam ainsi que les listes de blocage. Pour minimiser cette menace, les utilisateurs peuvent bloquer les adresses de protocole Internet (IP) et les fournisseurs d’accès Internet (FAI) ;
- Se faire passer pour une personne fiable, comme un collègue ou un collaborateur, pour soutirer des informations confidentielles ;
- Se faire passer pour une organisation de confiance, telle qu’une société financière pour obtenir+ l’accès aux données de cartes de crédit ;
- Commettre un vol d’identité. Pour ce faire, les escrocs peuvent se passer pour une victime ciblée et demander des informations personnelles identifiables ;
- Nuire à la réputation d’une personne ou d’une organisation ;
- Diffuser des malwares cachés dans des pièces jointes ;
- Mener une attaque de type « man-in-the-middle » (MitM) pour pouvoir s’introduire entre la communication entre deux personnes ou deux dispositifs pour s’emparer des données sensibles de leurs victimes ;
- Obtenir l’accès à des informations critiques collectées par des fournisseurs tiers.
Quelle est la différence entre le phishing, l’usurpation d’identité et l’usurpation de domaine ?
Les pirates informatiques utilisent l’usurpation d’identité pour mener une attaque de phishing. Le phishing, quant à lui, est une méthode qui leur permet d’obtenir des données en falsifiant une adresse électronique et en envoyant des e-mails qui semblent provenir d’une source de confiance. L’objectif étant d’inciter les victimes à cliquer sur un lien ou à télécharger une pièce jointe malveillante conçue pour installer un malware sur leur système.
Le spoofing est aussi lié à l’usurpation d’identité de domaine. Le principe consiste à utiliser une adresse électronique similaire à une autre adresse e-mail. Lors d’une usurpation de domaine, un e-mail peut provenir d’une adresse telle que customerservice@apple.com. Pour duper les utilisateurs finaux, les pirates peuvent utiliser l’adresse du faux expéditeur qui l’air authentique, comme customerservice@apple.co.
Une catastrophe coûteuse
Parfois, il y avait un désastre coûteux, par exemple lorsque l’ordinateur d’un client était infecté par le virus ILOVEYOU (attaché à un email usurpé). Ce virus écrasait plusieurs centaines de fichiers avant que le client ne se rende compte qu’il y avait un problème.
L’une des choses les plus étranges s’est passé le 5 mai 2000. La plupart des téléphones de professionnels de la sécurité se sont mis à sonner. Ces appels provenaient de personnes qui voulaient désespérément de l’aide. Elles signalaient un virus qui faisait rage dans leurs systèmes qui détruisaient et corrompaient leurs données au passage. La plus grande question pour tout le monde à ce moment était de savoir comment une telle chose pourrait arriver à quelqu’un.
En fait, la réponse a été la même pour tous. L’un de leurs employés avait reçu un e-mail dont l’objet était « ILOVEYOU ». Le message était « veuillez vérifier la LOVELETTER ci-jointe venant de moi ». Lors de cette arnaque, la pièce jointe semblait être un fichier texte. Cependant, il s’agissait d’un programme exécutable qui se faisait passer pour un fichier texte. Très rapidement, le virus a pris le contrôle. Il téléchargeait des copies de lui-même aux contacts du carnet d’adresses électroniques de la victime. Les destinataires pensaient qu’il s’agissait d’une blague ou d’une déclaration d’amour sérieuse et ont ouvert la pièce jointe. À chaque clic, le virus continuait à se propager.
ILOVEYOU aurait infecté des dizaines de millions d’ordinateurs dans le monde et causé des milliards d’euros de dommages. Une fois qu’une machine était infectée, il analysait le carnet d’adresses de Windows et envoyait ensuite des copies de lui-même à chaque contact de la liste. Il utilisait à son avantage le manque de sécurité de la messagerie électronique et a pu se faire passer pour une pièce jointe légitime envoyée par une connaissance connue. C’est grâce à cette simple tactique d’ingénierie sociale que le virus a réussi à se propager rapidement et efficacement dans le monde entier.
Si ce dernier avait sauvegardé son ordinateur sur une base régulière comme je lui avais recommandé, il n’y aurait pas eu de désastre. Mais comme le dit le proverbe : « On peut emmener le cheval à l’abreuvoir, mais on ne peut pas le forcer à boire. »
Aucune entreprise n’est à l’abri de la perte de données
Les risques liés aux emails usurpés et malveillants sont de plus en plus nombreux aujourd’hui et les individus concernés peuvent perdre leur sécurité financière en raison du vol d’identité.
Les bases de données des organisations peuvent contenir des numéros de sécurité sociale, des informations de leur carte de crédit, des dossiers médicaux, des numéros de comptes bancaires, etc.
Lorsque ces informations sont exploitées par des cybercriminels, cela peut entrainer des milliards de dollars de dommages et intérêts, non seulement pour l’organisation, mais aussi pour les personnes concernées.
Les petites entreprises victimes des emails malveillants peuvent ainsi subir d’importants dommages financiers.
J’ai eu un client qui a perdu plusieurs centaines de fichiers à cause d’un virus qui s’est manifesté sous la forme d’une pièce jointe usurpée à un email. Il s’agissait de fichiers actualisés qui étaient essentiels à un projet sur lequel l’entreprise travaillait, mais qui n’avaient pas encore été sauvegardés. Il n’avait pas d’autre choix que de recréer les documents à partir de zéro ou à partir des versions plus anciennes, ce qui lui coûtait plusieurs milliers de dollars en heures supplémentaires.
Cela dit, aucune entreprise n’est donc à l’abri de la perte de données, et sachez que les petites entreprises sont souvent celles qui souffrent le plus.
Comment se protéger contre le spoofing ?
Malgré le fait qu’il soit relativement facile de se protéger contre les emails frauduleux, c’est toujours une technique courante utilisée par les spammeurs et les cybercriminels. Et sachez qu’il faut un certain effort, et donc de l’argent, pour lutter contre l’usurpation d’identité par email. C’est probablement la raison pour laquelle de nombreuses petites entreprises ne prennent pas les précautions nécessaires.
Sur ce point, voici dix conseils que je donne souvent à mes clients :
1. Déployer une passerelle de sécurité du courrier électronique
Les passerelles de sécurité du courrier électronique protègent les entreprises en bloquant les e-mails entrants et sortants qui présentent des éléments suspects ou ne respectent pas les politiques de sécurité mises en place par l’entreprise. Certaines passerelles offrent des fonctions supplémentaires, mais toutes peuvent détecter la plupart des malwares, des spams et des attaques de phishing.
2. Utiliser un logiciel antimalware
Les logiciels peuvent identifier et bloquer les sites web suspects ; détecter les attaques par usurpation d’identité et arrêter les e-mails frauduleux avant qu’ils n’atteignent les boîtes de réception des utilisateurs finaux.
3. Utiliser le chiffrement pour protéger les e-mails
Un certificat de signature d’e-mail chiffre les e-mails, permettant uniquement au destinataire prévu d’accéder au contenu. Dans le cas d’un chiffrement asymétrique, une clé publique chiffre l’e-mail tandis qu’une clé privée appartenant au destinataire déchiffre le message. Une signature numérique supplémentaire peut garantir au destinataire que l’expéditeur est une source valide. Dans les environnements qui ne disposent pas d’un système de chiffrement général, les utilisateurs peuvent apprendre à chiffrer les pièces jointes des messages électroniques.
4. Utiliser des protocoles de sécurité du courrier électronique
Les protocoles de sécurité de la messagerie électronique basés sur l’infrastructure peuvent réduire les menaces et le spam en utilisant l’authentification du domaine. En plus des protocoles SMTP et SPF, les entreprises peuvent utiliser DomainKeys Identified Mail (DKIM) pour fournir une autre couche de sécurité avec une signature numérique. Le protocole Domain-based Message Authentication, Reporting and Conformance (DMARC) peut également être mis en œuvre pour définir les mesures à prendre lorsque les messages ne répondent pas aux critères DKIM et SPF.
5. Utiliser la recherche d’adresse IP inversée pour authentifier les expéditeurs
Une recherche d’adresse IP inversée confirme que l’expéditeur apparent est le vrai et vérifie la source de l’e-mail en identifiant le nom de domaine associé à l’adresse IP. Les propriétaires de sites web peuvent également envisager de publier un enregistrement du système de nom de domaine (DNS) qui indique qui peut envoyer des messages électroniques au nom de leur domaine. Les e-mails sont alors inspectés avant que leurs contenus ne soient téléchargés et peuvent être rejetés avant de causer un quelconque dommage.
7. Faites attention aux éventuelles adresses électroniques usurpées
Les adresses électroniques avec lesquelles les utilisateurs communiquent sont souvent prévisibles et familières. Les personnes peuvent apprendre à se méfier des adresses électroniques inconnues ou étranges et à vérifier l’origine d’un e-mail avant d’y répondre. Les escrocs utilisent souvent les mêmes tactiques plusieurs fois. Les utilisateurs doivent donc rester vigilants.
8. Évitez d’ouvrir les pièces jointes étranges ou de cliquer sur des liens inconnus
Les utilisateurs doivent se tenir à l’écart des pièces jointes et des liens suspects. La meilleure pratique consiste à examiner chaque élément d’un e-mail, en recherchant les signes révélateurs (fautes d’orthographe, extensions de fichiers inconnues, etc.,) avant d’ouvrir un lien ou une pièce jointe.
9. Surveiller les e-mails
Désignez quelqu’un — si ce n’est pas un employé, engagez un partenaire externe IT — pour surveiller et administrer le système d’email, y compris le filtre antispam. Ce n’est pas une tâche triviale, car la fonctionnalité de messagerie électronique change, les nouvelles menaces évoluent constamment et les adresses électroniques évoluent fréquemment en raison des changements de personnel.
Les adresses électroniques avec lesquelles les utilisateurs communiquent sont souvent prévisibles et familières. Les personnes peuvent apprendre à se méfier des adresses électroniques inconnues ou étranges et à vérifier l’origine d’un e-mail avant d’y répondre. Les pirates utilisent souvent les mêmes tactiques plusieurs fois, les utilisateurs finaux doivent donc rester vigilants.
10. Former les employés à la cyberconscience
En plus des mesures antispoofing logicielles, les entreprises doivent encourager la prudence des employés, en leur enseignant la cybersécurité et la manière de reconnaître les éléments suspects et de se protéger. De simples formations peuvent fournir aux employés des exemples d’usurpation d’adresse électronique et leur donner la capacité de reconnaître et de gérer les tactiques d’usurpation, ainsi que les procédures à suivre lorsqu’une tentative d’usurpation est découverte. La formation doit être continue afin que le matériel et les méthodes puissent être mis à jour à mesure que de nouvelles menaces apparaissent.
Que pouvez-vous dire pour conclure ?
Sensibilisez vos employés à l’usurpation d’adresse électronique et aux autres techniques utilisées par les spammeurs et les cybercriminels. Formez-les sur ce qu’il faut rechercher lors de l’analyse de leur boîte de réception afin qu’ils puissent rapidement identifier les emails malveillants potentiels. Donnez-leur une ressource qui peut les aider à décider lorsqu’ils ne sont pas sûrs qu’un email soit malveillant.
Le courrier électronique est un outil de communication professionnelle indispensable et extrêmement utile. Malheureusement, comme il est tellement utilisé, il constitue une cible facile pour les cybercriminels.
Pour un utilisateur lambda de courrier électronique, il est difficile de repérer un email malveillant parmi les centaines ou les milliers d’emails qui arrivent dans sa boîte de réception. C’est pourquoi il est devenu si important pour les organisations d’allouer les ressources et les fonds nécessaires pour protéger leur personnel et leur organisation contre toutes les menaces provenant d’un message qui semble provenir d’une source connue.