L’usurpation d’adresse email est la création de compte de messagerie avec une fausse adresse d’expéditeur afin de tromper le destinataire et d’extorquer de l’argent ou de voler des informations sensibles.
Si votre organisation utilise un domaine enregistré pour son propre compte de messagerie électronique, il y a de fortes chances que vous ayez déjà vu certains de ces messages dans votre boîte de réception.
Il est également probable que la plupart, sinon la totalité n’étaient qu’une escroquerie de phishing.
Usurpation d’adresse email ou piratage ?
La crainte initiale dans ces circonstances est que le compte de l’expéditeur ait été piraté. Si votre propre compte est compromis, un attaquant pourrait l’utiliser pour lancer des attaques sur les médias sociaux contre vos collègues et vos contacts.
Au minimum, il pourrait être utilisé comme un compte de spamming, ce qui affecterait négativement votre réputation en matière de messagerie électronique.
La bonne nouvelle est que les comptes de messagerie sont rarement piratés. La plupart de ces cas sont des usurpations d’adresses emails.
L’usurpation d’adresse email consiste à faire croire que le message électronique provient d’un expéditeur en qui vous avez confiance. En réalité, l’email provient d’une source externe qui pourrait se trouver à l’autre bout du monde.
Malheureusement, il est désormais facile d’usurper une adresse email.
Tout serveur d’emails peut être configuré pour envoyer des messages à partir d’un domaine donné par une personne malveillante qui a les connaissances requises.
Même si celle-ci n’a pas l’équipement ou le savoir-faire nécessaire, il existe des sites web qui vous permettent d’envoyer des emails ponctuels en utilisant l’adresse électronique de votre choix.
Tout cela est possible grâce au protocole d’envoi qui rend l’usurpation d’identité possible de par sa conception même. Cela est dû au fait que la sécurité n’était pas intégrée au protocole d’envoi des emails lors de sa création.
Vérification de l’origine d’un courrier électronique
Une des règles que vous devez adopter aujourd’hui lorsque vous recevez des emails qui vous demandent de « faire quelque chose » est de ne pas se fier uniquement au nom des expéditeurs.
Par exemple, le nom de l’expéditeur peut être PayPal mais l’adresse électronique est paypal@eydh12.com.
Si un email provient d’une source fiable au sein de votre entreprise, un coup d’œil rapide à la signature du message peut indiquer clairement qu’il ne provient pas de cette personne.
Les signatures électroniques usurpées contiennent souvent de faux numéros de téléphone qui n’ont aucun rapport avec votre entreprise ou qui ne portent pas le logo obligatoire de l’entreprise.
Vous pouvez également cliquer sur le bouton de transfert qui affichera alors les champs « À » et « De » du message original dans son contenu.
Bien que la vérification de l’adresse électronique correcte vous permet souvent de discerner correctement si un email a été usurpé, elle n’est pas infaillible.
La seule façon de savoir avec certitude d’où provient un email est d’examiner son en-tête. Chaque application de messagerie électronique à une façon différente d’accéder à l’en-tête.
- Pour Office 365, ouvrez l’email et cliquez sur le menu « contenu de l’email » et sélectionnez « Afficher les détails du message ».
- Pour Gmail, ouvrez le email et cliquez sur les trois points verticaux à côté de la flèche de réponse et sélectionnez « Afficher l’original ».
- Pour Outlook, ouvrez l’email et allez dans Fichier, Propriétés et visualisez l’en-tête de l’email.
L’en-tête du courrier électronique contient beaucoup d’informations. Lorsque vous lisez l’en-tête d’un email, les données sont dans l’ordre chronologique inverse.
Cela signifie que les informations contenues dans la partie supérieure sont les plus récentes.
Pour pouvoir suivre l’email de l’expéditeur au destinataire, vous devez commencer par le bas. Deux champs très importants sont contenus dans l’en-tête complet.
Received (reçu) :
Cette partie de l’en-tête énumère tous les serveurs et ordinateurs qui ont été utilisés pour envoyer l’email. Comme nous partons du bas vers le haut, la dernière ligne « Received : » est l’endroit d’où provient l’email.
Ce domaine de messagerie doit correspondre à celui qui est affiché dans l’email.
Received-SPF :
Le Sender Policy Framework (SPF) est utilisé par les organisations pour spécifier quels serveurs sont autorisés à envoyer des emails en leur nom.
Le message envoyé par les serveurs autorisés apparaîtra comme « Pass » dans le champ Received-SPF, ce qui est un indicateur très fort de la légitimité du courrier électronique.
Si les résultats indiquent « Fail » ou « Softfail », cela signifie que l’email peut être usurpé.
Gardez à l’esprit que ce n’est pas vrai dans 100 % des cas, car certains domaines ne tiennent pas leurs enregistrements SPF à jour, ce qui entraîne des échecs de validation.
Champs optionnels :
Pour les organisations qui choisissent d’utiliser les protocoles DKIM et DMARC, l’en-tête comporte un champ supplémentaire pour donner des indices.
Authentification-Résultats :
Ce champ vous permettra de savoir si l’email a passé l’authentification DKIM ou DMARC. Alors que le SPF peut être contourné par l’usurpation d’identité, les protocoles DKIM et DMARC sont beaucoup plus fiables.
Les filtres d’emails utilisant les dernières fonctionnalités de sécurité antimalware sont le principal moyen dont disposent les administrateurs pour bloquer les attaques cybercriminelles.
En effet, ceux-ci vont directement à la racine du problème (les emails de phishing).
Le blocage des emails de phishing empêche les utilisateurs de cliquer sur des liens malveillants.
L’administrateur n’a donc plus besoin de limiter les fonctionnalités de partage de fichiers. Au contraire, il peut bloquer les emails malveillants avant qu’ils n’atteignent la boîte de réception de vos employés.
Qu’est-ce que la DMARC (Domain-based Message Authentication) ?
Le protocole DMARC (Domain-based Message Authentication, Reporting, and Conformance) peut bloquer les emails de phishing en fonction des paramètres de l’administrateur et d’un ensemble de règles qui exploitent le DNS et le chiffrement à clé publique/privée.
Il intègre le Sender Policy Framework (SPF), qui exige une entrée DNS de la part de l’organisation afin que les serveurs de messagerie des destinataires puissent identifier si l’adresse IP de l’expéditeur est autorisée à envoyer un email au nom du propriétaire du domaine.
Le protocole DKIM (DomainKeys Identified Mail) est également intégré dans les règles de la DMARC. DKIM ajoute une signature de chiffrement à clé publique qui ne peut être déchiffrée que par le serveur de messagerie électronique de l’organisation qui contient la clé privée.
En ajoutant une signature au message électronique, l’organisation sait que seuls les messages chiffrés avec sa clé publique sont destinés au destinataire.
Avec le SPF, ce cadre de sécurité bloque les messages usurpés qui pourraient donner l’impression de provenir d’un expéditeur de confiance.
Les attaques OAuth sont courantes, et il suffit d’une erreur d’un utilisateur pour qu’un attaquant puisse avoir accès à son compte de messagerie via le cloud.
Avec le DMARC et les bons filtres d’emails, une organisation peut empêcher un attaquant d’atteindre la boîte de réception d’un utilisateur ciblé.
Aucune entreprise n’est à l’abri d’une usurpation d’adresse email
Les risques liés aux emails usurpés et malveillants sont beaucoup plus importants aujourd’hui. En fait, de nombreuses victimes peuvent perdre leur sécurité financière en raison d’un vol d’identité.
Les bases de données des organisations peuvent être exploitées pour y trouver des numéros de sécurité sociale, des informations sur les cartes de crédit, des dossiers médicaux, des numéros de compte bancaire, etc.
C’est ce qui entraîne des milliards de dollars de dommages, non seulement pour les organisations, mais aussi pour les personnes dont les informations ont été volées.
Les petites entreprises sont souvent victimes de dommages financiers important causés par des emails malveillants.
Se protéger contre les tentatives de phishing utilisant les comptes de messagerie usurpés
Bien qu’il soit relativement facile de se protéger contre les emails frauduleux, il faut savoir que c’est une technique qui est très prisée par les spammeurs et les cybercriminels.
Il faut un certain effort, et donc de l’argent, pour lutter contre cette menace, et c’est souvent la raison pour laquelle de nombreuses petites entreprises ne prennent pas les précautions nécessaires.
Pour faire face à cette menace, il existe des solutions que vous pouvez adopter :
- Abonnez-vous à un service de filtrage des spams très efficace et réévaluez son efficacité chaque année.
- Désignez quelqu’un (si ce n’est pas un employé, engagez une société d’externalisation informatique) pour surveiller et administrer le compte de messagerie électronique, y compris le service de filtrage du spam. Ce n’est pas une tâche triviale, car les fonctionnalités du courrier électronique changent, les nouvelles menaces évoluent constamment et les adresses électroniques changent fréquemment en raison des changements de personnel.
- Sensibiliser vos employés à l’usurpation d’adresse électronique et aux autres techniques utilisées par les spammeurs et les cybercriminels. Formez-les à ce qu’ils doivent rechercher lorsqu’ils scannent leur boîte de réception afin qu’ils puissent identifier rapidement les emails potentiellement malveillants. Donnez-leur une ressource qui peut les aider à décider lorsqu’ils reçoivent un email suspect.
Le courrier électronique est un outil de communication nécessaire et extrêmement utile pour les entreprises. Malheureusement, comme il est tellement utilisé, il constitue une cible facile pour les cybercriminels.
Pour un utilisateur moyen d’un compte de messagerie électronique, il est difficile de repérer un message malveillant parmi les centaines ou les milliers d’emails qui arrivent dans sa boîte de réception.
C’est pourquoi il est important pour les organisations d’allouer les ressources et les fonds nécessaires pour protéger leurs personnels et leurs organisations contre toutes les menaces qui peuvent arriver sous la forme d’un message d’apparence légitime.
Depuis 1999, SpamTitan a mis en place un système de renseignements sur les menaces afin de réduire considérablement le risque d’une attaque réussie contre votre organisation.
Grâce à SpamTitan, vous réduisez considérablement le risque que de nouvelles variantes d’emails malveillants pénètrent dans votre réseau.
Si vous recherchez le meilleur filtre antispam pour les utilisateurs professionnels, n’oubliez pas de consulter SpamTitan , la solution antispam leader pour les PME et les entreprises contactez l’équipe de TitanHQ dès aujourd’hui pour obtenir de plus amples informations et pour bénéficier d’une démonstration gratuite de notre produit.
FAQs
L’objectif de l’usurpation d’identité est-il uniquement le vol d’argent ou de crédit ?
Non, le but de l’usurpation d’identité est généralement l’accès à votre compte bancaire pour voler votre argent, mais ce n’est pas le seul. Il existe d’autres types d’usurpations d’identité. Un pirate peut par exemple utiliser vos informations médicales pour recevoir des soins médicaux. Il peut également s’approprier votre identité et la fait sienne. Imaginez qu’il vous donne votre nom à des agents de la force publique et voilà, vous avez un casier judiciaire !
Quelle est la différence entre vol d’identité et usurpation d’identité ?
Le vol de données se produit lorsqu’un pirate tente d’obtenir des éléments clés de vos informations d’identification personnelle. L’usurpation d’identité, quant à elle, se produit lorsque ces informations sensibles sont utilisées à des fins frauduleuses ou illégales. Autrement dit, l’acquisition illégale d’informations d’identification personnelle n’implique pas nécessairement l’usurpation d’identité.
Que faire en cas d’usurpation d’identité ?
Dans un premier temps, vous devez rester calme et constituer un dossier qui comprend des captures d’écran, généralement constatées par un huissier de justice, et les adresses URL litigieuses. Vous pourrez ensuite fournir ces informations aux forces de l’ordre et aux responsables du site sur lequel l’usurpation d’identité a eu lieu.
Quelles sont les méthodes les plus couramment utilisées par les escrocs ?
Le vol et l’usurpation d’identité se font essentiellement par voie informatique (chevaux de Troie, phishing, pharming, spywares, etc.), mais pas seulement. Cela peut aussi se faire via un appel téléphonique, une inspection d’effets personnels laissés sans surveillance (portefeuille, sac à main, etc.) ou encore la récupération de documents sensibles comme les tickets de carte bancaire, les relevés de compte, etc.
Quelles sont les principales mesures à prendre pour protéger mon identité ?
Soyez prudent lorsque vous communiquez des informations personnelles en ligne. Ce n’est pas parce qu’un site Internet vous demande vos données personnelles qu’il est nécessaire de les lui fournir. Limitez les informations que vous partagez sur les médias sociaux et faites preuve de prudence quand vous cliquez sur des liens et ouvrez des pièces jointes à des e-mails. Utilisez un réseau WiFi sécurisé et, lorsque vous faites des achats ou des opérations bancaires en ligne, assurez-vous que vous utilisez une connexion sécurisée.