Mettre une adresse email en liste blanche, c’est l’ajouter à votre liste d’expéditeurs approuvés. En théorie, il s’agit d’une manœuvre très bien vue, car elle permet de s’assurer que les emails importants envoyés par des personnes de confiance ne finissent pas dans vos spams. En matière de sécurité de l’email, cette stratégie peut toutefois avoir des conséquences inattendues.
La mise en liste blanche automatique pose un problème
Plusieurs solutions de sécurité de l’email proposent des processus automatisés de mise en liste blanche des adresses email. Leur objectif est certes louable, mais la fiabilité des adresses email est déterminée sur la base de raisons peu convaincantes.
Ainsi, cette pratique est particulièrement problématique face au spear phishing et aux attaques BEC. En effet, certains filtres de messagerie s’appuient par exemple sur une simple conversation par email pour déterminer que l’expéditeur est fiable. Ainsi, si vous recevez un email de spear phishing et que vous répondez au hacker, le filtre va considérer sur la base de cette réponse que votre interlocuteur est digne de confiance et placer son adresse en liste blanche. Conséquence directe : les emails du hacker ne seront pas filtrés par la suite.
Une autre façon de déclencher la mise en liste blanche automatique consiste à recourir à un CAPTCHA, que certains filtres utilisent pour confirmer l’identité des expéditeurs. Leur fonctionnement est le suivant : lorsqu’un utilisateur essaie de vous envoyer un email, le filtre lance un test de réponse par CAPTCHA que l’expéditeur doit réussir pour prouver qu’il n’est pas un robot. Si le test réussit, l’adresse email est confirmée et ajoutée à votre liste blanche.
Cette méthode est efficace pour lutter contre les robots spammeurs, mais une adresse digne de confiance aujourd’hui peut ne pas l’être demain. Si une adresse email vient à être compromise après avoir été placée en liste blanche via un CAPTCHA, elle ne sera pas filtrée et le CAPTCHA aura donc été inutile.
Mise en liste blanche des adresses email et comptes compromis
D’après un rapport de RiskBased Security, 37 milliards d’enregistrements de données ont fuité en 2020. 32 % étaient des adresses email. Du phishing au malware, les emails malveillants distribués via des comptes compromis peuvent générer des dommages immenses dans les environnements professionnels, et notamment via Microsoft 365.
À l’aide d’un compte Microsoft 365 compromis, un cybercriminel peut lancer des attaques de phishing ou de spear phishing et des malwares directement depuis l’intérieur de la suite bureautique. Les destinataires de ces attaques n’ont souvent aucune raison d’imaginer qu’un email est dangereux. Même lorsque tous les indices sont là, ils peuvent passer totalement à côté s’ils connaissent l’expéditeur.
C’est d’ailleurs exactement ce qui s’est passé lors de la vague d’emails envoyés par Emotet au 2e semestre 2020. Les hackers se sont appuyés sur des comptes compromis pour s’immiscer dans des conversations et propager le malware Emotet via des liens de phishing, des documents Microsoft Office et des fichiers .zip.
Ne faites confiance à personne
Votre service informatique peut certes sélectionner et retirer des expéditeurs fiables de manière individuelle (adresses IP et email), mais nous vous recommandons d’éviter les solutions qui automatisent la mise en liste blanche. La confiance par défaut offre une présomption d’innocence dont peu, voire aucune adresse email ne devraient bénéficier.
Une architecture de type zero trust diffère d’une architecture classique en ce qu’elle ne part jamais du principe qu’un expéditeur est sûr. Avec ce modèle, même les expéditeurs internes font l’objet d’une authentification continue. Associée à une surveillance continue des menaces véhiculées par les emails avant et après leur remise, une architecture zero trust part du principe que le pire scénario va se produire et exigent un examen minutieux de chaque expéditeur à chaque remise d’un email.
