Le terme « spoof » est l’un des nombreux mots dont la signification première a été déformée par Internet. Par le passé, « spoof » avait le sens de « parodie ». Par exemple, la série de films Scary Movie est une parodie (spoof) du cinéma d’horreur hollywoodien. Aujourd’hui, le verbe « to spoof » désigne plutôt le fait de monter un canular à des fins malveillantes basé sur l’usurpation d’identité, principalement via email. Il s’agit d’une menace qui s’est particulièrement aggravée ces dernières années. Toutefois, des protections plus sophistiquées ont également vu le jour afin d’endiguer cette menace.

Qu’est-ce que l’usurpation d’adresses email ?

L’usurpation d’adresses email est une forme de piratage visant à tromper le destinataire d’un email en lui faisant croire que l’expéditeur est une marque connue ou l’une de ses connaissances. Il s’agit, par exemple, d’une composante classique des tentatives de spear phishing. Prenons l’exemple suivant : Vous recevez un email de support@appIe.com vous invitant à confirmer le mot de passe de votre compte iTunes. L’email semble authentique. Comme c’est une demande raisonnable, vous cliquez sur le lien et fournissez votre identifiant Apple et votre mot de passe. Pas de chance. Un hacker vient de réussir à se faire passer pour Apple afin de subtiliser vos identifiants !

Que s’est-il passé exactement ? Pour comprendre cette attaque, vous devez connaître la différence entre apple.com et appIe.com. Pardon ? C’est la même chose. Ou pas…

L’un est apple.com, le site Web de la véritable entreprise, tandis que l’autre est appIe.com, mais avec un « i » majuscule à la place du « l » minuscule de « apple ». Ce nom de domaine n’appartient donc pas à Apple. C’est une URL mise en place par un hacker. Pour un humain, il est littéralement impossible de s’en apercevoir.

En savoir plus ?  Téléchargez l'infographie Phisher's Favorite par IsItPhishing

Le continuum de l’usurpation d’adresses emails

L’usurpation d’adresses email s’inscrit dans un continuum complexe. Certaines formes d’attaques sont relativement simples. D’autres nécessitent en revanche d’excellentes compétences techniques et la mobilisation de ressources importantes. D’après notre expérience, il existe trois principaux types d’usurpation :

  • Utilisation visible d’un alias—Il s’agit d’une approche simple mais efficace de l’usurpation d’adresses email. Quand vous recevez un email, en particulier sur un appareil mobile, le nom de l’expéditeur s’affiche généralement, mais l’adresse email n’apparaît pas. Par exemple, vous recevez un email sur votre téléphone qui semble provenir de « Bank of America », mais la véritable adresse email de l’expéditeur est en réalité xyz22@gmail.com. Le hacker compte ici sur le fait que la plupart des personnes très occupées ne prendront pas la peine de vérifier l’adresse email de l’expéditeur. Couplée à l’ingénierie sociale, comme par exemple dans le cas du spear phishing, l’utilisation visible d’un alias peut amener les gens à faire des choses qu’ils ne feraient pas d’ordinaire. Le hacker se renseignera sur sa cible et utilisera des faits établis pour instaurer un climat de confiance, par ex. « Comme vous le savez, je suis actuellement en voyage d’affaires au Japon », etc.

 

La « fraude au PDG » est une variante de ce type d’attaque. Dans ce cas, un hacker usurpe l’identité d’une personne haut placée au sein d’une entreprise et demande à un employé d’effectuer un virement. Si le PDG de votre entreprise se nomme Don Smith, il est possible que vous receviez un email de « Don Smith » <dummy667@gmail.com> pendant un weekend. Le message commence par quelque chose de banal comme « Jim, vous êtes là ? » Vous répondez « Oui, patron. Je suis là. Que puis-je faire pour vous ? » Le hacker continue en disant « Je suis en déplacement. Nous sommes en train de finaliser un accord de fusion confidentiel. Comme c’est le weekend, il n’y a personne au bureau. J’ai besoin que vous fassiez un virement de 100.000 $ immédiatement sur le compte bancaire suivant afin de réaliser cette fusion. Surtout, n’en parlez à personne car il s’agit d’un dossier très sensible. Il s’agit d’une affaire très urgente, veuillez dès lors procéder au transfert et confirmer sans tarder ». Le véritable Don Smith ne possède sans doute pas d’adresse Gmail et ne vous demanderait jamais une chose pareille le weekend. Néanmoins, dans ce contexte d’ingénierie sociale, le destinataire peut facilement tomber dans le panneau.

 

  • Usurpation du domaine—À l’aide des bons outils, un hacker peut envoyer un email de spear phishing qui semble provenir d’un domaine légitime. Le but du hacker est de vous faire croire qu’il est un expéditeur légitime. Par exemple, un hacker pourrait envoyer un email qui semble provenir de support@bofa.com, une adresse email légitime de la Bank of America. Sauf qu’en réalité, cet email n’a pas été envoyé depuis cette adresse. Il pourrait s’agir d’un leurre visant à vous amener à cliquer sur un lien qui vous redirige vers une page Web falsifiée qui ressemble à www.bofa.com. L’usurpation du domaine est toutefois plus difficile à réaliser aujourd’hui, en raison de la multiplication de standards comme le Sender Policy Framework (SPF) et le Domain Keys Identified Mail (DKIM). Une fois intégrés aux paramètres DNS, les standards SPF ou DKIM empêchent les utilisateurs non autorisés de noms de domaine de faire des tentatives d’usurpation. Cependant, l’adoption de ces standards n’est pas généralisée.

 

  • Domaine ressemblant—L’exemple d’apple.com cité ci-dessus est qualifié de « domaine ressemblant », c’est-à-dire une attaque de domaine ‘proche’. Cette forme de piratage trompe le destinataire en créant un domaine émetteur proche du véritable domaine, voire impossible à distinguer. Cette technique peut reposer sur l’utilisation de l’extension de domaine .co au lieu de .com ou l’ajout ou la suppression d’une lettre de l’URL. Par exemple, supposons que votre entreprise s’appelle Maine Express et possède le nom de domaine maineexpress.com. Un usurpateur pourrait enregistrer le nom de domaine mainexpress.com ou maineexpresss.com et dès lors être en mesure d’abuser au moins une partie des destinataires de l’email. Souvent, les hackers ajoutent simplement un mot cohérent à l’URL, par exemple maineexpressglobal.com, et ainsi de suite.

Se protéger contre les tentatives d’usurpation d’adresses email

Il est possible de se défendre contre les tentatives d’usurpation d’adresses email. La meilleure solution est d’opter pour un mélange de formation, de politiques et de technologie. La formation des employés constitue votre première ligne de défense. Bien que certaines tentatives d’usurpation soient très difficiles à détecter, bon nombre d’entre elles se repèrent aisément. Les gens peuvent avoir une réelle influence sur la protection contre l’usurpation. Définir des politiques claires relatives aux processus, notamment les transferts d’argent, contribue également à diminuer les risques de « fraude au PDG » et d’attaques semblables reposant sur l’ingénierie sociale. Pour contrer l’attaque du « domaine proche », certaines entreprises n’hésitent pas à acheter tous les noms de domaine similaires à leur nom de domaine principal. Cette démarche comporte en outre l’avantage de réduire les risques d’atteinte aux marques déposées.

Les contre-mesures technologiques comprennent des outils capables d’analyser rapidement les emails entrants afin de déceler une éventuelle usurpation. Par exemple, la solution Vade Secure pour Office 365 peut examiner un email et vérifier si l’alias visible et l’adresse email correspondent aux noms et aux adresses email des employés de l’entreprise. Elle intègre également une couche de type SPF au processus de filtrage des emails afin de repérer l’utilisation non autorisée de noms de domaine légitimes et de détecter les « voisins proches ». Le système relève également les incohérences manifestes dans la structure des emails, ainsi que les appels à l’action figurant dans le contenu des messages (par ex., effectuer un virement, agir dans l’urgence, etc.). Dans ce cas, un message d’alerte personnalisable s’affiche dans l’email afin d’avertir le destinataire d’une possible tentative d’usurpation.

En savoir plus ?  Téléchargez notre livre blanc Combattre le Phishing