Usurpation de l’adresse email : comment s’en protéger ?

L’usurpation de l’adresse email est une technique qui consiste à créer un en-tête d’email faisant croire au destinataire qu’il a reçu un message d’une marque ayant pignon sur rue ou même d’une connaissance. Il s’agit d’une stratégie centrale des attaques de phishing et de spear phishing qui peut être extrêmement difficile à détecter pour les utilisateurs comme pour les filtres de messagerie les plus sophistiqués.

Pourquoi l’usurpation de l’adresse email est-elle si difficile à repérer ? Prenons l’exemple suivant : vous recevez un email de support@appIe.com vous invitant à confirmer le mot de passe de votre compte iTunes. Comme c’est une demande raisonnable, vous cliquez sur le lien et fournissez votre identifiant Apple et votre mot de passe à un hacker.

Que s’est-il passé exactement ? Pour comprendre cette attaque, vous devez connaître la différence entre apple.com et appIe.com. Ces deux adresses semblent identiques, mais si on les regarde de plus près, on s’aperçoit qu’il n’en est rien. La première correspond bien au domaine d’Apple, mais la deuxième utilise un domaine de phishing qui remplace le « l » minuscule par un « i » majuscule. Cette permutation est quasi imperceptible à l’œil, et même les filtres de messagerie ont du mal à les détecter.

Le continuum de l’usurpation d’adresses email

La sophistication des techniques d’usurpation est très variable. Certaines stratégies sont très simples, mais d’autres nécessitent des compétences de haut niveau. D’après notre expérience, il existe trois principaux types d’usurpation :

Usurpation du nom

Cette technique simple, mais efficace, consiste à usurper le nom de l’expéditeur, mais pas l’adresse email. Un utilisateur sensibilisé à cette question pourrait noter l’incohérence entre le nom affiché et l’adresse email, mais les hackers comptent sur le fait que la plupart des utilisateurs soient peu informés et s’intéressent principalement au nom.

Usurpation du nom

Voici comment fonctionne l’usurpation du nom : vous recevez un email d’un utilisateur nommé « Microsoft Outlook », mais l’adresse email associée est xyz22@gmail.com. Le hacker compte ici sur le fait que la plupart des personnes très occupées ne prendront pas la peine de vérifier l’adresse email de l’expéditeur, ce qui est d’ailleurs souvent le cas.

L’usurpation du nom est particulièrement efficace sur les appareils mobiles, car si le nom de l’expéditeur est toujours visible sur ces appareils, ce n’est bien souvent pas le cas de l’adresse email. Ce phénomène se vérifie notamment pour Microsoft Outlook et Gmail. Par ailleurs, les utilisateurs d’appareils mobiles ont plus de chances d’être en déplacement et donc moins concentrés que les utilisateurs sur ordinateur. D’après Verizon, les utilisateurs sur mobiles sont plus vulnérables face aux attaques de phishing et de spear phishing pour deux raisons : ils sont moins concentrés et l’ergonomie des applications mobiles est plus favorable aux attaques.

Une autre stratégie utilisée pour l’usurpation du nom consiste à utiliser une adresse email en lieu et place du nom affiché. L’utilisateur ne pense ainsi pas à regarder la véritable adresse email de l’expéditeur, et l’email paraît ainsi d’autant plus légitime. Dans l’exemple ci-dessous, le hacker utilise une adresse email Microsoft comme nom.

Usurpation du nom

Couplée à l’ingénierie sociale, l’usurpation du nom peut amener les personnes visées à faire des choses qu’elles ne feraient pas d’ordinaire. Par exemple, le hacker peut se renseigner sur sa cible et utiliser des faits établis pour instaurer un climat de confiance avant de formuler sa demande. Cette stratégie est fréquente dans le cas des attaques de spear phishing, aussi appelées Business Email Compromise ou fraudes au PDG. Le pirate se fait alors passer pour un haut dirigeant de l’entreprise et demande à un employé de procéder à un virement.

Usurpation du domaine exact

À l’aide des bons outils, un hacker peut envoyer un email de phishing qui semble provenir d’un domaine légitime. Par exemple, un hacker pourrait envoyer un email qui semble provenir de support@bofa.com, une adresse email légitime de Bank of America. Sauf qu’en réalité, cet email n’a pas été envoyé depuis cette adresse. Il s’agit d’un email de phishing visant à vous amener à cliquer sur un lien qui vous redirige vers une page Web falsifiée qui ressemble à www.bofa.com.

Par chance, l’usurpation du domaine exact est en perte de vitesse grâce aux protocoles Sender Policy Framework (SPF) et Domain Keys Identified Mail (DKIM). Une fois intégrés aux paramètres DNS, les standards SPF ou DKIM empêchent l’utilisation non autorisée de noms de domaine à des fins d’usurpation.

Domaines voisins

Un domaine voisin est un domaine proche, voire indifférenciable, d’un domaine légitime. Cette technique peut reposer sur l’utilisation de l’extension de domaine .co au lieu de .com, ou encore sur l’ajout ou la suppression d’une lettre ou d’un mot de l’URL.

Domaines voisins

Par exemple, supposons que votre entreprise s’appelle Maine Express et possède le nom de domaine maineexpress.com. Un usurpateur pourrait enregistrer le nom de domaine mainexpress.com ou maineexpresss.com et dès lors être en mesure d’abuser au moins une partie des destinataires de l’email. Il pourrait également ajouter à l’URL un terme plausible, par exemple « global », pour créer l’URL maineexpressglobal.com.

Comment lutter contre l’usurpation d’adresses email

Bien que certaines usurpations soient extrêmement difficiles à détecter, un grand nombre restent évidentes. Une bonne formation peut ainsi changer la donne pour vos employés. La mise en place de politiques claires relatives aux processus, notamment les transferts d’argent, contribue également à diminuer les risques de fraude au PDG et autres attaques de spear phishing. Pour contrer l’utilisation de domaines voisins, certaines entreprises n’hésitent pas à acheter tous les noms de domaine similaires à leur nom de domaine principal. Cette démarche comporte en outre l’avantage de réduire les risques de violation des marques déposées.

Enfin, les solutions avancées de sécurité de l'email sont capables d’analyser rapidement les emails entrants pour détecter tout signe d’usurpation ou d’autres anomalies. Vade for Microsoft 365 analyse les en-têtes des emails pour déterminer si le nom affiché et l’adresse email correspondent au modèle d’entité de l’entreprise. La solution intègre également une couche de type SPF au processus de filtrage des emails afin de repérer l’utilisation non autorisée de noms de domaine légitimes et de détecter les « domaines voisins ».

Elle recherche par ailleurs les incohérences dans la structure et le contenu des emails, notamment les termes et phrases couramment utilisés dans les attaques BEC. En cas de soupçon de spear phishing, une bannière personnalisable s’affiche dans l’email afin d’avertir le destinataire d’une possible tentative d’usurpation.

 White paper - Email Security for M365 - FR