La technologie DMARC pour des e-mails plus sécurisés

Les e-mails sont le vecteur d’attaque le plus utilisé pour le phishing et la fraude sur Internet. Pour que les internautes ne soient pas sans défense face à ce danger, des mesures techniques de sécurité doivent être mises en place. Si celles-ci sont bien disponibles, leur mise en place n’est toutefois pas une mince affaire.

Texte: Michael Hausding, publié le 04.01.2022

Au mois de décembre, le nombre de colis livrés remplis de cadeaux et d’achats pour la période de Noël ne cesse d’augmenter chaque année. Aux pics de commandes, la poste expédie jusqu’à un million de colis par jour. Le nombre d’e-mails de phishing qui atterrissent ces jours-là dans nos boîtes de messagerie électronique est nettement plus élevé. La plupart du temps, il vous est demandé de payer une somme modique pour un colis prétendument bloqué à la douane ou chez un transporteur. Il est fort probable que quelqu’un attende un colis et paie ces frais par négligence. Ce faisant, non seulement la somme d’argent, mais aussi les données de la carte de crédit, y compris le cryptogramme visuel (CVV), sont envoyées aux malfaiteurs.

Les cybercriminels rencontrent un franc succès avec cette méthode, ce qui explique que les attaques de phishing continuent de pulluler. Plus de la moitié des cas signalés auprès du Centre national de cybersécurité (NCSC) concernent des attaques de phishing ou des fraudes. Le courrier électronique est le vecteur d’attaque le plus utilisé. Bien que le problème soit connu depuis des années, les mesures de défense semblent avoir une efficacité limitée.

Tromperie des utilisateurs

Pourquoi est-il si difficile pour les internautes de reconnaître une tentative de phishing? L’expéditeur d’un e-mail est affiché dans le champ De/From du programme de messagerie ou du webmail. Il est donc possible de déterminer l’identité de l’expéditeur. Pour des raisons de commodité, les développeurs programment les clients de messagerie de manière à ce que ce champ affiche quasi exclusivement le nom d’affichage («display name»). Cette norme, déjà introduite dans le RFC 822 en 1982, permet de spécifier librement un nom dans le champ «De» (ou «From») à côté de l’adresse e-mail. En outre, la plupart des clients de messagerie affichent exclusivement ce nom sans l’adresse e-mail. Cela a pour conséquence que les destinataires d’e-mails de phishing voient par exemple «Poste» ou «Douanes suisses» comme expéditeur, même si l’adresse e-mail qui se cache derrière aurait clairement de quoi éveiller les soupçons.

Lutte contre les abus de noms de domaine

Mais les e-mails de phishing ou les tentatives de fraude ne sont pas toujours reconnaissables à un nom de domaine d’expéditeur suspect. De nombreux e-mails de phishing portant des noms de domaine tels que schweiz-zoll.ch ou ezv-admin.ch atterrissent également dans nos boîtes de réception. Mais comment cela est-il possible et n’existe-t-il donc aucune mesure de défense contre ce phénomène? Pourquoi SWITCH, en tant que service d’enregistrement, ne supprime-t-il pas tout simplement ces noms de domaine lorsqu’il reçoit une notification du NCSC?

SWITCH lutte activement contre les abus de noms de domaine en .ch et .li, et désactive, en collaboration avec les autorités, les noms de domaine tels que «paquet-en-attente.ch» lorsqu’ils sont utilisés frauduleusement à des fins de phishing. Une fois désactivés, les noms de domaine ne sont plus accessibles.

L’enregistrement protège contre les abus

En revanche, si un nom de domaine n’est utilisé que pour donner plus d’autorité à un e-mail, il ne sert à rien de le désactiver. Au contraire, cela peut même causer encore plus de dégâts. Un exemple est «schweiz-zoll.ch», pour lequel le service d’enregistrement reçoit des messages en masse. L’Administration fédérale des douanes (AFD) a également mis en garde contre ce phénomène au début de l’année. Les experts en sécurité de SWITCH ont rapidement pu constater que le nom de domaine n’était pas du tout enregistré et qu’il était uniquement usurpé en tant que nom d’expéditeur pour des e-mails de phishing. Malheureusement, les fournisseurs de services de messagerie ne filtrent pas tous automatiquement les e-mails provenant de noms de domaine invalides. Le nom de domaine a été enregistré dans la foulée de l’attaque par un fournisseur suisse de solutions anti-spam et publié avec une politique DMARC. DMARC aide à authentifier les e-mails et permet aux serveurs de messagerie destinataires de rejeter les e-mails non authentifiés. Malheureusement, trop peu de fournisseurs de messagerie utilisent la technologie DMARC. Et c’est la raison pour laquelle le service d’enregistrement et le détenteur du nom de domaine continuent de recevoir des demandes pour le désactiver.

Certains fournisseurs suisses de messagerie électronique, ainsi que Gmail et Microsoft, respectent la politique DMARC publiée pour la réception d’un e-mail. Depuis quelque temps, les cybercriminels utilisent aussi frauduleusement les noms de domaine «ezv-admin.ch» ou «douane.ch» qui n’ont pas encore publié de politique DMARC.

Prise de conscience chez les titulaires de marques

Les titulaires de marques sont peu sensibilisés aux mesures techniques de protection de leur marque contre le phishing. Actuellement, seuls 12% du top 1000 des noms de domaine en .ch ont publié une politique DMARC. Très souvent, les malfaiteurs n’utilisent pas le nom de domaine primaire. Ils préfèrent se rabattre sur des noms inutilisés qui servent à la protection des marques en tant que «defensive registrations».

Credit Suisse, entre autres, a agi de manière exemplaire. Lors du lancement de DMARC, le groupe a doté non seulement credit-suisse.com, mais aussi d’autres noms de domaine comme credit-suisse.ch d’une politique DMARC.

Ensemble pour une sécurité accrue sur Internet

Les e-mails demeurent un vecteur d’attaque primaire pour les entreprises et les internautes. Il est donc indispensable, dans le cadre de la transformation numérique de la Suisse, de sécuriser ce canal de communication avec les moyens à disposition. Cette tâche ne peut être accomplie que par une action commune, car la messagerie électronique est un système réparti. Les exploitants de l’infrastructure de messagerie, les titulaires de droits de marque, les autorités et les associations doivent coordonner et mobiliser les moyens techniques et de communication disponibles. Ainsi, les opérateurs de messagerie suisses n’ont pas la tâche facile. Une adresse e-mail est généralement une prestation gratuite qu’ils proposent avec un hébergement web ou un accès à Internet. Ils ont donc peu de marge de manœuvre pour investir dans la sécurité. En tant que service d’enregistrement pour les noms de domaine en .ch, SWITCH va à l’avenir mettre en place une incitation financière sur mandat de l’Office fédéral de la communication. Les registrars paieront des prix différents pour les noms de domaine en .ch et .li, selon qu’ils proposent ou non des normes de sécurité ouvertes telles que DNSSEC et DMARC. Si tel est le cas, ils bénéficieront en outre d’une participation proportionnelle aux recettes supplémentaires générées. 

Mais une certaine responsabilité incombe également aux internautes: il leur appartient non seulement de lire chaque e-mail reçu avec une certaine méfiance (raisonnable), mais aussi de choisir un fournisseur de messagerie électronique qui offre des mesures de protection adéquates, utilise des normes de sécurité actuelles et filtre les e-mails de phishing. 

Les hébergeurs de messagerie suisses ont reconnu le problème et améliorent continuellement leurs mesures de protection. Lors du Swiss Web Security Day 2021, le sujet a été discuté au sein d’un panel de représentants des hébergeurs, des autorités et des spécialistes juridiques de la sécurité et de la sensibilisation à la thématique de la messagerie électronique.

Liens

Mise en garde de l’Administration fédérale des douanes contre les messages frauduleux:
https://www.ezv.admin.ch/ezv/fr/home/teaser-page-d-accueil/a-la-une-teaser/mise-en-garde-contre-les-messages-frauduleux.html

Tableau de bord du rapport de résilience .ch:
https://www.hardenize.com/dashboards/ch-resilience/

Panel au Swiss Web Security Day 2021:
https://tube.switch.ch/videos/R8VaHHvnVC

 

L'auteur
Michael   Hausding

Michael Hausding

Michael Hausding a étudié l’informatique à l’Université technique de Darmstadt et le MTEC à l’EPF de Zurich. Depuis 2008, il travaille en tant qu’expert en matière de sécurité au sein de l’équipe SWITCH-CERT et est spécialisé dans les abus de DNS et de noms de domaine.

E-mail

#Security

Cet article a été publié pour la première fois sur inside-it.ch et inside-channels.ch (en allemand) dans le cadre de la rubrique #Security de SWITCH. Cette rubrique paraît six fois par an. Les experts en sécurité de SWITCH s'expriment de manière indépendante sur des sujets liés à la politique, à la technique et à la sensibilisation de la sécurité informatique.

Autres articles