Ressources

News

Spoofing d’email : cyberattaque efficace et simple à la fois

Qu’est-ce que le spoofing ?

Le spoofing est le fait d’envoyer un email avec l’adresse mail de quelqu’un d’autre. En effet, si vous avez suffisamment de connaissances techniques, vous pouvez parfaitement envoyer un mail avec comme adresse email d’envoi exemple@exemple.com, quand bien même vous ne possédez pas ce compte. C’est donc une usurpation d’adresse email.

État des lieux du spoofing d’email

Il est aujourd’hui très facile d’envoyer un email en camouflant la véritable adresse email d’envoi. Les serveurs mail vérifiant correctement la provenance d’un email sont plutôt l’exception que la règle. Et de nombreux domaines d’emails ne sont pas assez bien configurés pour empêcher qu’un attaquant « spoofe » l’identité d’un de ses utilisateurs, ce qui n’arrange rien. 

Imaginez que vous receviez un mail de votre patron ou d’un de vos collègues, avec sa signature mail, vous demandant par exemple de vérifier un fichier joint. Cliqueriez-vous ? Il y a de forte chance que oui : cet email provenant d’une organisation en laquelle vous avez confiance, vous serez beaucoup moins enclin au scepticisme et à la prudence.

Comment ça marche ?

Le spoofing d’email peut reposer sur 4 aspects techniques :

  1. La modification des en-têtes de l’email : les en-têtes d’un email contiennent des informations telles que l’email de l’expéditeur, le destinataire et l’objet de l’email. En modifiant ces en-têtes, un attaquant peut faire croire que l’email vient d’une personne ou d’une entreprise différente de celle qui l’a réellement envoyé.
  2. L’utilisation de domaines de niveau supérieur (TLD) similaires : les attaquants peuvent également utiliser des domaines de niveau supérieur (TLD) similaires à ceux des entreprises ou des individus légitimes, tels que .com ou .org, pour créer des adresses email qui ressemblent à celles de personnes ou d’entreprises légitimes. Par exemple, bnparibas.fr au lieu de bnpparibas.fr.
  3. L’utilisation de technique de relayage : Il est possible d’utiliser des serveurs SMTP pour relayer des mails et ainsi en modifier l’origine.
  4. L’exploitation d’une mauvaise configuration DMARC sur le nom de domaine spoofé. Ce n’est pas vraiment une technique, mais plutôt la possibilité de mener une attaque de spoofing malgré les protections en place. DMARC (Domain-based Message Authentication, Reporting & Conformance) est un protocole qui permet aux propriétaires de domaines de se prémunir contre le spoofing en définissant comment les messages envoyés à partir de leur domaine doivent être authentifiés. Ils peuvent spécifier les mécanismes d’authentification qu’ils souhaitent utiliser, tels que SPF  (Sender Policy Framework) ou DKIM (DomainKeys Identified Mail), et indiquer comment les messages qui ne passent pas ces mécanismes d’authentification doivent être gérés (rejetés ou signalés). Les destinataires peuvent alors utiliser ces informations pour vérifier l’authenticité des messages et protéger les utilisateurs contre le spoofing. Malheureusement, ce protocole peut-être mal configuré, ce qui, évidemment, annule la protection et permet à l’attaquant de rendre son email encore plus légitime.

Il est important de noter que ces techniques peuvent être combinées pour augmenter l’efficacité de l’attaque de spoofing.

Ce que permet le spoofing

Le whaling est une forme de phishing ciblée qui vise des individus spécifiques, généralement des hauts responsables d’une entreprise ou des personnes ayant accès à des informations sensibles. Les escrocs envoient des e-mails frauduleux qui semblent provenir d’une source fiable, comme un collègue de travail ou un partenaire d’affaires, et qui demandent des informations confidentielles ou des actions spécifiques.

Voici deux exemples de messages de whaling qui pourraient être reçus par une victime potentielle :

  1. « Bonjour [nom de la victime],

    Pourriez-vous je vous prie, me transmettre vos informations de connexion à notre système bancaire en ligne ? Nous avons besoin de vérifier certaines transactions et la personne responsable habituellement est en congés.

    Merci, [Nom du supérieur ou du collègue] »

  2. « Bonjour [nom de la victime],

    Je suis [nom d’un partenaire d’affaires]. Je vous écris pour vous demander de vérifier et de signer un document confidentiel qui concerne notre dernière transaction.
    Je vous envoie le document ci-joint ; pourriez-vous je vous prie me l’envoyer signé dès que possible ? 
    Il s’agit d’une transaction hautement sensible ; je vous demanderai donc de garder ma demande confidentielle.

    Merci, [Nom du partenaire d’affaires] »

Il est important de noter que ces messages semblent provenir de sources fiables et utilisent des demandes urgentes pour amener les victimes à donner des informations ou à effectuer des actions sans réfléchir. Il est donc important de signaler tout e-mail suspect à votre équipe de cybersécurité ou à des experts en la matière pour vérifier s’il s’agit d’une arnaque ou non – et ce même si l’expéditeur semble à première vue légitime !

Comment s’en prémunir ?

  1. Mettre en place un système de vérification de domaine : La mise en place d’un système de vérification de domaine tel que le SPF (Sender Policy Framework), le DKIM (DomainKeys Identified Mail) et le DMARC (Domain-based Message Authentication, Reporting and Conformance) peut aider à vérifier l’authenticité des emails entrants et sortants.
  2. Configurer les filtres anti-spam : Les filtres anti-spam peuvent aider à bloquer les emails suspects et les emails qui semblent être des tentatives de spoofing.
  3. Utiliser des adresses email aliasées : Les adresses email aliasées, qui peuvent être créées pour des tâches spécifiques ou des interactions avec des tiers, peuvent aider à limiter les risques de spoofing. En cas de tentative de spoofing, l’adresse email principale n’est pas compromise.
  4. Soyez vigilant face aux emails urgents ou demandant des informations sensibles : Les emails qui demandent des informations sensibles ou qui semblent urgents peuvent être des signes de tentative de phishing. Il est important d’être vigilant face à ces types d’emails et de ne pas fournir d’informations sensibles sans une vérification appropriée.
  5. Éviter de publier son adresse email en ligne : Lorsque vous publiez votre adresse email en ligne, vous pouvez vous exposer à des tentatives de spoofing et à des spams. Il est recommandé d’éviter de publier votre adresse email en ligne ou de l’utiliser avec parcimonie.

Mais surtout, l’essentiel de la protection passe par une sensibilisation adéquate et par le maintien d’une culture d’ouverture d’esprit et du droit à l’erreur dans l’entreprise. Un employé qui a subi une attaque ou qui a identifié un comportement étrange après avoir interagi avec un mail sera d’autant plus en mesure de vous en informer sans craindre pour sa carrière !

Article rédigé par : Baptiste Fraikin, pentester chez Coralium

Si vous voulez en savoir davantage sur nos offres, en lien avec le sujet de l’article, nous vous proposons de découvrir : L’essentiel de la cybersécurité pour les employés