Comment empêcher l’usurpation de votre identité email ?

Aujourd’hui, l’email est toujours notre moyen de communication privilégié sur le plan professionnel ou au niveau personnel et il représente également notre identité numérique pour la création des comptes d’applications entre autres. Il est disponible sur notre smartphone ou notre ordinateur et ne prend parfois que quelques secondes à être rédigé.

55 % du trafic mondial d’emails est constitué de spams et de phishing sur des centaines de milliards de courriers journaliers. Ces attaques ont fortement augmenté depuis la pandémie du Covid-19 en 2020 et sont de plus en plus ciblées.

Parmi elles, nous retrouvons tout en haut du podium les attaques de type :

• BEC (Business Email Compromise),
• et EAC (Email Account Compromise).

La première correspond à un email envoyé en usurpant votre identité sans accès à votre boîte, et la seconde pour une personne ayant volé vos accès à votre boîte pour y accéder. Ces attaques sont extrêmement couteuses pour les victimes (perte en 2020 de +1,8 milliard de dollars) et très faciles à exploiter dans notre environnement actuel trop ouvert.

Pourquoi et comment peut-on en arriver là ? Avec les emails, on se dit que nos correspondances sont protégées, notamment avec un antispam. Pour vous connecter à votre boîte de réception, vous avez besoin d’un mot de passe. Cela vous semble plus sécurisé que la correspondance papier où il suffit de modifier l’adresse de l’expéditeur pour usurper son identité. Et si c’était aussi facile avec vos emails ?

Un mot de passe ne suffit pas, il peut avoir fuité ou être deviné. Pour sécuriser l’accès à vos emails, nous vous recommandons fortement de mettre en place de la double authentification ou MFA (Multi-Factor Authentication).

L’authentification à plusieurs facteurs est une méthode d’identification plus sûre, puisque au lieu de taper uniquement votre mot de passe pour accéder à votre boîte email, vous allez devoir entrer un second facteur d’authentification : code reçu par SMS, notification push ou encore empreinte digitale. Deux facteurs de catégorie différente parmi les fameux « ce que je connais », « ce que je possède » ou « ce que je suis ».

Avec cette méthode, si un pirate a réussi à voler le mot de passe de votre boîte email, il sera normalement bloqué par le second facteur d’authentification et ne pourra pas accéder à votre boîte.

La MFA évite 99 % des compromissions d’accès aux boîtes email.

Maintenant que l’accès à votre boîte de réception est protégé, il est primordial de protéger votre identité, votre domaine de messagerie.

Cela va être possible avec des protocoles informatiques qui ont des acronymes barbares : SPF, DKIM, DMARC ou encore BIMI. Nous allons donc prendre quelques lignes pour les décortiquer et faciliter leur compréhension.

Pour simplifier leur compréhension, nous allons prendre l’analogie du courrier postal. Lorsque vous envoyez un courrier professionnel, comment l’assistant de direction qui réceptionne et filtre le courrier peut-il s’assurer qu’il s’agit bien de vous ?

Nous sommes un mardi matin, vous avez sur votre bureau les courriers du jour, ouverts, retirés de leur enveloppe. Comment pouvez-vous garantir l’authenticité de l’expéditeur ?

Tout d’abord, le cachet du bureau de poste sur l’enveloppe indique un bureau à Marseille, c’est un premier indice de la provenance. Est-ce que cet expéditeur a l’habitude d’envoyer des courriers depuis cette ville ? Pour l’email, ce cachet correspond au SPF (Sender Policy Framework), une liste publique des adresses IP émettrices autorisées à envoyer des emails au nom de l’expéditeur. Il doit l’avoir déclaré.

Ensuite, pour vérifier l’authenticité de l’expéditeur de ce courrier, vous vérifiez la signature. Pensez aux seaux de cire utilisés au Moyen-âge, chaque personne avait un seau différent qui venait sceller le courrier et prouver l’identité de l’expéditeur ainsi que l’intégrité du message si vous étiez celui qui ouvrait le courrier. Pour l’email, ce seau ou signature correspond au DKIM (Domain Keys Identified Mail), c’est une signature électronique invisible pour le destinataire, visible pour l’outil de messagerie, qui n’a pas pour but de garantir que l’émetteur est celui qu’il prétend être dans l’email. Cette signature est technique.

L’assistant de direction a vérifié l’enveloppe avec la signature indiquée et la provenance pour s’assurer que le courrier semble légitime. Il l’ouvre et vous remet seulement son contenu. S’il prend le temps de vérifier que les informations de l’expéditeur sur l’enveloppe sont les mêmes que sur la lettre elle-même, c’est ce que fait le protocole DMARC (Domain Messaging Authentication Reporting and Conformance) pour l’email.

Ces trois protocoles sont des patchs de sécurité, fonctionnant ensemble, à ajouter sur vos domaines et ne sont pas configurés par défaut. Sans eux, vous pouvez rencontrer des problèmes de délivrabilité et aucune sécurité pour contrer l’usurpation de vos propres emails. Depuis l’invention de l’email en 1971 par Ray Tomlison, aucun de ces protocoles n’existait, il a fallu attendre 2004 et 2012 pour le DMARC pour les voir apparaitre. Ces protocoles sont donc des règles vérifiées par les antispams pour juger de la légitimité des emails en votre nom.

Il est urgent de prendre votre responsabilité pour les configurer afin de vous protéger et le reste du monde lors de l’utilisation de votre domaine.

Le DMARC permet de vérifier que les tests SPF et DKIM sont bien respectés et que les informations de l’enveloppe, vues par la boîte de messagerie, correspondent à l’expéditeur inscrit dans le contenu du courrier.

Bien, mais que faire une fois que vous avez cette information ? Comment les configurer ?

L’implémentation d’une politique DMARC sur votre domaine de messagerie permet de vous protéger contre l’usurpation d’identité. En effet, il porte une politique de traitement, indiquée aux antispams destinataires de l’email, pour catégoriser un email en cas de non-conformité de l’un des protocoles précédents (SPF et DKIM).

Si votre destinataire reçoit un email :

• Dont l’adresse IP n’est pas listée parmi les IP autorisées à envoyer des emails pour vous (SPF)
• Dont la signature numérique est absente ou ne correspond pas à la vôtre (DKIM)

Alors vous pouvez décider (dans le DMARC) de dire à la boîte de réception de ce destinataire de :

• Ne rien faire
• Ou placer l’email en quarantaine/spam
• Ou rejeter/supprimer l’email non conforme.

Pour reprendre l’analogie du courrier postal, un courrier avec un logo du Gouvernement français posté depuis un bureau de poste en Suisse, avec une signature valide de Monsieur Dupont, dont la lettre indique être écrite par notre président de la République ; vous savez juger de la légitimité ou non de ce courrier et de le refuser ou jeter immédiatement. Eh bien SPF, DKIM et DMARC sont à implémenter pour aider à faire ce jugement sur les emails.

Il est donc judicieux d’aider vos destinataires lors de la réception d’un email potentiellement frauduleux en leur donnant les éléments jugeant de votre authenticité. Cependant, comment pouvez-vous savoir si votre identité a été usurpée ?

Un deuxième effet de l’implémentation DMARC sur votre domaine de messagerie est la possibilité de demander aux antispams des destinataires de vous indiquer lorsqu’un email en votre nom a été reçu avec les indications des tests réussis ou échoués de SPF et DKIM sous forme de rapports. Ils vous donnent de la visibilité pour agir rapidement en cas d’usurpation d’identité et de vérifier que tout est en conformité pour le trafic autorisé. Il est donc important de collecter, sauvegarder et consulter vos rapports DMARC.

Des produits existent pour se charger de récupérer ces rapports DMARC plutôt que de les suivre à la main, car vous allez en recevoir beaucoup et ce sont des fichiers XML difficiles à analyser.

Face à une attaque EAC, l’accès à votre compte email a été compromis pour envoyer en votre nom des emails, réagissez vite par quelques bonnes pratiques :

• Changer de mot de passe
• Activer la double authentification (MFA)
• Déterminer par quel biais cela fut réalisé
• Faire une communication aux victimes potentielles : « Attention, vous avez reçu récemment des emails en mon nom, nous travaillons à remédier au problème et à améliorer la sécurité nos domaines et nos accès pour protéger notre identité »

Par une attaque de type BEC, votre identité a été usurpée, quelqu’un a envoyé un email au nom de votre domaine sans accès à votre boîte, réagissez vite par quelques bonnes pratiques :

• Déployer les 3 protocoles SPF/DKIM/DMARC sur le DNS de vos domaines
• Déterminer par quel biais cela est effectué
• Faire une communication aux victimes potentielles : « Attention, vous avez reçu récemment des emails en notre identité, nous travaillons à remédier et améliorer la sécurité nos domaines pour protéger notre identité »
• Suivant les cas, dénoncer les IP utilisées pour qu’elles soient jugées malicieuses par tout le monde

En résumé, des protections existent, mais c’est à vous, en tant que propriétaire d’un domaine, de les mettre en place le plus tôt possible pour garantir la protection et la réputation de votre identité.

En cas de perte de réputation, il faut du temps pour la remonter. En construire une nouvelle toute fraîche aussi, donc il n’y a pas de remède miracle instantané face à une compromission, il faut travailler en amont, se préparer pour contrer toutes tentatives.