Usurpation de courrier électronique

Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.

La mise en forme de cet article est à améliorer (mars 2023).

La mise en forme du texte ne suit pas les recommandations de Wikipédia : il faut le « wikifier ».

Capture d'écran d'un email usurpant l'adresse de l'expéditeur

L'usurpation de courrier électronique est la création de messages électroniques avec une adresse d'expéditeur falsifiée^[1]. Le terme s'applique aux e-mails censés provenir d'une adresse qui n'est pas réellement celle de l'expéditeur ; le courrier envoyé en réponse à cette adresse peut rebondir ou être remis à une partie non affiliée dont l'identité a été falsifiée. L'adresse e-mail jetable ou e-mail "masqué" est un sujet différent, fournissant une adresse e-mail masquée qui n'est pas l'adresse normale de l'utilisateur, qui n'est pas divulguée (par exemple, afin qu'elle ne puisse pas être récoltée), mais transmet le courrier qui lui est envoyé à l'adresse réelle de l'utilisateur^[2].

Les protocoles de transmission d'origine utilisés pour les e-mails n'ont pas de méthodes d'authentification intégrées : cette lacune permet aux spams et aux e-mails d'hameçonnage d'utiliser l'usurpation d'identité afin d'induire le destinataire en erreur. Des contre-mesures plus récentes ont rendu cette usurpation d'identité à partir de sources Internet plus difficile mais ne l'ont pas éliminée ; peu de réseaux internes ont des défenses contre un e-mail frauduleux provenant de l'ordinateur compromis d'un collègue sur ce réseau. Les particuliers et les entreprises trompés par des e-mails frauduleux peuvent subir des pertes financières importantes ; en particulier, les e-mails usurpés sont souvent utilisés pour infecter les ordinateurs avec des rançongiciels.

Détails techniques[modifier | modifier le code]

Lorsqu'un e-mail SMTP (Simple Mail Transfer Protocol) est envoyé, la connexion initiale fournit deux informations d'adresse :

MAIL FROM: - généralement présenté au destinataire sous la forme de l'en-tête Return-path: normalement non visible pour l'utilisateur final, et par défaut n'est effectuée aucune vérification que le système d'envoi est autorisé à envoyer au nom de cette adresse.
RCPT TO: - spécifie l'adresse à laquelle le courrier est envoyé, n'est normalement pas visible pour l'utilisateur final mais peut être présente dans les en-têtes dans le cadre de l'en-tête "Received:".

Ensemble, ceux-ci sont parfois appelés l'« enveloppe » d'adressage - une analogie avec une enveloppe en papier traditionnelle^[3]. À moins que le serveur de messagerie de réception ne signale qu'il a des problèmes avec l'un de ces éléments, le système d'envoi envoie la commande "DATA" et envoie généralement plusieurs éléments d'en-tête, notamment :

From: (De) Joe Q Doe <joeqdoe@example.com> - l'adresse visible par le destinataire ; et encore, par défaut, n'est effectuée aucune vérification que le système expéditeur est autorisé à envoyer au nom de cette adresse.
Reply-to: (Répondre à) Jane Roe <Jane. Roe@example.mil> - non vérifié de la même manière.

et parfois:

Sender: (Expéditeur) Jin Jo <jin.jo@example.jp> - également non vérifié.

Le résultat est que le destinataire de l'e-mail voit l'e-mail comme provenant de l'adresse indiquée dans l'en-tête "From:". Ils peuvent parfois trouver l'adresse "MAIL FROM", et s'ils répondent à l'e-mail, il ira soit à l'adresse présentée dans l'en-tête "From:" ou "Reply-to:", mais aucune de ces adresses n'est généralement fiable^[4], de sorte que les messages de rebond automatisés peuvent générer une rétrodiffusion.

Bien que l'usurpation d'e-mail soit efficace pour falsifier l'adresse e-mail, l'adresse IP de l'ordinateur qui envoie le courrier peut généralement être identifiée à partir des lignes "Received:" dans l'en-tête de l'e-mail^[5]. Dans les cas malveillants, cependant, il s'agit probablement de l'ordinateur d'un tiers innocent infecté par un logiciel malveillant qui envoie l'e-mail à l'insu du propriétaire.

Utilisation malveillante de l'usurpation[modifier | modifier le code]

Les escroqueries par Hameçonnage et compromission des e-mails professionnels (voir ci-dessous) impliquent généralement un élément d'usurpation d'e-mails.

L'usurpation d'adresses électroniques a été à l'origine d'incidents publics ayant de graves conséquences commerciales et financières. Ce fut le cas dans un e-mail d'octobre 2013 à une agence de presse qui a été usurpé pour donner l'impression qu'il provenait de la société suédoise Fingerprint Cards. L'e-mail indiquait que Samsung avait proposé d'acheter la société. La nouvelle s'est répandue et le cours de la bourse a bondi de 50 %^[6].

Les logiciels malveillants tels que Klez et Sober, parmi de nombreux exemples plus modernes, recherchent souvent des adresses e-mail dans l'ordinateur qu'ils ont infecté, et ils utilisent ces adresses à la fois comme cibles pour les e-mails et également pour créer des champs De forgés crédibles dans les e-mails qu'ils envoient. Cela permet de s'assurer que les e-mails sont plus susceptibles d'être ouverts. Par exemple:

Alice reçoit un e-mail infecté qu'elle ouvre en exécutant le code du ver.
Le code du ver recherche dans le carnet d'adresses électroniques d'Alice et trouve les adresses de Bob et Charlie.
Depuis l'ordinateur d'Alice, le ver envoie un e-mail infecté à Bob, mais il est falsifié pour donner l'impression qu'il a été envoyé par Charlie.

Dans ce cas, même si le système de Bob détecte que le courrier entrant contient des logiciels malveillants, il considère que la source est Charlie, même s'il provient en réalité de l'ordinateur d'Alice. Pendant ce temps, Alice peut ne pas savoir que son ordinateur a été infecté, et Charlie n'en sait rien du tout, à moins qu'il ne reçoive un message d'erreur de Bob.

En quoi l'usurpation d'e-mail diffère-t-elle du spam et de l'hameçonnage par e-mail ?

La principale différence entre le spam et un message usurpé est que les spammeurs ne modifient pas les en-têtes des courriers pour prétendre que le courrier a été envoyé par quelqu'un d'autre. Les courrier d'hameçonnage et d'usurpation visent à faire croire à quelqu'un que le message a été envoyé par un expéditeur légitime. Cependant, l'intention principale des hameçonneurs est de compromettre les informations personnelles et financières des utilisateurs, tandis que l'usurpation d'e-mails n'est qu'un des moyens qu'ils utilisent pour le faire.

L'effet sur les serveurs de messagerie[modifier | modifier le code]

Traditionnellement, les serveurs de messagerie pouvaient accepter un courrier, puis envoyer ultérieurement un rapport de non-livraison ou un message de "rebondissement" s'il ne pouvait pas être livré ou avait été mis en quarantaine pour une raison quelconque. Ceux-ci seraient envoyés à l'adresse "MAIL FROM:" alias "Return Path". Avec l'augmentation massive des adresses falsifiées, la meilleure pratique consiste désormais à ne pas générer de NDR pour les spams, virus, etc.^[7] détectés, mais à rejeter l'e-mail lors de la transaction SMTP. Lorsque les administrateurs de messagerie n'adoptent pas cette approche, leurs systèmes sont coupables d'envoyer des e-mails de "rétrodiffusion" à des parties innocentes - en soi une forme de spam - ou d'être utilisés pour effectuer des attaques "Joe job".

Contre-mesures[modifier | modifier le code]

Le système SSL/TLS utilisé pour chiffrer le trafic de messagerie de serveur à serveur peut également être utilisé pour appliquer l'authentification, mais dans la pratique, il est rarement utilisé^[8] et une gamme d'autres solutions potentielles n'ont pas non plus réussi à gagner du terrain.

Un certain nombre de systèmes défensifs sont devenus largement utilisés, notamment:

Cadre de politique de l'expéditeur (SPF) – une méthode d'authentification de courrier électronique conçue pour détecter les adresses d'expéditeur falsifiées lors de la livraison de l'e-mail^[9].
Courrier identifié par DomainKeys (DKIM) – une méthode d'authentification de courrier électronique conçue pour détecter les adresses d'expéditeur falsifiées dans les e-mails (email spoofing), une technique souvent utilisée dans l'Hameçonnage et le spam par e-mail.
Authentification, rapport et conformité des messages basés sur le domaine (DMARC) – un protocole d'authentification de courrier électronique. Il est conçu pour donner aux propriétaires de domaines de messagerie la possibilité de protéger leur domaine contre toute utilisation non autorisée, communément appelée usurpation d'e-mails. L'objectif et le résultat principal de la mise en œuvre de DMARC est de protéger un domaine contre l'utilisation dans des attaques de compromission de messagerie professionnelle, des e-mails d'Hameçonnage, des escroqueries par courrier électronique et d'autres activités de cybermenaces.

Pour empêcher efficacement la livraison de courriers électroniques falsifiés, les domaines d'envoi, leurs serveurs de messagerie et le système de réception doivent tous être correctement configurés pour ces normes d'authentification plus élevées. Bien que leur utilisation augmente, les estimations varient considérablement quant au pourcentage d'e-mails qui n'ont aucune forme d'authentification de domaine : de 8,6 %^[10] à "presque la moitié"^[11]^,^[12]^,^[13]. Pour cette raison, les systèmes de réception de messagerie disposent généralement d'une gamme de paramètres pour configurer la manière dont ils traitent les domaines ou les e-mails mal configurés^[14]^,^[15].

Courrier professionnel[modifier | modifier le code]

Les attaques par compromission de messagerie professionnels sont une classe de cybercriminalité qui utilise la fraude par e-mail pour attaquer des organisations commerciales, gouvernementales et à but non lucratif afin d'obtenir un résultat spécifique qui a un impact négatif sur l'organisation cible. Les exemples incluent les escroqueries aux factures et les attaques par harponnage qui sont conçues pour recueillir des données pour d'autres activités criminelles. Une entreprise trompée par une usurpation d'e-mail peut subir des dommages financiers, de continuité d'activité et de réputation supplémentaires : les faux courriers sont une voie privilégiée pour les rançongiciels qui peuvent arrêter les opérations à moins qu'une rançon ne soit payée ; les atteintes à la vie privée des consommateurs peuvent également être activées.

En règle générale, une attaque cible des rôles spécifiques d'employés au sein d'une organisation en envoyant un courrier frauduleux (ou une série de courriers falsifiés) qui représentent frauduleusement un collègue senior (PDG ou similaire) ou un client de confiance^[16]. (Ce type d'attaque est connu sous le nom de harponnage). Le courrier émettra des instructions, telles que l'approbation des paiements ou la publication des données client. Les courriers utilisent souvent l'ingénierie sociale pour inciter la victime à effectuer des virements d'argent sur le compte bancaire du fraudeur^[17].

L'impact financier mondial est important. Le Federal Bureau of Investigation des États-Unis a enregistré 26 milliards de dollars de pertes américaines et internationales associées aux attaques du BEC entre juin 2016 et juillet 2019^[18].

Incidents[modifier | modifier le code]

Le zoo de Dublin a perdu 130 000 € dans une telle arnaque en 2017 - un total de 500 000 € a été volé, bien que la plupart aient été récupérés^[19].
La société aérospatiale autrichienne FACC AG a été escroquée de 42 millions d'euros (47 millions de dollars) lors d'une attaque en février 2016 - et a ensuite licencié le directeur financier et le PDG^[20].
Te Wananga o Aotearoa en Nouvelle-Zélande a été victime d'une fraude de 120 000 $ (NZD)^[21].
Le service d'incendie de Nouvelle-Zélande a été victime d'une escroquerie de 52 000 $ en 2015^[22].
Ubiquiti Networks a perdu 46,7 millions de dollars à cause d'une telle arnaque en 2015^[23].
Save the Children USA (en) a été victime d'une cyberarnaque d'un million de dollars en 2017^[24].
Les organisations australiennes qui ont signalé des attaques par compromission de messagerie professionnelle contre la Commission australienne de la concurrence et de la consommation ont subi des pertes financières d'environ 2 800 000 $ (AUD) pour l'année 2018^[25].
En 2013, Evaldas Rimasauskas et ses employés ont envoyé des milliers d'e-mails frauduleux pour accéder aux systèmes de messagerie des entreprises^[26].

Voir aussi[modifier | modifier le code]

Chaîne de lettres – Lettre écrite successivement par un groupe de personnes.
Virus informatique – Programme informatique qui modifie d'autres programmes pour se répliquer et se propager.
Ver informatique – Programme malveillant autoréplicatif.
Réglementation sur la cybersécurité – sécurité informatique mandatée par le gouvernement.
Cybercriminalité – Terme désignant un crime en ligne.
Nom de domaine#Domain name spoofing – Chaîne d'identification sur Internet susceptible d'être compromise.
DMARC – Système de prévention de la fraude par e-mail.
Authentification des e-mails – Techniques visant à fournir des informations vérifiables sur l'origine des e-mails.
Canular – Fabrication délibérée généralisée présentée comme la vérité.
Joe job – Technique de spam qui envoie des e-mails non sollicités à l'aide de données d'expéditeur falsifiées.
Hameçonnage – Tentative d'inciter une personne à révéler des informations.
Appel canular – appel destiné à faire une farce à la personne qui répond.
Ingénierie sociale (sécurité) – manipulation psychologique de personnes pour qu'elles effectuent des actions ou divulguent des informations confidentielles.
Usurpation de site – Créer un site Web, comme un canular, avec l'intention d'induire les lecteurs en erreur.

Notes et références[modifier | modifier le code]

↑ (en) Varshney, Misra et Atrey, « A survey and classification of web phishing detection schemes: Phishing is a fraudulent act that is used to deceive users », Security and Communication Networks, vol. 9, n^o 18,‎ 26 octobre 2016, p. 6266–6284 (DOI 10.1002/sec.1674, lire en ligne)
↑ Yee, « What is masked email? This new spin on an old practice supercharges your security », PCWorld, 6 juin 2022
↑ Siebenmann, « A quick overview of SMTP » [archive du 3 avril 2019], University of Toronto (consulté le 8 avril 2019)
↑ Barnes, « E-Mail Impersonators » [archive du 13 avril 2019], 12 mars 2002 (consulté le 8 avril 2019)
↑ « e-mail impersonators: identifying "spoofed" e-mail » [archive du 21 juin 2017] (consulté le 8 avril 2019)
↑ (en) « Fraudsters' fingerprints on fake Samsung deal », Financial Times,‎ 11 octobre 2013 (lire en ligne [archive du 10 février 2019] , consulté le 8 avril 2019).
↑ See RFC3834
↑ « Transport Layer Security for Inbound Mail » [archive du 11 novembre 2016], Google Postini Services (consulté le 8 avril 2019)
↑ Carranza, « How To use an SPF Record to Prevent Spoofing & Improve E-mail Reliability » [archive du 20 avril 2015], DigitalOcean, 16 juillet 2013 (consulté le 23 septembre 2019) : « A carefully tailored SPF record will reduce the likelihood of your domain name getting fraudulently spoofed and keep your messages from getting flagged as spam before they reach your recipients. Email spoofing is the creation of email messages with a forged sender address; something that is simple to do because many mail servers do not perform authentication. Spam and phishing emails typically use such spoofing to mislead the recipient about the origin of the message. »
↑ Bursztein et Eranti, « Internet-wide efforts to fight email phishing are working » [archive du 4 avril 2019], Google Security Blog, 6 décembre 2013 (consulté le 8 avril 2019)
↑ Eggert, « SPF Deployment Trends » [archive du 2 avril 2016] (consulté le 8 avril 2019)
↑ Eggert, « DKIM Deployment Trends » [archive du 22 août 2018] (consulté le 8 avril 2019)
↑ « In First Year, DMARC Protects 60 Percent of Global Consumer Mailboxes » [archive du 20 septembre 2018], dmarc.org, 6 février 2013 (consulté le 8 avril 2019)
↑ « Prevent spoofed messages with spoofed senders detection » [archive du 23 mars 2019] (consulté le 8 avril 2019)
↑ « Anti-spoofing protection in Office 365 » [archive du 9 avril 2019] (consulté le 8 avril 2019)
↑ Joan Goodchild, « How to Recognize a Business Email Compromise Attack » [archive du 23 mars 2019], Security Intelligence, 20 juin 2018 (consulté le 11 mars 2019)
↑ (en) « Tips to Avoid Phishing Attacks and Social Engineering » [archive du 2 décembre 2020], www.bankinfosecurity.com (consulté le 17 novembre 2020)
↑ « Business Email Compromise Is Extremely Costly And Increasingly Preventable » [archive du 23 octobre 2021], Forbes Media, 15 avril 2020 (consulté le 2 décembre 2020)
↑ « Dublin Zoo lost €500k after falling victim to cyber-scam » [archive du 8 août 2019], 22 décembre 2017 (consulté le 23 octobre 2021)
↑ « Austria's FACC, hit by cyber fraud, fires CEO », Reuters,‎ 26 mai 2016 (lire en ligne [archive du 21 mars 2021], consulté le 20 décembre 2018)
↑ « Te Wananga o Aotearoa caught up in $120k financial scam » [archive du 20 décembre 2018], NZ Herald (consulté le 20 décembre 2018)
↑ « Fire Service scammed out of $52,000 », RNZ News,‎ 23 décembre 2015 (lire en ligne [archive du 20 décembre 2018], consulté le 20 décembre 2018)
↑ Robert Hackett, « Fraudsters duped this company into handing over $40 million », Fortune magazine,‎ 10 août 2015 (lire en ligne [archive du 20 décembre 2018], consulté le 20 décembre 2018)
↑ Todd Wallack, « Hackers fooled Save the Children into sending $1 million to a phony account », The Boston Globe,‎ 13 décembre 2018 (lire en ligne [archive du 20 décembre 2018], consulté le 20 décembre 2018)
↑ Dominic Powell, « Business loses $300,000 to 'spoofed' email scam: How to protect yourself from being impersonated », Smart Company,‎ 27 novembre 2018 (lire en ligne [archive du 27 novembre 2018], consulté le 14 décembre 2018)
↑ (en-US) « Sentence in BEC Scheme » [archive du 31 janvier 2020], Federal Bureau of Investigation (consulté le 1^er février 2020)

Liens externes[modifier | modifier le code]

« 2002 Tech Tip: Spoofed/Forged Email », SEI Digital Library, Carnegie Mellon University, 1^er janvier 2002 (consulté le 19 décembre 2019)

[1] (en) Varshney, Misra et Atrey, « A survey and classification of web phishing detection schemes: Phishing is a fraudulent act that is used to deceive users », Security and Communication Networks, vol. 9, n^o 18,‎ 26 octobre 2016, p. 6266–6284 (DOI 10.1002/sec.1674, lire en ligne)

[2] Yee, « What is masked email? This new spin on an old practice supercharges your security », PCWorld, 6 juin 2022

[3] Siebenmann, « A quick overview of SMTP » [archive du 3 avril 2019], University of Toronto (consulté le 8 avril 2019)

[4] Barnes, « E-Mail Impersonators » [archive du 13 avril 2019], 12 mars 2002 (consulté le 8 avril 2019)

[5] « e-mail impersonators: identifying "spoofed" e-mail » [archive du 21 juin 2017] (consulté le 8 avril 2019)

[6] (en) « Fraudsters' fingerprints on fake Samsung deal », Financial Times,‎ 11 octobre 2013 (lire en ligne [archive du 10 février 2019] , consulté le 8 avril 2019).

[7] See RFC3834

[8] « Transport Layer Security for Inbound Mail » [archive du 11 novembre 2016], Google Postini Services (consulté le 8 avril 2019)

[9] Carranza, « How To use an SPF Record to Prevent Spoofing & Improve E-mail Reliability » [archive du 20 avril 2015], DigitalOcean, 16 juillet 2013 (consulté le 23 septembre 2019) : « A carefully tailored SPF record will reduce the likelihood of your domain name getting fraudulently spoofed and keep your messages from getting flagged as spam before they reach your recipients. Email spoofing is the creation of email messages with a forged sender address; something that is simple to do because many mail servers do not perform authentication. Spam and phishing emails typically use such spoofing to mislead the recipient about the origin of the message. »

[10] Bursztein et Eranti, « Internet-wide efforts to fight email phishing are working » [archive du 4 avril 2019], Google Security Blog, 6 décembre 2013 (consulté le 8 avril 2019)

[11] Eggert, « SPF Deployment Trends » [archive du 2 avril 2016] (consulté le 8 avril 2019)

[12] Eggert, « DKIM Deployment Trends » [archive du 22 août 2018] (consulté le 8 avril 2019)

[13] « In First Year, DMARC Protects 60 Percent of Global Consumer Mailboxes » [archive du 20 septembre 2018], dmarc.org, 6 février 2013 (consulté le 8 avril 2019)

[14] « Prevent spoofed messages with spoofed senders detection » [archive du 23 mars 2019] (consulté le 8 avril 2019)

[15] « Anti-spoofing protection in Office 365 » [archive du 9 avril 2019] (consulté le 8 avril 2019)

[16] Joan Goodchild, « How to Recognize a Business Email Compromise Attack » [archive du 23 mars 2019], Security Intelligence, 20 juin 2018 (consulté le 11 mars 2019)

[17] (en) « Tips to Avoid Phishing Attacks and Social Engineering » [archive du 2 décembre 2020], www.bankinfosecurity.com (consulté le 17 novembre 2020)

[18] « Business Email Compromise Is Extremely Costly And Increasingly Preventable » [archive du 23 octobre 2021], Forbes Media, 15 avril 2020 (consulté le 2 décembre 2020)

[19] « Dublin Zoo lost €500k after falling victim to cyber-scam » [archive du 8 août 2019], 22 décembre 2017 (consulté le 23 octobre 2021)

[20] « Austria's FACC, hit by cyber fraud, fires CEO », Reuters,‎ 26 mai 2016 (lire en ligne [archive du 21 mars 2021], consulté le 20 décembre 2018)

[21] « Te Wananga o Aotearoa caught up in $120k financial scam » [archive du 20 décembre 2018], NZ Herald (consulté le 20 décembre 2018)

[22] « Fire Service scammed out of $52,000 », RNZ News,‎ 23 décembre 2015 (lire en ligne [archive du 20 décembre 2018], consulté le 20 décembre 2018)

[23] Robert Hackett, « Fraudsters duped this company into handing over $40 million », Fortune magazine,‎ 10 août 2015 (lire en ligne [archive du 20 décembre 2018], consulté le 20 décembre 2018)

[24] Todd Wallack, « Hackers fooled Save the Children into sending $1 million to a phony account », The Boston Globe,‎ 13 décembre 2018 (lire en ligne [archive du 20 décembre 2018], consulté le 20 décembre 2018)

[25] Dominic Powell, « Business loses $300,000 to 'spoofed' email scam: How to protect yourself from being impersonated », Smart Company,‎ 27 novembre 2018 (lire en ligne [archive du 27 novembre 2018], consulté le 14 décembre 2018)

[26] (en-US) « Sentence in BEC Scheme » [archive du 31 janvier 2020], Federal Bureau of Investigation (consulté le 1^er février 2020)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]