Usurpation d'adresse électronique
L'usurpation d’adresse électronique est la création de messages électroniques avec une adresse d'expéditeur falsifiée[1]. Le terme s'applique aux e-mails censés provenir d'une adresse qui n'est pas réellement celle de l'expéditeur ; le courrier envoyé en réponse à cette adresse peut rebondir ou être remis à une partie non affiliée dont l'identité a été falsifiée. L'adresse e-mail jetable ou e-mail "masqué" est un sujet différent, fournissant une adresse e-mail masquée qui n'est pas l'adresse normale de l'utilisateur, qui n'est pas divulguée (par exemple, afin qu'elle ne puisse pas être récoltée), mais transmet le courrier qui lui est envoyé à l'adresse réelle de l'utilisateur[2].
Les protocoles de transmission d'origine utilisés pour les e-mails n'ont pas de méthodes d'authentification intégrées : cette lacune permet aux spams et aux e-mails d'hameçonnage d'utiliser l'usurpation d'identité afin d'induire le destinataire en erreur. Des contre-mesures plus récentes ont rendu cette usurpation d'identité à partir de sources Internet plus difficile mais ne l'ont pas éliminée ; peu de réseaux internes ont des défenses contre un e-mail frauduleux provenant de l'ordinateur compromis d'un collègue sur ce réseau. Les particuliers et les entreprises trompés par des e-mails frauduleux peuvent subir des pertes financières importantes ; en particulier, les e-mails usurpés sont souvent utilisés pour infecter les ordinateurs avec des rançongiciels.
Détails techniques
modifierLorsqu'un e-mail SMTP (Simple Mail Transfer Protocol) est envoyé, la connexion initiale fournit deux informations d'adresse :
- MAIL FROM: - généralement présenté au destinataire sous la forme de l'en-tête Return-path: normalement non visible pour l'utilisateur final, et par défaut n'est effectuée aucune vérification que le système d'envoi est autorisé à envoyer au nom de cette adresse.
- RCPT TO: - spécifie l'adresse à laquelle le courrier est envoyé, n'est normalement pas visible pour l'utilisateur final mais peut être présente dans les en-têtes dans le cadre de l'en-tête "Received:".
Ensemble, ceux-ci sont parfois appelés l'« enveloppe » d'adressage - une analogie avec une enveloppe en papier traditionnelle[3]. À moins que le serveur de messagerie de réception ne signale qu'il a des problèmes avec l'un de ces éléments, le système d'envoi envoie la commande "DATA" et envoie généralement plusieurs éléments d'en-tête, notamment :
- From: (De) Joe Q Doe <joeqdoe@example.com> - l'adresse visible par le destinataire ; et encore, par défaut, n'est effectuée aucune vérification que le système expéditeur est autorisé à envoyer au nom de cette adresse.
- Reply-to: (Répondre à) Jane Roe <Jane. Roe@example.mil> - non vérifié de la même manière.
et parfois:
- Sender: (Expéditeur) Jin Jo <jin.jo@example.jp> - également non vérifié.
Le résultat est que le destinataire de l'e-mail voit l'e-mail comme provenant de l'adresse indiquée dans l'en-tête "From:". Ils peuvent parfois trouver l'adresse "MAIL FROM", et s'ils répondent à l'e-mail, il ira soit à l'adresse présentée dans l'en-tête "From:" ou "Reply-to:", mais aucune de ces adresses n'est généralement fiable[4], de sorte que les messages de rebond automatisés peuvent générer une rétrodiffusion.
Bien que l'usurpation d'e-mail soit efficace pour falsifier l'adresse e-mail, l'adresse IP de l'ordinateur qui envoie le courrier peut généralement être identifiée à partir des lignes "Received:" dans l'en-tête de l'e-mail[5]. Dans les cas malveillants, cependant, il s'agit probablement de l'ordinateur d'un tiers innocent infecté par un logiciel malveillant qui envoie l'e-mail à l'insu du propriétaire.
Utilisation malveillante de l'usurpation
modifierLes escroqueries par Hameçonnage et compromission des e-mails professionnels (voir ci-dessous) impliquent généralement un élément d'usurpation d'e-mails.
L'usurpation d'adresses électroniques a été à l'origine d'incidents publics ayant de graves conséquences commerciales et financières. Ce fut le cas dans un e-mail d'octobre 2013 à une agence de presse qui a été usurpé pour donner l'impression qu'il provenait de la société suédoise Fingerprint Cards. L'e-mail indiquait que Samsung avait proposé d'acheter la société. La nouvelle s'est répandue et le cours de la bourse a bondi de 50 %[6].
Les logiciels malveillants tels que Klez et Sober, parmi de nombreux exemples plus modernes, recherchent souvent des adresses e-mail dans l'ordinateur qu'ils ont infecté, et ils utilisent ces adresses à la fois comme cibles pour les e-mails et également pour créer des champs De forgés crédibles dans les e-mails qu'ils envoient. Cela permet de s'assurer que les e-mails sont plus susceptibles d'être ouverts. Par exemple:
- Alice reçoit un e-mail infecté qu'elle ouvre en exécutant le code du ver.
- Le code du ver recherche dans le carnet d'adresses électroniques d'Alice et trouve les adresses de Bob et Charlie.
- Depuis l'ordinateur d'Alice, le ver envoie un e-mail infecté à Bob, mais il est falsifié pour donner l'impression qu'il a été envoyé par Charlie.
Dans ce cas, même si le système de Bob détecte que le courrier entrant contient des logiciels malveillants, il considère que la source est Charlie, même s'il provient en réalité de l'ordinateur d'Alice. Pendant ce temps, Alice peut ne pas savoir que son ordinateur a été infecté, et Charlie n'en sait rien du tout, à moins qu'il ne reçoive un message d'erreur de Bob.
En quoi l'usurpation d'e-mail diffère-t-elle du spam et de l'hameçonnage par e-mail ?
La principale différence entre le spam et un message usurpé est que les spammeurs ne modifient pas les en-têtes des courriers pour prétendre que le courrier a été envoyé par quelqu'un d'autre. Les courrier d'hameçonnage et d'usurpation visent à faire croire à quelqu'un que le message a été envoyé par un expéditeur légitime. Cependant, l'intention principale des hameçonneurs est de compromettre les informations personnelles et financières des utilisateurs, tandis que l'usurpation d'e-mails n'est qu'un des moyens qu'ils utilisent pour le faire.
L'effet sur les serveurs de messagerie
modifierTraditionnellement, les serveurs de messagerie pouvaient accepter un courrier, puis envoyer ultérieurement un rapport de non-livraison ou un message de "rebondissement" s'il ne pouvait pas être livré ou avait été mis en quarantaine pour une raison quelconque. Ceux-ci seraient envoyés à l'adresse "MAIL FROM:" alias "Return Path". Avec l'augmentation massive des adresses falsifiées, la meilleure pratique consiste désormais à ne pas générer de NDR pour les spams, virus, etc.[7] détectés, mais à rejeter l'e-mail lors de la transaction SMTP. Lorsque les administrateurs de messagerie n'adoptent pas cette approche, leurs systèmes sont coupables d'envoyer des e-mails de "rétrodiffusion" à des parties innocentes - en soi une forme de spam - ou d'être utilisés pour effectuer des attaques "Joe job".
Contre-mesures
modifierLe système SSL/TLS utilisé pour chiffrer le trafic de messagerie de serveur à serveur peut également être utilisé pour appliquer l'authentification, mais dans la pratique, il est rarement utilisé[8] et une gamme d'autres solutions potentielles n'ont pas non plus réussi à gagner du terrain.
Un certain nombre de systèmes défensifs sont devenus largement utilisés, notamment:
- Cadre de politique de l'expéditeur (SPF) – une méthode d'authentification de courrier électronique conçue pour détecter les adresses d'expéditeur falsifiées lors de la livraison de l'e-mail[9].
- Courrier identifié par DomainKeys (DKIM) – une méthode d'authentification de courrier électronique conçue pour détecter les adresses d'expéditeur falsifiées dans les e-mails (email spoofing), une technique souvent utilisée dans l'Hameçonnage et le spam par e-mail.
- Authentification, rapport et conformité des messages basés sur le domaine (DMARC) – un protocole d'authentification de courrier électronique. Il est conçu pour donner aux propriétaires de domaines de messagerie la possibilité de protéger leur domaine contre toute utilisation non autorisée, communément appelée usurpation d'e-mails. L'objectif et le résultat principal de la mise en œuvre de DMARC est de protéger un domaine contre l'utilisation dans des attaques de compromission de messagerie professionnelle, des e-mails d'Hameçonnage, des escroqueries par courrier électronique et d'autres activités de cybermenaces.
Pour empêcher efficacement la livraison de courriers électroniques falsifiés, les domaines d'envoi, leurs serveurs de messagerie et le système de réception doivent tous être correctement configurés pour ces normes d'authentification plus élevées. Bien que leur utilisation augmente, les estimations varient considérablement quant au pourcentage d'e-mails qui n'ont aucune forme d'authentification de domaine : de 8,6 %[10] à "presque la moitié"[11],[12],[13]. Pour cette raison, les systèmes de réception de messagerie disposent généralement d'une gamme de paramètres pour configurer la manière dont ils traitent les domaines ou les e-mails mal configurés[14],[15].
Courrier professionnel
modifierLes attaques par compromission de messagerie professionnels sont une classe de cybercriminalité qui utilise la fraude par e-mail pour attaquer des organisations commerciales, gouvernementales et à but non lucratif afin d'obtenir un résultat spécifique qui a un impact négatif sur l'organisation cible. Les exemples incluent les escroqueries aux factures et les attaques par harponnage qui sont conçues pour recueillir des données pour d'autres activités criminelles. Une entreprise trompée par une usurpation d'e-mail peut subir des dommages financiers, de continuité d'activité et de réputation supplémentaires : les faux courriers sont une voie privilégiée pour les rançongiciels qui peuvent arrêter les opérations à moins qu'une rançon ne soit payée ; les atteintes à la vie privée des consommateurs peuvent également être activées.
En règle générale, une attaque cible des rôles spécifiques d'employés au sein d'une organisation en envoyant un courrier frauduleux (ou une série de courriers falsifiés) qui représentent frauduleusement un collègue senior (PDG ou similaire) ou un client de confiance[16]. (Ce type d'attaque est connu sous le nom de harponnage). Le courrier émettra des instructions, telles que l'approbation des paiements ou la publication des données client. Les courriers utilisent souvent l'ingénierie sociale pour inciter la victime à effectuer des virements d'argent sur le compte bancaire du fraudeur[17].
L'impact financier mondial est important. Le Federal Bureau of Investigation des États-Unis a enregistré 26 milliards de dollars de pertes américaines et internationales associées aux attaques du BEC entre juin 2016 et juillet 2019[18].
Incidents
modifier- Le zoo de Dublin a perdu 130 000 € dans une telle arnaque en 2017 - un total de 500 000 € a été volé, bien que la plupart aient été récupérés[19].
- La société aérospatiale autrichienne FACC AG a été escroquée de 42 millions d'euros (47 millions de dollars) lors d'une attaque en février 2016 - et a ensuite licencié le directeur financier et le PDG[20].
- Te Wananga o Aotearoa en Nouvelle-Zélande a été victime d'une fraude de 120 000 $ (NZD)[21].
- Le service d'incendie de Nouvelle-Zélande a été victime d'une escroquerie de 52 000 $ en 2015[22].
- Ubiquiti Networks a perdu 46,7 millions de dollars à cause d'une telle arnaque en 2015[23].
- Save the Children USA (en) a été victime d'une cyberarnaque d'un million de dollars en 2017[24].
- Les organisations australiennes qui ont signalé des attaques par compromission de messagerie professionnelle contre la Commission australienne de la concurrence et de la consommation ont subi des pertes financières d'environ 2 800 000 $ (AUD) pour l'année 2018[25].
- En 2013, Evaldas Rimasauskas et ses employés ont envoyé des milliers d'e-mails frauduleux pour accéder aux systèmes de messagerie des entreprises[26].
Voir aussi
modifier- Chaîne de lettres – Lettre écrite successivement par un groupe de personnes.
- Virus informatique – Programme informatique qui modifie d'autres programmes pour se répliquer et se propager.
- Ver informatique – Programme malveillant autoréplicatif.
- Réglementation sur la cybersécurité – sécurité informatique mandatée par le gouvernement.
- Cybercriminalité – Terme désignant un crime en ligne.
- Nom de domaine#Domain name spoofing – Chaîne d'identification sur Internet susceptible d'être compromise.
- DMARC – Système de prévention de la fraude par e-mail.
- Authentification des e-mails – Techniques visant à fournir des informations vérifiables sur l'origine des e-mails.
- Canular – Fabrication délibérée généralisée présentée comme la vérité.
- Joe job – Technique de spam qui envoie des e-mails non sollicités à l'aide de données d'expéditeur falsifiées.
- Hameçonnage – Tentative d'inciter une personne à révéler des informations.
- Appel canular – appel destiné à faire une farce à la personne qui répond.
- Ingénierie sociale (sécurité) – manipulation psychologique de personnes pour qu'elles effectuent des actions ou divulguent des informations confidentielles.
- Usurpation de site – Créer un site Web, comme un canular, avec l'intention d'induire les lecteurs en erreur.
Notes et références
modifier- (en) Varshney, Misra et Atrey, « A survey and classification of web phishing detection schemes: Phishing is a fraudulent act that is used to deceive users », Security and Communication Networks, vol. 9, no 18, , p. 6266–6284 (DOI 10.1002/sec.1674, lire en ligne)
- Yee, « What is masked email? This new spin on an old practice supercharges your security », PCWorld,
- Siebenmann, « A quick overview of SMTP » [archive du ], University of Toronto (consulté le )
- Barnes, « E-Mail Impersonators » [archive du ], (consulté le )
- « e-mail impersonators: identifying "spoofed" e-mail » [archive du ] (consulté le )
- (en) « Fraudsters' fingerprints on fake Samsung deal », Financial Times, (lire en ligne [archive du ] , consulté le ).
- See RFC3834
- « Transport Layer Security for Inbound Mail » [archive du ], Google Postini Services (consulté le )
- Carranza, « How To use an SPF Record to Prevent Spoofing & Improve E-mail Reliability » [archive du ], DigitalOcean, (consulté le ) : « A carefully tailored SPF record will reduce the likelihood of your domain name getting fraudulently spoofed and keep your messages from getting flagged as spam before they reach your recipients. Email spoofing is the creation of email messages with a forged sender address; something that is simple to do because many mail servers do not perform authentication. Spam and phishing emails typically use such spoofing to mislead the recipient about the origin of the message. »
- Bursztein et Eranti, « Internet-wide efforts to fight email phishing are working » [archive du ], Google Security Blog, (consulté le )
- Eggert, « SPF Deployment Trends » [archive du ] (consulté le )
- Eggert, « DKIM Deployment Trends » [archive du ] (consulté le )
- « In First Year, DMARC Protects 60 Percent of Global Consumer Mailboxes » [archive du ], dmarc.org, (consulté le )
- « Prevent spoofed messages with spoofed senders detection » [archive du ] (consulté le )
- « Anti-spoofing protection in Office 365 » [archive du ] (consulté le )
- Joan Goodchild, « How to Recognize a Business Email Compromise Attack » [archive du ], Security Intelligence, (consulté le )
- (en) « Tips to Avoid Phishing Attacks and Social Engineering » [archive du ], www.bankinfosecurity.com (consulté le )
- « Business Email Compromise Is Extremely Costly And Increasingly Preventable » [archive du ], Forbes Media, (consulté le )
- « Dublin Zoo lost €500k after falling victim to cyber-scam » [archive du ], (consulté le )
- « Austria's FACC, hit by cyber fraud, fires CEO », Reuters, (lire en ligne [archive du ], consulté le )
- « Te Wananga o Aotearoa caught up in $120k financial scam » [archive du ], NZ Herald (consulté le )
- « Fire Service scammed out of $52,000 », RNZ News, (lire en ligne [archive du ], consulté le )
- Robert Hackett, « Fraudsters duped this company into handing over $40 million », Fortune magazine, (lire en ligne [archive du ], consulté le )
- Todd Wallack, « Hackers fooled Save the Children into sending $1 million to a phony account », The Boston Globe, (lire en ligne [archive du ], consulté le )
- Dominic Powell, « Business loses $300,000 to 'spoofed' email scam: How to protect yourself from being impersonated », Smart Company, (lire en ligne [archive du ], consulté le )
- (en-US) « Sentence in BEC Scheme » [archive du ], Federal Bureau of Investigation (consulté le )
Liens externes
modifier- « 2002 Tech Tip: Spoofed/Forged Email », SEI Digital Library, Carnegie Mellon University, (consulté le )