En 2020, un employé de la finance dans une entreprise de taille moyenne a reçu un email de son CEO demandant un virement urgent. L'email provenait de l'adresse exacte du CEO. Le style d'écriture correspondait. La demande, bien qu'inhabituelle, n'était pas invraisemblable—ils avaient déjà effectué des transferts d'urgence. L'employé a envoyé $200,000 vers un compte qui s'est avéré appartenir à des criminels en Europe de l'Est.
Le CEO n'avait jamais envoyé cet email. Quelqu'un l'avait spoofé.
Le spoofing d'email fait partie de ces attaques qui semblent ne plus pouvoir fonctionner en 2024. On se dit qu'on a forcément trouvé comment vérifier qui a envoyé un email. Mais la réalité, peu confortable, c'est que l'email a été conçu à une époque de confiance implicite, et ce design nous hante encore. Sans contre-mesures explicites, n'importe qui peut envoyer un email en prétendant être n'importe qui.
Pourquoi le spoofing est si facile
Pour comprendre pourquoi le spoofing marche, il faut comprendre comment l'email fonctionne réellement—et à quel point c'est différent de ce que la plupart des gens imaginent.
Quand vous envoyez une lettre, l'adresse de retour est juste quelque chose que vous écrivez sur l'enveloppe. La poste ne la vérifie pas. Vous pourriez écrire la Maison Blanche comme adresse de retour, et la lettre serait distribuée sans question. L'email fonctionne de la même manière.
L'adresse 'From' que vous voyez dans votre boîte de réception n'est qu'un en-tête du message. Le serveur d'envoi la définit comme il veut. Il n'y a aucune vérification intégrée que le serveur est autorisé à envoyer pour ce domaine, ni que la personne qui envoie contrôle réellement cette adresse.
Ce n'était pas un oubli—c'était un choix de conception. Les premiers réseaux d'email étaient de petites communautés de confiance. Tout le monde se connaissait. L'idée que quelqu'un mentirait sur son identité n'était pas une grande préoccupation. Au moment où l'internet est devenu suffisamment grand pour que cela pose problème, le protocole était trop enraciné pour changer.
Résultat: le spoofing d'un email ne nécessite aucun outil ou compétence particuliers. Vous pouvez le faire avec quelques lignes de code, avec des logiciels gratuits, ou même via les paramètres avancés de certains clients email. La barrière d'entrée est quasiment nulle.
L'anatomie d'un email spoofé
Un email spoofé ressemble exactement à un email légitime parce que, structurellement, c'est un email légitime—juste avec des informations fausses dans les en-têtes.
L'attaquant définit l'en-tête 'From' sur l'adresse qu'il veut usurper. Il peut aussi définir l'en-tête 'Reply-To' sur sa propre adresse, pour que les réponses lui parviennent plutôt qu'à l'expéditeur usurpé. Le 'envelope from' (utilisé pour les messages de rebond) peut encore être différent.
Les attaquants sophistiqués vont plus loin. Ils étudient le style d'écriture de la cible et le reproduisent. Ils se renseignent sur l'organisation pour rendre les demandes plausibles. Ils synchronisent leurs attaques lorsque la personne usurpée voyage ou est autrement indisponible, pour empêcher un démenti rapide.
L'email transite par le serveur de messagerie de l'attaquant vers celui du destinataire. Sans vérifications d'authentification, le serveur du destinataire n'a aucun moyen de savoir que l'email est frauduleux. Il le livre dans la boîte de réception comme n'importe quel autre email.
Du point de vue du destinataire, l'email paraît totalement légitime. L'adresse 'From' est correcte. Il n'y a aucun signe évident de falsification. Les seuls indices peuvent être subtils—un ton légèrement différent, une demande inhabituelle, une adresse reply-to qui ne correspond pas à l'adresse from. Faciles à rater, surtout quand on est débordé.
L'impact pour l'entreprise
Le spoofing permet plusieurs catégories d'attaque, chacune avec des cibles et des impacts différents.
Business Email Compromise (BEC) cible les employés ayant accès à l'argent ou à des données sensibles. L'attaquant se fait passer pour un dirigeant ou un partenaire de confiance et demande des virements, des formulaires W-2, ou des informations confidentielles. Le FBI estime que le BEC a causé $2.7 billion de pertes en 2022 à lui seul—plus que tout autre type de cybercriminalité.
Les campagnes de phishing utilisent des emails spoofés pour voler des identifiants à grande échelle. Un email semblant provenir de l'IT demande aux employés de « vérifier » leurs mots de passe. Un email de « HR » renvoie vers un faux portail de prestations. Le domaine d'expéditeur usurpé rend ces attaques bien plus convaincantes que du spam évident.
Les attaques de réputation utilisent votre domaine pour envoyer du spam ou des malwares. Même si les destinataires ne se font pas avoir, ils associent l'email malveillant à votre marque. Votre domaine finit sur des listes noires. La délivrabilité de vos emails légitimes en souffre. Nettoyer les dégâts prend des mois.
Les attaques de la chaîne d'approvisionnement visent vos clients ou partenaires. Les attaquants envoient des factures depuis votre domaine spoofé avec des détails de paiement modifiés. Ou ils envoient des malwares déguisés en documents que votre entreprise pourrait plausiblement partager. Vos relations en pâtissent alors que vous n'y êtes pour rien.
Stopper le spoofing avec l'authentification
La bonne nouvelle, c'est que le spoofing d'email est un problème résolu—techniquement. La solution, c'est la trifecta d'authentification: SPF, DKIM et DMARC.
SPF vous permet de publier une liste de serveurs autorisés à envoyer des emails pour votre domaine. Quand un email arrive en prétendant venir de votre domaine, le serveur de réception peut vérifier si le serveur d'envoi est sur votre liste. Sinon, l'email est suspect.
DKIM ajoute une signature cryptographique à vos emails. La signature prouve que l'email provient de quelqu'un ayant votre clé privée et qu'il n'a pas été modifié en transit. Les attaquants ne peuvent pas forger cette signature sans accéder à votre clé.
DMARC lie le tout en indiquant aux serveurs de réception quoi faire quand SPF ou DKIM échoue, et en exigeant que le domaine authentifié corresponde à l'adresse 'From' visible. Avec DMARC en politique 'reject', les emails spoofés sont bloqués avant d'atteindre la boîte de réception.
Le hic, c'est que les trois doivent être correctement configurés, et que DMARC doit être au niveau d'enforcement (quarantine ou reject). Beaucoup d'organisations ont SPF et DKIM mais laissent DMARC à 'none'—ce qui fournit une visibilité, mais aucune protection. C'est comme avoir une caméra de sécurité sans verrous.
Autre hic: l'authentification ne protège que votre domaine. Elle n'empêche pas les attaquants d'enregistrer des domaines lookalike (yourcompany-secure.com) ou d'utiliser le spoofing du display name (« Your Company CEO <[email protected]> »). Une défense en profondeur nécessite la formation des utilisateurs en plus des contrôles techniques.
Que faire si vous êtes victime de spoofing
Si vous découvrez que votre domaine est spoofé, la réponse dépend de l'état de votre authentification.
Si vous avez DMARC en enforcement, les emails spoofés sont déjà bloqués par la plupart des grands fournisseurs d'email. Vos rapports DMARC montreront l'attaque—vous verrez des échecs d'authentification depuis des IP que vous ne reconnaissez pas. Surveillez les rapports, mais la menace immédiate est contenue.
Si vous n'avez pas DMARC en enforcement, vous êtes en mode gestion de crise. Mettez en place l'authentification aussi vite que possible, mais gardez à l'esprit que passer en enforcement prend du temps si vous voulez éviter de bloquer des emails légitimes. En attendant, communiquez avec vos clients et partenaires au sujet de l'attaque. Donnez-leur des consignes précises pour identifier les emails légitimes venant de vous.
Dans tous les cas, signalez l'attaque. S'il s'agit d'une tentative de BEC, signalez-la à l'IC3 du FBI. S'il s'agit d'une campagne de phishing, signalez-la à l'Anti-Phishing Working Group. Si les emails spoofés sont envoyés via un fournisseur spécifique, signalez-les à son équipe abuse. Rien de tout cela n'arrêtera l'attaque immédiate, mais cela contribue aux efforts plus larges contre ces menaces.
Enfin, utilisez l'incident pour justifier des investissements dans la sécurité email. Les attaques de spoofing sont parlantes et faciles à comprendre. Elles constituent un argument convaincant pour obtenir les ressources nécessaires à la mise en place d'une authentification correcte.
Frequently asked questions
Le spoofing peut-il être complètement empêché ?
Le spoofing de domaine (usurpation exacte de votre domaine) peut être empêché avec des SPF, DKIM et DMARC correctement configurés. Les domaines lookalike et le spoofing du display name nécessitent des mesures supplémentaires comme la surveillance de domaines et la formation des utilisateurs.
Pourquoi certains emails spoofés passent-ils quand même ?
Soit le domaine cible n'a pas DMARC en enforcement, soit le serveur de réception ne vérifie pas DMARC. Les grands fournisseurs comme Gmail et Outlook appliquent DMARC, mais les plus petits peuvent ne pas le faire.
Comment savoir si mon domaine est spoofé ?
Les rapports DMARC montrent tous les emails prétendant venir de votre domaine, y compris les messages spoofés. Sans DMARC, vous ne le découvrirez peut-être que lorsque les destinataires se plaindront ou lorsque vous atterrirez sur des listes noires.
Le spoofing est-il illégal ?
Le spoofing en lui-même relève d'une zone grise juridique, mais les attaques qu'il permet—fraude, phishing, usurpation—sont illégales dans la plupart des juridictions. Les poursuites sont difficiles lorsque les attaquants sont à l'étranger.