Jeux Olympiques 2024 : les deux tiers des partenaires officiels exposent le public au risque de fraude par courriel

Schützen Sie sich vor Business Email Compromise (BEC)-E-Mails

L’analyse menée par la société de cybersécurité Proofpoint révèle également que la plupart des collectivités locales qui accueilleront les Jeux, ainsi que les plateformes de billetterie et de réservation de voyages, n’ont pas pris les mesures suffisantes pour renforcer de façon proactive la défense et la sécurité de leur système de messagerie électronique.

Paris, FRANCE — 4 avril 2024Proofpoint, l’un des leaders dans les domaines de la cybersécurité et de la conformité, dévoile aujourd’hui les résultats d’une étude montrant que les deux tiers (66 %) des partenaires officiels des Jeux de Paris 2024 n’ont pas mis en place les mesures de sécurité nécessaires pour se protéger contre l’usurpation de nom de domaine, exposant ainsi le public au risque de fraude par courrier électronique. Par ailleurs, alors que les spectateurs du monde entier se préparent à réserver leur voyage en ligne et que beaucoup sont toujours à la recherche d’une place pour assister aux épreuves, la plupart des collectivités locales qui accueilleront les Jeux (70 %), les principales plateformes de billetterie en ligne (90 %) et les sites de voyage en ligne (40 %) ne bloquent pas de manière proactive les courriels frauduleux qui pourraient parvenir jusqu’au le public.

Les cybercriminels cherchent régulièrement à profiter des grands événements sportifs ou culturels pour tromper les spectateurs et les faire tomber dans le piège de l’ingénierie sociale, en se faisant passer pour un partenaire officiel, une infrastructure, une plateforme de billetterie ou un site de réservation de voyages en ligne. À l’approche des Jeux de Paris à l’été 2024, l’ensemble de l’écosystème doit être renforcé pour faire face à la menace déjà omniprésente de fraude par courrier électronique, premier vecteur d’attaque.

Afin d’établir l’état actuel des défenses contre le risque d’usurpation d’identité, Proofpoint a analysé les niveaux d’adoption du protocole DMARC (Domain-based Message Authentication, Reporting and Conformance), mesure fondamentale de protection des courriels, par l’ensemble des partenaires officiels des Jeux, les collectivités locales, et les plateformes de billetterie et de réservation de voyages en ligne, et les résultats sont inquiétants.

DMARC, la première ligne de défense contre la fraude par e-mail

Depuis quelques années, Proofpoint a pu observer que les cybercriminels utilisent bien plus de tactiques visant à usurper l’identité d’organismes légitimes pour atteindre leur cible, plutôt que de pirater et infiltrer les réseaux et infrastructures techniques de leurs victimes. 

DMARC est un protocole d’authentification des messages électroniques conçu pour protéger les noms de domaine contre une utilisation abusive par les cybercriminels. Il authentifie l’identité de l’expéditeur avant de permettre à un message d’atteindre sa destination. DMARC comporte trois niveaux de protection : surveillance, quarantaine et rejet ; le rejet étant le plus sûr pour empêcher les messages suspects d’atteindre la boîte de réception du destinataire.

Mettre en œuvre le protocole DMARC permet à une organisation de définir quel traitement doit être appliqué sur les messages électroniques utilisant son nom de domaine, ainsi que la politique à appliquer en cas d’échec lors de la vérification : accepter le message électronique (p=none, où p signifie ici policy — politique en anglais), le catégoriser comme indésirable (p=quarantine), ou le supprimer (p=reject).

Principales conclusions de la recherche

Au total, Proofpoint a analysé les noms de domaine de l’ensemble des entités qui composent l’écosystème des Jeux de Paris:

  • Sur les 77 partenaires officiels des Jeux Olympiques, alors que 66 d’entre eux (86 %) ont adopté DMARC à son niveau de base, seuls 26 (34 %) protègent activement leur nom de domaine avec l’enregistrement DMARC « rejet » le plus élevé, ce qui signifie que les deux tiers (66 %) des partenaires officiels exposent le public au risque de fraude par courriel ;
  • Parmi les 20 villes qui accueilleront les Jeux, seules 6 d’entre elles (30 %) protègent activement le nom de domaine de leur site internet officiel avec l’enregistrement DMARC « rejet » le plus fort, tandis que 5 (25 %) n’ont pas du tout le protocole DMARC en place ;
  • Sur les 10 plateformes de revente de billets analysées, 8 (80 %) disposent d’un enregistrement DMARC et une seule (10 %) protège activement son nom de domaine en mode « rejet » ;
  • Enfin, les 10 plateformes de voyage analysées sont les plus matures en termes de défenses contre le risque d’usurpation d’identité : 6 (60 %) protègent activement leur nom de domaine en mode « rejet » et 90 % ont mis en place un enregistrement DMARC de base.  

Pour Loïc Guézo, directeur de la stratégie cybersécurité SEMEA chez Proofpoint, « Il est préoccupant de constater qu’une majorité des acteurs de l’écosystème des Jeux Olympiques sont encore à la traîne en ce qui concerne la protection de leurs courriers électroniques, quelques mois avant le début de la cérémonie d’ouverture. Le protocole DMARC est une mesure simple à mettre en place et très efficace contre l’usurpation de noms de domaine qui sous-tend la fraude par courriel ; constater que de nombreuses organisations ne l’ont toujours pas mis en place fait craindre l’avènement d’une menace cyber d’ampleur sans précédent. »  

« De plus, il est important que les spectateurs potentiels se souviennent que les billets pour les Jeux ne peuvent être achetés que sur le site officiel des Jeux, qui est entièrement conforme à DMARC et bloque de manière proactive les courriels frauduleux qui parviennent au public », poursuit Loïc Guézo.

Si les organisations doivent mettre en place des mesures fortes pour protéger le public, les utilisateurs doivent aussi être extrêmement vigilants, particulièrement à l’approche des Jeux, et garder à l’esprit les recommandations suivantes :  

  • Méfiez-vous des courriels, textes ou appels non sollicités, en particulier s’ils vous suggèrent d’entreprendre une action « urgente » ou de demander un paiement.  
  • Ne communiquez jamais de données financières ou de mots de passe par courrier électronique ou par SMS. Appelez toujours votre banque directement si une demande vous semble suspecte.  
  • Il est important de créer un mot de passe unique pour chaque compte en ligne que vous utilisez. Utilisez trois mots aléatoires pour créer un mot de passe fort et mémorable et activez l’authentification multifactorielle (MFA) lorsque c’est possible. 

Pour en savoir plus sur DMARC : https://www.proofpoint.com/fr/threat-reference/dmarc

###

Méthodologie

Afin d’évaluer le niveau d’adoption du protocole DMARC parmi les partenaires officiels des Jeux Olympiques de 2024, Proofpoint a effectué une analyse des principaux domaines d’entreprise de chaque organisation répertoriée sur le site Web des Jeux. Par ailleurs, Proofpoint a analysé les sites internet des villes accueillant des événements, le top 10 des sites de billetterie en France et le top 10 des sites de voyage en France. L’analyse a été réalisée en mars 2024.

À propos de Proofpoint, Inc.    

Proofpoint, inc. est une entreprise leader dans le domaine de la cybersécurité qui protège les ressources les plus importantes et les plus à risque des entreprises : leurs collaborateurs. Grâce à une suite intégrée de solutions cloud, Proofpoint aide les entreprises du monde entier à stopper les menaces ciblées, à protéger leurs données et à rendre leurs utilisateurs plus résistants face aux cyberattaques. Les entreprises de toutes tailles, y compris 85 % des entreprises de l’index Fortune 100, font confiance à Proofpoint pour diminuer leurs risques les plus critiques en matière de sécurité et de conformité via les emails, le cloud, les réseaux sociaux et le Web. Pour plus d’informations, rendez-vous sur www.proofpoint.com/fr.      

  

Connectez-vous avec Proofpoint : X | LinkedIn (en anglais seulement) | Facebook (en anglais seulement) | Youtube   

  

Proofpoint est une marque déposée ou un nom commercial de Proofpoint, Inc. aux États-Unis et/ou dans d’autres pays. Toutes les autres marques de commerce contenues dans le présent document sont la propriété de leurs propriétaires respectifs.