Qu’est-ce que l’email spoofing ou l’usurpation d’adresse mail ?

L’email spoofing, ou l’usurpation d’adresse mail, est une technique utilisée dans les attaques de spam et de phishing pour tromper les utilisateurs en leur faisant croire qu’un message provient d’une personne ou d’une entité qu’ils connaissent ou en qui ils ont confiance.

Dans les attaques de spoofing, l’expéditeur falsifie les en-têtes d’e-mail de sorte que le logiciel client affiche l’adresse de l’expéditeur frauduleux.

Les utilisateurs ne se rendent pas compte que l’expéditeur est falsifié à moins qu’ils n’examinent de plus près l’en-tête. S’il s’agit d’un nom qu’ils reconnaissent, ils ont plus tendance à lui faire confiance. Ainsi, ils cliquent sur des liens malveillants, ouvrent des pièces jointes contenant des malwares, envoient des données sensibles et même transfèrent des fonds d’entreprise.

L’email spoofing est rendu possible en raison de la manière dont les systèmes de messagerie électronique sont conçus. L’application cliente attribue une adresse d’expéditeur aux messages sortants, de sorte que les serveurs de messagerie sortante ne peuvent pas déterminer si l’adresse de l’expéditeur est légitime ou falsifiée.

Les serveurs de réception et les logiciels antivirus peuvent aider à détecter et filtrer les messages falsifiés. Malheureusement, tous les services de messagerie électronique ne disposent pas de protocoles de sécurité.

Néanmoins, les utilisateurs peuvent toujours examiner manuellement l’en-tête de chaque message pour déterminer si l’adresse de l’expéditeur est falsifiée.

L’email spoofing, ou l’usurpation d’adresse mail, est un problème qui existe depuis les années 1970 en raison du fonctionnement des protocoles de messagerie électronique.

Il a débuté avec les spammeurs qui l’utilisaient pour contourner les filtres anti-spam. Le problème est devenu plus courant dans les années 1990, puis s’est transformé en un problème de cybersécurité mondial dans les années 2000.

Des protocoles de sécurité ont été introduits en 2014 pour lutter contre l’email spoofing et le phishing.

Depuis lors, de nombreux messages d’e-mail falsifiés sont désormais envoyés dans les dossiers de spam des utilisateurs ou sont rejetés et ne parviennent jamais aux boîtes de réception des destinataires.

L’email spoofing vise à tromper les utilisateurs en leur faisant croire que l’e-mail provient de quelqu’un qu’ils connaissent ou en qui ils ont confiance, le plus souvent un collègue, un fournisseur ou une marque.

En exploitant cette confiance, l’attaquant demande au destinataire de divulguer des informations ou de prendre d’autres mesures.

Un client de messagerie électronique typique (tel que Microsoft Outlook) entre automatiquement l’adresse de l’expéditeur lorsque l’utilisateur envoie un nouveau message électronique.

Cependant, un attaquant peut envoyer des messages de manière programmatique en utilisant des scripts de base dans n’importe quel langage, ce qui configure l’adresse de l’expéditeur vers une adresse e-mail choisie.

Les points d’accès de l’API e-mail permettent à un expéditeur de spécifier l’adresse de l’expéditeur, qu’elle existe ou non. Et les serveurs de messagerie sortante ne peuvent pas déterminer si l’adresse de l’expéditeur est légitime.

Les e-mails sortants sont récupérés et routés à l’aide du protocole de transfert simple de courrier (SMTP). Lorsqu’un utilisateur clique sur “Envoyer” dans son client de messagerie électronique, le message est d’abord envoyé au serveur SMTP sortant configuré dans le logiciel client.

Le serveur SMTP identifie le domaine du destinataire et le route vers le serveur de messagerie électronique de ce domaine. Le serveur de messagerie du destinataire route ensuite le message vers la boîte de réception de l’utilisateur approprié.

Pour chaque “saut” qu’un message électronique effectue lors de son voyage à travers Internet, d’un serveur à un autre, l’adresse IP de chaque serveur est enregistrée et incluse dans les en-têtes de l’e-mail.

Ces en-têtes révèlent le véritable itinéraire et l’expéditeur, mais de nombreux utilisateurs ne vérifient pas les en-têtes avant d’interagir avec l’expéditeur de l’e-mail.

Les trois composants principaux d’un e-mail sont :

• L’adresse de l’expéditeur
• L’adresse du destinataire
• Le corps de l’e-mail

Un autre composant souvent utilisé dans le phishing est le champ “Répondre à”. L’expéditeur peut configurer ce champ et l’utiliser dans une attaque de phishing.

L’adresse de “Répondre à” indique au logiciel client de messagerie électronique où envoyer une réponse, ce qui peut être différent de l’adresse de l’expéditeur.

Encore une fois, les serveurs de messagerie électronique et le protocole SMTP ne valident pas si cet e-mail est légitime ou falsifié. Il appartient à l’utilisateur de réaliser que la réponse est envoyée au mauvais destinataire.

À titre d’exemple d’email spoofing, un attaquant pourrait créer un e-mail qui semble provenir de PayPal.

Le message informe l’utilisateur que son compte sera suspendu s’il ne clique pas sur un lien, s’authentifie sur le site et change le mot de passe du compte.

Si l’utilisateur est trompé avec succès et saisit ses informations d’identification, l’attaquant peut s’authentifier sur le compte PayPal de l’utilisateur ciblé et voler son argent.

Pour l’utilisateur, un e-mail falsifié semble légitime, car de nombreux cyberattaquants utilisent des éléments du site officiel pour rendre le message plus crédible.

Voici un exemple d’email spoofing avec une attaque de phishing PayPal :

Des attaques plus complexes ciblent les employés du secteur financier et utilisent de l’ingénierie sociale et de la recherche en ligne pour tromper un utilisateur ciblé afin qu’il envoie de l’argent sur le compte bancaire de l’attaquant.

Voici un exemple d’e-mail falsifié :

Veuillez noter que l’adresse e-mail dans le champ “De” est “Bill Gates (b.gates@microsoft.com)”. Il y a deux sections dans ces en-têtes d’e-mail à examiner.

La section “Reçu” indique que l’e-mail a été initialement traité par le serveur de messagerie “email.random-company.nl”, ce qui est le premier indice qu’il s’agit d’un cas d’usurpation d’adresse email.

Cependant, le champ le plus important à examiner est la section “Received-SPF” - notez que cette section affiche un statut “Échec”.

Bien que les escroqueries d’email spoofing deviennent de plus en plus élaborées, il existe des signes et des indices particuliers qui peuvent vous aider à identifier l’email spoofing.

• Vérifiez l’en-tête de l’e-mail : l’en-tête de l’e-mail contient des informations telles que la date, la ligne d’objet, les noms du destinataire et de l’expéditeur, ainsi que l’adresse e-mail. Vérifiez si l’adresse e-mail provient d’une source légitime et si le nom et les autres détails correspondent.
• Recherchez des incohérences entre les adresses e-mail, les noms d’affichage, etc. : une adresse e-mail qui ne correspond pas au nom d’affichage de l’expéditeur est un signe révélateur d’un e-mail falsifié, en particulier si le domaine de l’adresse e-mail semble suspect.
• Évaluez le contenu de l’e-mail : les e-mails de spoofing contiennent souvent des messages alarmants ou agressifs pour provoquer un sentiment d’urgence et d’impulsivité. Si le ton de la ligne d’objet et du contenu de l’e-mail est conçu pour vous effrayer ou vous alarmer, il s’agit probablement d’un e-mail de spoofing.
• Faites attention aux e-mails demandant des informations personnelles : les e-mails de spoofing sont souvent utilisés en conjonction avec des escroqueries de phishing, où les fraudeurs se font passer pour des marques ou des identités pour obtenir vos informations personnelles.
• Évitez de cliquer sur des liens ou de télécharger des pièces jointes : si vous recevez un e-mail qui semble suspect ou provient d’un expéditeur inconnu, ne cliquez pas sur les liens et ne téléchargez pas les pièces jointes.
• Copiez et collez le contenu d’un e-mail dans un moteur de recherche : il est probable que le texte utilisé dans une attaque de phishing courante ait déjà été signalé et publié sur Internet.
• Recherchez des incohérences dans la signature de l’e-mail : si les informations dans la signature de l’e-mail, telles que le numéro de téléphone, ne correspondent pas à ce que l’on sait de l’expéditeur, il peut s’agir d’un e-mail de spoofing.

En cas de doute, abstenez-vous d’ouvrir tout e-mail inconnu ou suspect. Que ce soit de l’email spoofing ou non, une approche axée sur les individus et les utilisateurs est essentielle pour atténuer les coûteuses attaques d’ingénierie sociale.

Les clients de messagerie configurés pour utiliser SPF et DMARC rejettent automatiquement les e-mails qui échouent à la validation ou les dirigent vers la boîte de spam de l’utilisateur.

Les attaquants ciblent les particuliers et les entreprises, et il suffit d’un seul utilisateur trompé avec succès pour entraîner le vol d’argent, de données et d’informations d’identification.

Il n’est donc pas étonnant que l’email spoofing soit devenu une voie couramment exploitée par les cyberattaquants. Considérez les statistiques suivantes :

• 3,1 milliards d’e-mails d’usurpation de domaine sont envoyés par jour.
• Plus de 90 % des cyberattaques commencent par un e-mail.
• L’email spoofing et le phishing ont eu un impact mondial, coûtant environ 26 milliards de dollars depuis 2016.
• En 2019, le FBI a signalé que 467 000 cyberattaques ont été couronnées de succès, dont 24 % étaient basées sur des e-mails.
• 91 % des e-mails d’appât sont envoyés via Gmail, avec seulement 9 % provenant d’autres domaines d’expédition. (Source : https://blog.barracuda.com/2021/11/10/threat-spotlight-bait-attacks/).
• L’escroquerie moyenne a trompé les utilisateurs de 75 000 dollars.

Une attaque courante qui utilise l’email spoofing est la fraude CEO, également connue sous le nom de compromission de messagerie d’entreprise (BEC).

Dans le BEC, l’attaquant falsifie l’adresse e-mail de l’expéditeur pour se faire passer pour un cadre supérieur ou un propriétaire d’entreprise. Cette attaque cible généralement un employé des départements financiers, comptabilité ou comptes créditeurs.

Même les employés intelligents et bien intentionnés peuvent être trompés pour envoyer de l’argent lorsque la demande provient de quelqu’un en qui ils ont confiance, en particulier une figure d’autorité.

Voici quelques exemples de spoofing coûteux :

• Le trésorier de la ville de Ottawa a été trompé pour transférer 98 000 dollars de fonds fiscaux par un attaquant se faisant passer pour le directeur de la ville, Steve Kanellakos.
• Mattel a été trompé pour envoyer 3 millions de dollars vers un compte en Chine, mais a eu la chance de récupérer l’argent lorsque le directeur financier trompé a confirmé que le PDG Christopher Sinclair n’avait pas envoyé le message électronique.
• La banque Crelan en Belgique a été trompée pour envoyer 70 millions d’euros aux attaquants.

En plus d’avoir une équipe discernante capable de repérer les e-mails suspects, certaines technologies et outils spécifiques peuvent aider à prévenir l’email spoofing et à en faire une menace moins importante.

• Passerelle de messagerie sécurisée : une passelle de messagerie sécurisée peut aider à se protéger contre l’email spoofing en filtrant les messages suspects et en bloquant les messages provenant d’adresses e-mail falsifiées connues.
• Mettre en place des protocoles d’authentification d’e-mail : la mise en place des protocoles Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM), et Domain-based Message Authentication, Reporting, and Conformance (DMARC) permet d’authentifier les e-mails et de prévenir l’email spoofing.
  • Le Sender Policy Framework (SPF) est un protocole de sécurité établi comme norme en 2014. Il fonctionne en collaboration avec DMARC (Domain-based Message Authentication, Reporting and Conformance) pour arrêter les attaques de logiciels malveillants et de phishing.
  • SPF peut détecter les e-mails falsifiés, et il est devenu courant avec la plupart des services de messagerie pour lutter contre le phishing. Cependant, il incombe au titulaire du domaine d’utiliser SPF. Pour utiliser SPF, un titulaire de domaine doit configurer une entrée DNS TXT spécifiant toutes les adresses IP autorisées à envoyer des e-mails au nom du domaine.
  • Avec cette entrée DNS configurée, les serveurs de messagerie du destinataire recherchent l’adresse IP lors de la réception d’un message pour s’assurer qu’elle correspond aux adresses IP autorisées du domaine de messagerie. En cas de correspondance, le champ “Received-SPF” affiche un statut “PASS”. En cas de non-correspondance, le champ affiche un statut “Échec”. Les destinataires devraient examiner ce statut lors de la réception d’un e-mail avec des liens, des pièces jointes ou des instructions écrites.
• Utiliser un fournisseur de messagerie sécurisé : Choisissez un fournisseur de services de messagerie sécurisé qui utilise des mesures de sécurité avancées pour se protéger contre l’email de spoofing et les attaques de phishing. Par exemple, ProtonMail est un fournisseur de messagerie sécurisée largement connu et gratuit.
• Utiliser des filtres d’e-mail : les filtres d’e-mail simples limitent le nombre d’e-mails suspects qui parviennent aux boîtes de réception des utilisateurs. Les filtres d’e-mail aident à détecter et à filtrer les messages de spoofing et à bloquer les messages provenant d’adresses e-mail falsifiées connues.
• Sensibiliser les utilisateurs : formez votre personnel pour identifier et éviter les attaques de spoofing. Partagez des méthodes pour repérer les e-mails suspects qui doivent être signalés avant d’être ouverts.

Ce ne sont là que quelques-unes des solutions de sécurité d’e-mail les plus courantes que les entreprises utilisent pour mieux se protéger contre l’email spoofing et d’autres types d’attaques cybernétiques.

Proofpoint Email Protection est une solution de sécurité complète qui permet aux entreprises de détecter et de bloquer à la fois les menaces par e-mail connues et émergentes, notamment le spoofing, le phishing et d’autres formes d’ingénierie sociale.

Certaines des principales fonctionnalités qui font de la protection d’e-mail de Proofpoint une solution de sécurité e-mail de premier rang comprennent :

• Apprentissage automatique : tire parti de l’apprentissage automatique pour détecter et bloquer les menaces par e-mail avancées, notamment le phishing, la compromission de messagerie d’entreprise (BEC) et la fraude par e-mail.
• Protection de domaine : protège contre le spoofing de domaine et les e-mails frauduleux en utilisant des domaines de confiance. Elle bloque les e-mails frauduleux à la passerelle Proofpoint tout en préservant la réputation de votre entreprise.
• Détection multicouche : utilise des techniques de détection multicouche, y compris la détection basée sur des signatures et l’analyse dynamique, pour prévenir les menaces connues et inconnues.
• Passerelle de messagerie électronique sécurisée : déployable en tant que service cloud ou sur site, Proofpoint propose une passerelle de messagerie électronique sécurisée qui aide les entreprises à se défendre contre les menaces tout en garantissant la continuité de l’activité et la conformité aux normes de messagerie électronique.

En savoir plus sur Proofpoint Email Protection et sur la façon de rendre votre messagerie impénétrable contre les utilisateurs non autorisés et les cybermenaces avancées.

Contactez Proofpoint pour en savoir plus sur sa gamme de produits et de solutions de cybersécurité de classe mondiale.