Les méthodes pour améliorer votre sécurité email.

Vous avez manqué notre intervention à Cap Oméga Montpellier sur la sécurité des emails ? On vous met le lien de la vidéo pour une session de rattrapage. 

Jeudi 13 décembre 2018, nous avons pu intervenir dans les locaux de Cap Oméga Montpellier grâce à Frenchsouth.digital, sur le sujet de la sécurité des emails. Nous remercions les personnes qui ont pu être présentes ainsi que nos partenaires Frenchsouth.digital et Compufirst. Notre intervenant Alexandre Marguerite, Directeur Technique et Associé chez Devensys, a pu parler de la sécurité email en général et notamment du phishing, usurpation d’identité, ransomware.

Aujourd’hui le mail est devenu l’un des moyens digitaux les plus utilisés par les hackers. En pleine évolution, les sociétés doivent faire face à ces menaces pour éviter de se faire extorquer des données ou de l’argent. Alors comment  peut-on travailler sur la sécurité de ses emails ? Comment améliorer la sécurité et donc, quelles sont les nouvelles méthodes que nous pouvons mettre en place aujourd’hui ?

Retour en chiffres sur la cybersécurité email

Dans un premier temps, faisons un rappel des chiffres concernant la sécurité des emails. Grâce aux rapports constructeurs et éditeurs, tels que Cisco ou ProofPoint, nous avons pu établir un constat : La sécurité des emails est aujourd’hui indispensable. D’après le rapport de sécurité de Cisco, 70% des entreprises dites « midmarket » qui ont subi une intrusion, déclarent une perte de plus de 100K€. 20% d’entre elles déclarent des coûts de plus d’un million d’€. Certaines attaques peuvent également infecter les infrastructures et se propager dans les systèmes, ce qui peut causer des dommages irréversibles.

D’après le rapport de Proofpoint, les nouvelles attaques sont maintenant extrêmement ciblées (Malware, phishing d’identifiant de connexion…) et représentent 60% des attaques au troisième trimestre 2018. C’est à dire que les hackers prennent maintenant davantage de temps à rédiger des mails de manière à éviter les fautes, à rajouter les logos adéquats etc. pour permettre de tromper davantage les destinataires. Ils sont choisis avec soin. Ce sont les dirigeants, les cadres, les employés… qui subissent de plus en plus d’attaques. 85% d’augmentation de fraude par email par rapport au même trimestre de l’année 2017.

Des attaques qui touchent le sommet de l’entreprise

L’email n’est pas le seul outil utilisé pour favoriser le bon déroulement de la fraude. Les hackers mettent en place des stratégies avec des standards téléphoniques en incitant les destinataires à l’action. Par exemple, vous recevez un mail d’un livreur qui vous dit que votre colis est bloqué. On vous donne un numéro pour le débloquer. C’est un hacker ou un complice qui vous répondra. Il va, comme dans un service SAV basique, vous aider à débloquer votre colis en vous faisant télécharger des documents etc. Mais ils seront infectés.
En règle générale, vous ne cliqueriez pas sur ces documents, ils sont trop suspects. Mais si vous êtes en confiance avec une personne que vous croyez être un technicien, vous pouvez vous faire facilement avoir.

Les attaques à la mode sont les arnaques au président qui représentent, sur le marché américain, plus 2.3 milliards de dollars. En France, c’est 2300 plaintes déposées en 5 ans. Dernier exemple de fraude en date, le groupe Pathé qui a perdu 19 millions d’€ suite à une attaque d’un groupe de hackers qui se sont fait passer pour des dirigeants.

Les faiblesses du système email et l’usurpation simple

Petit retour en arrière, à la création du mail. Il faut savoir que le mail a pris forme en 1965 et qu’il s’est démocratisé en 1970 sur l’internet de l’époque, ARPANET.  Le protocole SMTP a quant à lui été créé en 1982 et il est toujours d’actualité. Difficile de se dire qu’avec la vitesse de développement d’internet, nous utilisons toujours les mêmes protocoles. Aujourd’hui c’est 44,45 milliards de mails légitimes par mois et 257 milliards illégitimes (Chiffres de Novembre 2018). Autant dire que la protection email devient une obligation.

Infographie sur les faiblesses du système email et l’usurpation simple. Protocole SMTP. Nombre de mails légitimes et illégitimes

Comment fonctionne le mail ? Et bien de la même manière que vous allez à la poste. Prenez une enveloppe, écrivez le destinataire, retournez là pour inscrire vos coordonnées. Mais qui vérifie votre identité et le contenu de votre message ? Personne, puisque c’est écrit dessus.  La problématique qui se pose est donc celle de la vérification d’identité de l’expéditeur. C’est ce qu’il se passe quand vous recevez un mail malveillant puisque à la base il n’existe aucun système de vérification entre un vrai ou un faux expéditeur.

Comment différencier un mail légitime d’un mail illégitime en sachant que je n’ai aucun moyen de le vérifier techniquement ?

En effet, le protocole STMP n’a pas été pensé pour être sécurisé, il présente donc certaines faiblesses. Chacun peut forger ses emails, on pourrait très bien dire que je suis Mark Zukerberg et que j’envoie un message depuis mon adresse Facebook. Il ne vous permet pas d’être certain que l’émetteur du message est bien celui que vous pensez. Vous ne pouvez pas différencier une usurpation d’un mail légitime.  

Il faut procéder d’une manière différente pour les repérer. Au niveau des anti-spams, on passe par les mots clés pour bloquer des mails. On peut aussi vérifier les liens à l’intérieur, ont-ils l’air fiables ou non. La provenance du mail est aussi un indicateur de sa légitimité. S’il vient d’un serveur envoyant d’habitude des malwares, on peut le bloquer.

Mais si on s’arrête là, l’arnaque au président reste tout à fait possible. La provenance reste connue, les liens vérifiés, aucun mot clé détecté. Il faut aller au-delà de ces protocoles basiques de sécurité. Il faut identifier toute menace sérieuse. Pouvoir se rendre compte qu’une personne de l’entreprise est en train de se faire usurper son identité.

L’identification des emails SPF et DKIM

Le protocole SPF

L’identification des emails SPF et DKIM : schéma du protocole SPF.

Tout d’abord, et cela reste tout le problème, ces deux protocoles sont optionnels. Pourtant, ils permettent de sécuriser d’avantage les envois et les réceptions de mail. Prenons le SPF : pour éviter que le  mail soit envoyé depuis n’importe où dans le monde, en se faisant passer pour un dirigeant par exemple, il permet de limiter les envois à des serveurs et des adresses IP préalablement définies. Ainsi, le mail envoyé aura l’adresse IP de son serveur affiché, qui sera vérifiée par le protocole SPF. Si elle correspond bien au serveur, le mail est légitime, sinon il est qualifié de spam. 

Pour que cela fonctionne, l’administrateur doit indiquer au serveur DNS le paramétrage du protocole SPF. Cependant, de plus en plus de structures sont aujourd’hui mutualisées. Plusieurs personnes peuvent donc être sur la même IP, on ne peut alors peut-être pas tout vérifier.

Le protocole DKIM

C’est pour cela que le protocole DKIM a été également conçu, il offre un autre niveau de sécurité. Il s’agit tout simplement de cryptographie, à savoir une signature numérique qui va être mise sur votre DNS. C’est une clé privée, connue uniquement de votre serveur. Si une fois que vous recevez le mail il n’est pas reconnu avec la bonne clé, alors le mail ne sera pas considéré comme légitime. En comparaison, il s’agirait du tampon que l’on mettrait sur une lettre, permettant d’identifier sa provenance et sa légitimité.

En résumé, votre serveur informatique peut posséder soit le protocole SPF, soit DKIM, ou alors les deux. Il faudra que le mail arrive depuis la bonne adresse IP ainsi que du bon serveur avec la bonne clé. Identifier la vraie identité d’une personne devient alors plus facile, rendant votre boîte mail plus fiable.

L’usurpation v2 pour contourner ces protections

L’usurpation v2 pour contourner les protections SPF et DKIM. Explication de l’usurpation du « mailfrom »

Cela peut paraître logique, mais à chaque protection qui vient s’ajouter, les hackers cherchent de nouvelles manières de contourner ces sécurités. Ils ont alors développé de nouveaux moyens. Reprenons l’exemple de la poste. Vous prenez votre courrier et vous l’envoyez en disant qui vous êtes et d’où vous l’envoyez. Vous avez donc votre lettre originale, mais une autre lettre vient la recouvrir en disant que vous êtes quelqu’un d’autre. C’est la même chose pour les mails, ils contournent ce problème en respectant les protocoles SPF et DKIM. Cependant ils écrivent clairement qu’ils ne sont pas ce qu’ils prétendent être.

Les deux protocoles étant respectés, le mail peut s’envoyer sans problème. Le mail envoyé dira donc, pour schématiser : « Je suis le hacker » et le contenu de mon courrier dira « Je suis votre entreprise ». L’anti-spam va considérer que vous êtes bien l’entreprise. Il va vérifier le mail en disant « vous êtes le hacker, possédez-vous le protocole SPF et DKIM ? ». Vous recevrez donc un contenu considéré comme légitime alors qu’il s’agit de spam ou d’arnaque.

Aujourd’hui avec le SPF et DKIM vous pouvez donc toujours vous faire spam votre boîte mail, le hacker peut toujours se faire passer pour votre directeur. Votre anti-spam ne le détectera pas et au contraire considérera votre mail comme de qualité, en recevant une bonne note, car il respecte les protocoles à la lettre, là où un mail de spam classique sera mal noté car il ne les respectera pas.

Le DMARC : Renforcer la protection contre les usurpations

Le mail n’ayant eu aucune protection lors de sa création, le protocole SPF et DKIM ont été créés. Lorsqu’ils se sont rendus compte qu’il y avait moyen de les contourner, une nouvelle norme, le DMARC (domain-based message authentication reporting and conformance), a été développé afin de « patcher » les failles des protocoles précédents. Il va s’occuper de vérifier si les contenus du « mailfrom » et du «from» sont alignés. Cela correspond à l’enveloppe et au contenu. Si les deux contenus n’ont rien à voir, alors c’est qu’il y a un problème. Il va regarder si le SPF et le DKIM sont présents dans ces deux contenus, et non pas dans un seul. A l’origine, cette vérification supplémentaire n’était pas réalisée et seul le mailfrom était inspecté. Le DMARC offre donc un niveau de protection optimal à l’utilisateur. Il vient renforcer les deux protocoles précédents.

Depuis que les entreprises commencent à utiliser cette nouvelle norme, l’usurpation des domaines de messagerie a chuté de 18%, on se rend compte que ça fonctionne. Il vient bien vérifier que celui qui a été écrit le mail est bel et bien la bonne personne, ne laissant aucune fraude possible. Le DMARC permet d’appliquer un traitement personnalisé aux mails non conformes. On peut ainsi choisir de placer ces mails frauduleux en quarantaine ou bien de les supprimer directement.

La visibilité contre les attaques sur le domaine de messagerie

Un des aspects qui apparaît avec le DMARC, c’est la visibilité.

Avec le SPF et le DKIM, si jamais votre identité se fait usurper, si jamais il y a une fraude, vous ne pourrez pas communiquer pour la simple et bonne raison que vous ne le saurez pas. Il ne sera pas possible de prévenir que l’entreprise subit une tentative de fraude, car l’anti-spam va supprimer les messages automatiquement, donc il ne sera pas possible de le savoir, de prévenir qu’une campagne de phishing est en cours, etc. Cela peut vite nuire à l’image, les clients de l’entreprise pourraient être touchés sans être informés de la fraude.

Le DMARC vient remédier à ce problème, car la fraude peut être décelée plus facilement. vous pouvez ainsi communiquer directement que des tentatives d’usurpation sont en cours. Vous pourrez renforcer votre protection, prévenir les clients et les autres entreprises qu’il y a un problème. Vous ne pourrez peut-être pas tout faire, mais au moins l’information circule.

Emails Gone Wild : Comment reprendre le contrôle sur les flux emails

La norme DMARC est très pratique pour reprendre le contrôle de ses mails. Sans les normes, certains mails peuvent partir un peu n’importe comment et n’importe où. C’est notamment le cas des grandes entreprises avec beaucoup de services différents, qui vieillissent, avec les équipements et les méthodes de travail qui nécessiteraient une mise à jour. Autant de situations dans lesquelles on ne sait pas d’où vont partir les mails. On aimerait recentrer leurs envois depuis un même serveur, qui vérifie les identités de tout le monde et qui fait la mise en conformité.

Mais il faut d’abord identifier où se trouvent ces mails, car si l’on commence à appliquer des normes en disant qu’on bloque tout car c’est de l’usurpation mais qu’en fait, aucun mail n’est bien identifié, alors on peut avoir des soucis et potentiellement refuser des mails légitimes, voir les perdre. D’un autre côté, sans la norme DMARC on peut usurper tout un tas de mail, il faut donc pouvoir revoir tout son système d’envoi.

Définir ses stratégies d’envois de mail

Grâce à la visibilité qu’apporte le DMARC, on va pouvoir retracer d’où partent nos mails pour à terme optimiser tout notre service. Etant donné qu’il n’y avait aucune règle à l’envoie de mail lors de leur création, des grandes entreprises ont créés plusieurs services, chacun avec leur politique d’envoie etc… Autant de choses à corriger et que cette norme aide à réaliser.

Avoir une stratégie d’envoi est aujourd’hui essentiel. Il faut un domaine de messagerie principal qui concerne les humains employés de votre entreprise, auquel on applique un niveau de sécurité maximal, on ne veut pas que cela puisse se faire usurper. Et à côté de ça, on peut avoir un ou plusieurs domaines annexes qui vont servir pour le côté des machines : les transactions, les confirmations de commande, les mails de marketing, le scan to mail, les devis etc.  Ces domaines ne doivent pas pouvoir usurper les identités des employés. C’est comme cela que fonctionnent beaucoup de grandes entreprises à l’heure actuelle. Les bonnes pratiques d’envoi  d’il y a 10ans ne sont plus les mêmes qu’aujourd’hui.

Bonnes pratiques sur la configuration antispam

Penser à configurer son propre anti-spam est une bonne pratique à avoir. Il serait dommage que vous en receviez car votre DMARC n’a pas été configuré ou que vous n’en ayez pas, alors que vos entreprises partenaires ont configuré le leur, mais que vous receviez quand même des spams potentiels car vous n’êtes pas aux normes. Par exemple, nous avons reçu des mails illégitimes de la banque populaire : cela ne serait pas arrivé si leur protection était efficace. En tant que client, nous recevons des spams car eux ne sont pas bien protégés.

Pour résumé, pour se mettre en conformité et améliorer la sécurité de ses mails, voici les étapes à suivre :

  • Mettre en place un protocole DKIM : il ne va rien bloquer, ne présente que des avantages.
  • On met un DMARC policy none : c’est-à-dire que tous les mails n’ayant pas de DKIM sont alertés, mais ils ne seront pas supprimés pour autant. Cela permet d’identifier tous les mails n’ayant pas encore de DKIM, de les localiser pour ensuite les traiter.
  • Lorsque on a identifié d’où partent tous nos mails, on peut mettre le protocole SPF. On va bloquer des IP, et si l’on n’est pas déclaré on va prendre un malus anti-spam. Il faut être sûr de soi et savoir qui peut envoyer des mails et d’où. On le fait en deux étapes : le soft fail, on déclare au protocole que normalement les IP sont bonnes, mais qu’il peut y en avoir d’autres. Au pire, le mail est mis en quarantaine utilisateur.
  • Lorsque on est sûr des IP à utiliser, notamment grâce au DMARC, alors on passe en protocole SPF hard fail. Si l’adresse IP n’est pas reconnue, alors le mail est automatiquement supprimé.
  • On peut ainsi naturellement passer en DMARC policy quarantaine. Cette fois les mails étrangers ne seront plus notifiés mais resteront récupérables.
  • Une fois que le taux de mails en quarantaine est conforme avec nos attentes, on applique la norme DMARC policy reject. Ainsi tous les mails légitimes arriveront bien dans ma boîte de réception. Tout ce qui reste est obligatoirement du spam donc ils peuvent être supprimés.

Une fois cette protection mise en place, la sécurité mail de l’entreprise est optimale. Vous êtes protégés et protégez également vos différents partenaires. Si on tente d’usurper votre domaine, tous seront au courant.