Temps de lecture: 20- 30 min
Avant de commencer cet article, rappelons certains faits inquiétants.
Selon un article de proofpoint, “Le phishing ciblé est à la mode”. https://www.proofpoint.com/fr/security-awareness/post/latest-phishing-january-2020“, les statistiques ainsi que l’actualité sur le phishing en 2020 ne cessent d’augmenter. Le phishing est la pratique frauduleuse consistant à envoyer des courriels malveillants en prétendant être quelqu’un d’autre. Le but est de voler les données personnelles de l’utilisateur (carte de crédit, numéro de sécurité sociale, information financier de votre entreprise etc…).
I- Des statistiques peu rassurantes..
Selon cet article, le rapport “State of the Phish” récemment publié par Proofpoint examine les tendances du phishing au niveau mondial, et comprend un certain nombre de statistiques frappantes sur le phishing. Le rapport analyse des données compilées à partir de sources multiples, dont une enquête menée auprès de plus de 600 professionnels de l’informatique dans sept pays.
L’une des conclusions de l’enquête est que près de 90 % des organisations ont subi des attaques de phishing ciblées en 2019 à savoir :
Les services SaaS et de webmail ont été le secteur industriel le plus ciblé au troisième trimestre, avec 33 % de toutes les attaques. Au troisième trimestre, le nombre de sites de phishing utilisant le cryptage HTTPS a continué à augmenter, plus des deux tiers d’entre eux utilisant le HTTPS. Cette tendance “est un indicateur clair et montre que les utilisateurs ne peuvent pas se fier uniquement au SSL pour comprendre si un site est sûr ou non”..
Ces résultats concordent avec les renseignements de Proofpoint sur les menaces, qui ont montré une tendance vers des attaques plus ciblées et personnalisées plutôt que vers des campagnes de masse. Il devient donc important aujourd’hui de sécuriser nos passerelles de messagerie pour éviter toutes attaques ciblées sur les VIP.
Alors comment sécuriser vos échanges de bout en bout?
C’est là que les passerelles de sécurisation email tirent leurs épingles du jeu. Cisco Email Security Appliance, Clearswift Secure Email Gateway, Fortinet FortiMail, McAfee Security pour serveurs de messagerie, Microsoft Exchange Online Protection, Proofpoint Email Protection, Sophos Email Appliance sont quelques-unes des offres importantes du marché de la sécurité de la messagerie électronique. Cela dit, seuls les produits comme proofpoint et cisco prennent en charge tous les modèles de déploiement, du cloud public à l’appliance on premise.
Une fois, ces passerelles de messagerie en place, il faut savoir bien les configurer pour bénéficier de toute la puissance et de la protection nécessaire pour vos domaines de messagerie.
Une bonne politique de sécurisation de son système de messagerie consiste à utiliser plusieurs niveaux de protection. Il existe aujourd’hui trois technologies qui sont les plus utilisées , SPF, DKIM et DMARC.
Si les trois modèles sont activés en même temps, vous aurez une protection complète face aux différentes attaques externes garantissant ainsi l’authentification ,la légitimité du mail mais aussi de son expéditeur.
Avant de commencer posons les définitions de ces 3 modules :
Pourquoi utiliser ces 3 méthodes en entreprise ?
Dans la vie de tous les jours, nous devons prouver notre identité ( carte ID lors d’un abonnement, achat par carte, réservation etc..) vous devez toujours prouver que vous êtes bien ce que vous prétendez être.
Le monde de la messagerie fonctionne de la même manière. Afin de franchir les barrières des filtres d’antispam, vous devez prouver que vous êtes un expéditeur légitime et que vous n’envoyez pas au nom de quelqu’un d’autre et que votre identité n’a pas été compromise.
Comment y arriver ? Tout simplement, en utilisant SPF, DKIM et DMARC.
Ces standards permettent de prouver l’authentification d’un expéditeur et de protéger le contenu dans le cadre d’un échange d’email.
II – SPF
SPF, ou Sender Policy Framework, est un protocole de validation de courrier électronique conçu pour détecter et bloquer l’usurpation de courrier électronique (basé sur l’ip de l’émetteur) qui permet aux échangeurs de courrier de vérifier que le courrier entrant d’un domaine provient d’une adresse IP autorisée par les administrateurs de ce domaine.
Quel est son fonctionnement ?
Après l’envoi d’un message, les FAI fournisseurs de services Internet vérifieront le domaine du chemin de retour. Ils compareront ensuite l’adresse IP qui a envoyé l’email à l’adresse IP répertoriée dans l’enregistrement SPF du domaine Return-Path pour voir s’il est aligné. Si tel est le cas, l’authentification SPF a été confirmée et le message sera remis.
Pourquoi le SPF est-il important ?
SPF est un standard qui vous protège des spammeurs/phisheur potentiels. Le spam par courrier électronique et le phishing utilisent souvent des adresses et
domaines usurpés. La publication et la vérification d’enregistrements SPF sont l’une des techniques antispam les plus fiables et les plus simples à utiliser . Si vous avez une bonne réputation en matière d’envoi, un spammeur peut tenter d’envoyer des courriers électroniques de votre domaine afin de s’affranchir de votre réputation sur internet. Cependant, une authentification SPF révélera au FAI destinataire que le domaine peut vous appartenir, mais que le serveur n’autorise pas l’envoi de courrier pour votre domaine. Un enregistrement SPF dans un domaine de premier ordre (par exemple, nexally.fr) authentifiera automatiquement tous les sous-domaines (exemple : mail.nexally.fr) situés sous celui-ci qui ne contiendrait pas leur propre enregistrement SPF.
Comment faire ?
Il suffit de réaliser un enregistrement Texte TXT dans votre registrar DNS qui spécifie quelles adresses IP et/ou quels serveurs sont autorisés à envoyer des messages depuis ce domaine.
III – DKIM
DKIM, ou DomainKeys Identified Mail, permet à une organisation (ou à un gestionnaire du message) d’assumer la responsabilité d’un message en transit. DKIM associe un nouvel identifiant de nom de domaine à un message et utilise la cryptographie pour valider l’autorisation de présence.
Quel est son fonctionnement ?
DKIM utilise un algorithme de cryptage qui crée une paire de clés électroniques, une clé publique et une clé privée. La signature se situe dans l’en-tête de chaque email envoyé. Elle est propre à votre domaine de messagerie, vous en possédez la clé privée. Cette clé privée correspond a une clé publique, qui est enregistrée dans votre Registrar DNS. Lorsque vous envoyez un message, le serveur (ici la passerelle de messagerie en l’occurrence) qui le reçoit va aller regarder votre clé publique. Ainsi, il détermine si la clé privée a bien été utilisée lors de l’envoi du message afin d’y inscrire la signature cryptographique. Si la clé privée n’a pas été utilisée, alors le message est considéré comme non légitime.
Le chiffrement de la première clé ne peut être déchiffré que par l’autre clé. Un expéditeur publiera la clé «publique» dans l’enregistrement DNS et répertoriera son emplacement dans la signature DKIM avec le domaine «d =» et le sélecteur «s =». Le propriétaire du DNS garde la clé privée secrète. Si les informations contenues dans la signature décryptée correspondent aux informations reçues dans l’en-tête non crypté, le serveur considère que l’en-tête n’est pas falsifié pendant la transmission et la réception. En d’autres termes, DKIM permet de signer un email par chiffrement numérique. Cette signature est un en-tête du message électronique.
Voici un exemple de signature DKIM :
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; t=1476054397;s=m1; d=e.exemple.com; i=@e.exemple.com;h=Date:From:To:Subject:MIME-Version:Content-Type;bh=Rm+zVdTj9mQiUHxMpu+O9d9OuV3cOTuaNWHONtEXYo0=; b=oGVqGJKcS8KZ+YR8+AKzGKg2t1qpCCsedfrdszeeU/MvQnl9hRpn9NYSR1vV20MSYvJP9ZBiG7hftTHxYUwrP/
Ur4Gt4a6bzt6Q6KETOiUrksD1Jnvwt7YG/cwGqGfjfmuYU +/fk3oboohCsnvOI79hHrR8q/a0eCLnkL5E E43d1po=
Comment faire ?
Il suffit de réaliser un enregistrement Texte TXT dans votre registrar DNS qui crée une relation de confiance entre l’expéditeur et le destinataire.
Il faut renseigner la clé publique dans l’enregistrement DNS avec le domaine «d =» et le sélecteur «s =».
Pourquoi DKIM est-il important?
DKIM prouve trois choses:
IV – DMARC
DMARC, (Domain-based Message Authentication, Reporting and Conformance) est une méthode d’authentification supplémentaire en s’appuyant sur SPF et DKIM. Elle permet de vérifier si un courrier électronique a effectivement été envoyé par le propriétaire . Pour que les règles DMARC s’appliquent, SPF et DKIM doivent fonctionner et au moins l’un d’entre eux doit être aligné.
L’identité est validée si il y a au moins un alignement des deux méthodes d’authentification:
Quel est son fonctionnement ?
Dans la mise en place d’un enregistrement DMARC, vous avez le choix entre 3 attributs qui renvoient à des stratégies différentes. Ces stratégies indiquent au serveur destinataire comment traiter le courrier envoyé, non conforme à DMARC. Ainsi on retrouve les attributs suivants:
Une implémentation efficace de DMARC permet de faire passer lentement une transition de mails stockés en quarantaine à un rejet total. Un bon usage nécessite également que l’expéditeur surveille régulièrement les rapports DMARC. Ces rapports informent, entre autres, de toute tentative de phishing sur le domaine dans le cas d’un échec de DKIM ou de SPF.
Point conseil ?
Vous pouvez procéder à un paramétrage optimal de DMARC en 10 semaines afin de s’assurer que tout est ok avant d’appliquer un niveau de sécurité maximum.
Appliquer DMARC sur le domaine principal pour protéger tout le domaine (et ses sous-domaines). Ne pas oublier d’inclure dans SPF, toutes les IP autorisées à router des e-mails avec le domaine (cf. IP du routeur professionnel si vous en utilisez un).
Comment faire ?
Pour que DMARC soit efficace, il vous faudra paramétrer les systèmes d’authentification SPF et DKIM et bien sûr que vous soyez le propriétaire du domaine (on favorisera l’implémentation de DMARC sur le domaine principal, ce qui permettra de protéger également les sous-domaines).
Donc, avant de vous lancer dans l’implémentation de DMARC, soyez bien sûr que SPF et DKIM soient correctement implémentés.
Puis,Il suffit de réaliser un enregistrement Texte TXT dans votre registrar DNS qui crée un alignement soit SPF soit DKIM.
Il faudra alors renseigner les attributs spécifiques dans l’enregistrement DNS avec la policy «p,reject,quarantine» ,la version «v =», le receiver “rua” , le pourcentage qui sera soumis au filtrage en fonction de la policy appliquée “pct” et le Forensic Receivers “ruf“.
Exemple ci dessous:
v=DMARC1; p=none; fo=1; pct=100; rua=mailto:dmarc_rua@emaildefense.proofpoint.com;ruf=mailto:dmarc_ruf@emaildefense.proofpoint.com
L’enregistrement ci dessus permet de faire une analyse du domaine en envoyant les logs vers proofpoint. Cela permet de vérifier et avoir un aperçu d’un point de vue sécurité du domaine. Un mode reject permettra par la suite de sécuriser le domaine après l’audit.
Conclusion
Ces méthodes permettent de protéger l’identité de vos domaines et le contenu de vos messages de bout en bout. La mise en place du DMARC offre une combinaison parfaite pour la protection de vos échanges. Les grandes enseignes comme Google mais aussi les éditeurs tiers comme Proofpoint recommande l’utilisation de DMARC pour les expéditeurs de courrier, ce que nous suggérons fortement. De plus, Google et Microsoft sont compatibles DMARC. Cela prouve aux FAI (fournisseurs d’accès internet) que vous êtes un expéditeur sérieux et que vous êtes prêt à prendre des mesures de précaution pour protéger votre identité et votre réputation. Enfin, la passerelle de messagerie sécurisée est devenue le socle incontournable pour lutter contre les attaques extérieures vers les grandes entreprises mais aussi vers les PME.
Source :
https://blog.devensys.com/spf-dkim-dmarc
https://fr.wikipedia.org/wiki/DMARC
https://www.proofpoint.com/fr/security-awareness/post/latest-phishing-january-2020