1. Support /
  2. Glossaire /

Usurpation d'e-mails

En quoi consiste l'usurpation d'e-mails ?

L'usurpation d'e-mails correspond au fait de falsifier l'en-tête d'un e-mail dans l'espoir d'amener le destinataire à croire que l'e-mail provient d'une autre personne ou d'un autre lieu que son origine véritable. Les protocoles e-mail fondamentaux étant dépourvus de méthodes d'authentification, il est courant que les e-mails de spam et de phishing utilisent ces méthodes d'usurpation pour tromper le destinataire quant à l'origine du message.

L'objectif final de l'usurpation d'e-mails est d'amener les destinataires à ouvrir, et éventuellement même à répondre à, une sollicitation. Bien que les messages ainsi falsifiés ne représentent généralement qu'une gêne mineure qui ne nécessite aucune autre action que leur suppression, il existe des versions plus malveillantes pouvant causer des problèmes plus graves, voire représenter une réelle menace pour la sécurité.

Par exemple, un message falsifié peut prétendre provenir d'un cybermarchand bien connu et demander au destinataire de fournir des informations personnelles telles qu'un mot de passe ou un numéro de carte bancaire. Le faux message peut même demander au destinataire de cliquer sur un lien pour bénéficier d'une promotion à durée limitée, lequel lien pointe en réalité vers un malware qui sera alors téléchargé et installé sur l'appareil de la victime.

Il existe notamment un type de phishing, courant dans les attaques de compromission de la messagerie en entreprise, qui consiste à falsifier des e-mails pour faire croire qu'ils proviennent du PDG ou du directeur financier de l'entreprise qui travaille avec des fournisseurs étrangers. L'e-mail demande alors que les virements dus aux fournisseurs soient envoyés à des coordonnées différentes.

Comment fonctionne l'usurpation d'e-mails

L'usurpation des e-mails est possible car le protocole SMTP (Simple Mail Transfer Protocol) n'intègre pas de mécanisme d'authentification des adresses. Et bien que des protocoles et des mécanismes d'authentification des adresses e-mail aient été développés entre temps contre l'usurpation d'e-mails, leur adoption tarde à se généraliser.

Les raisons de l'usurpation d'e-mails

Bien qu'ils soient surtout connus pour le phishing, il existe en fait plusieurs raisons d'usurper l'adresse e-mail de l'expéditeur. Citons en particulier les raisons suivantes :

  • Masquer l'identité réelle de l'expéditeur – encore que, si l'objectif se limite à cela, il est alors plus simple de créer des adresses e-mail anonymes.
  • Échapper aux listes de blocage antispam. Les expéditeurs de spams finissent toujours rapidement sur liste de blocage. Pour résoudre ce problème, le plus simple pour eux est de changer d'adresse e-mail.
  • Se faire passer pour une connaissance du destinataire, par exemple dans le but de lui soutirer des informations sensibles ou l'accès à des données personnelles.
  • Se faire passer pour une entreprise avec laquelle travaille le destinataire, dans le but de mettre la main sur des coordonnées bancaires ou autres données personnelles.
  • Salir l'expéditeur usurpé, une attaque contre la réputation du supposé expéditeur en le montrant sous un mauvais jour.
  • L'envoi de messages au nom de quelqu'un d'autre peut aussi servir à usurper une identité, par exemple en demandant des informations aux gestionnaires des comptes bancaires ou de sécurité sociale de la victime.

Protections contre l'usurpation d'e-mails

Comme le protocole e-mail SMTP (Simple Mail Transfer Protocol) ne prévoit pas d'authentification, il a toujours été très simple d'usurper l'adresse de l'expéditeur. À force, la plupart des fournisseurs de solutions mail sont devenus très forts pour détecter et alerter les utilisateurs de la présence d'un spam, sans toutefois les supprimer. Mais certaines technologies ont depuis été conçues pour permettre l'authentification des messages entrants :

  • SPF (Sender Policy Framework) : consiste à vérifier si une certaine adresse IP est autorisée à envoyer un e-mail depuis un domaine donné. Le protocole SPF peut créer des faux positifs et impose toujours au serveur destinataire de vérifier lui-même l'enregistrement SPF, puis de valider l'expéditeur de l'e-mail.
  • DKIM (Domain Key Identified Mail) : méthode qui utilise une paire de clés de chiffrement utilisées pour signer les messages sortants et valider les messages entrants. Cependant, DKIM n'étant utilisé que pour signer certaines parties spécifiques d'un message, celui-ci peut être transmis sans que la validité de la signature en soit affectée. Cette technique est appelée « replay attack ».
  • DMARC (Domain-Based Message Authentication, Reporting, and Conformance) : méthode qui donne à l'expéditeur la possibilité de faire savoir au destinataire si l'e-mail est protégé par SPF ou DKIM, et comment réagir si le message échoue l'étape d'authentification. L'adoption de DMARC reste pour le moment limitée.

Comment les e-mails sont usurpés

Le moyen le plus simple d'usurper les e-mails consiste à trouver un serveur de messagerie dont le port SMTP est ouvert. Le protocole SMTP ne prévoit aucun système d'authentification. Par conséquent, les serveurs mal configurés ne possèdent aucune protection contre les éventuels cybercriminels. Sinon, rien n'empêche un pirate déterminé de créer son propre serveur de messagerie. Cette façon de faire est classique dans les cas de fraude au PDG/directeur financier. Dans ce cas, le pirate achète des domaines que l'on confond facilement avec celui de l'entreprise pour laquelle ils se font passer, et font partir les e-mails de ce domaine. Par ex. « @exernple.com » au lieu de « @exemple.com ». Selon la manière dont les e-mails sont formatés, il peut être très difficile pour un utilisateur standard de remarquer la différence.

Bien que l'usurpation d'adresse e-mail soit efficace pour ce qui est de falsifier l'adresse e-mail elle-même, l'adresse IP de l'ordinateur à l'origine du message, elle, peut généralement être identifiée via la ligne « Received: » située dans l'en-tête du message. On constate que la fraude passe souvent par un tiers innocent, dont l'infection par un malware a permis au pirate de détourner sa machine pour lui faire envoyer des messages sans même que son propriétaire ne s'en rende compte.

Voyez quelles menaces se cachent dans votre boîte de réception aujourd’hui.

Notre analyse gratuite des menaces par e-mail a aidé plus de 12.000
entreprises à découvrir des attaques avancées par e-mail.

LANCEZ VOTRE ANALYSE DES MENACES PAR E-MAIL

Pourquoi l'usurpation d'e-mails est un sujet important

Pour ne pas devenir victime d'usurpation d'e-mail, il est important de garder son antimalware à jour et de se méfier de toutes les techniques d'ingénierie sociale. En cas de doute quant à la validité d'un e-mail, il peut être utile de contacter directement l'expéditeur pour éviter la fraude, en particulier lorsqu'il est question de partager des données privées ou financières.

En savoir plus sur l'usurpation d'e-mails

Termes associés

Lectures complémentaires

Découvrez comment Barracuda peut vous aider

Barracuda Email Protection utilise les technologies de protection contre l'usurpation pour bloquer les tentatives de spear phishing avant qu'elles ne causent des dommages dans votre entreprise. De plus, Barracuda exploite des informations antifraude, la détection heuristique et comportementale ainsi que la validation des noms de domaine pour limiter les dégâts causés par la fraude aux e-mails.

Barracuda Domain Fraud Protection protège votre réputation en mettant un coup d'arrêt à l'usurpation de nom de domaine et aux activités non autorisées. Il est accompagné d'un assistant intuitif dédié à la mise en œuvre de DMARC (Domain-based Message Authentication Reporting & Conformance), pour un degré de protection inégalé.

Des questions sur l'usurpation d'e-mails ? Contactez-nous dès maintenant !

Appeler le +33 01 72 75 72 78

Chat en direct

E-mail