DKIM, SPF, DMARC : trois normes d’authentification pour mettre fin au phishing
Messagerie E-mail

DKIM, SPF, DMARC : trois normes d’authentification pour mettre fin au phishing

Ce fameux mail de votre banque qui vous demande de saisir vos coordonnées bancaires, l’adresse mail de l’expéditeur ressemblant à s’y méprendre à celle de votre conseiller, vous l’avez reçu vous aussi ? Oui, mais c’est un faux, et figurez-vous que l’année dernière, 2 millions de Français ont été victimes de ce qu’on appelle le phishing (ou hameçonnage). Au delà des mesures de prévention, nous allons passer en revue trois solutions techniques pour permettre un bon échange de mail tout en confiance.

Le phishing, c’est quoi ?

S’il n’y avait que pour la banque, mais ces mails factices que vous pouvez recevoir peuvent être également au nom de votre assurance, de votre opérateur ou même de votre magasin préféré. L’imagination des cyber-pirates ne tarit pas pour usurper l’identité des entreprises et subtiliser vos données personnelles ou mettre en péril les systèmes d’information. Il semble même de plus en plus difficile de se rendre compte d’un mail frauduleux d’un mail honnête : avant, nous avions coutume de dire qu’un mail d’un expéditeur de renom criblé de fautes d’orthographes ou avec un formatage douteux était à coup sûr une tentative de phishing, aujourd’hui les pirates produisent des mails plus vrai que nature (et installent même des certificats SSL sur leur site factice pour les rendre “de confiance” !). Pour contrer ces usages, des technologies sont utilisées pour identifier la liaison entre un expéditeur et un destinataire et être sûr que le mail à bon port.

DKIM : spécifier la véracité du mail

Le DKIM, ou Domain Keys Identified Mail, est la première des solutions pour lutter contre l’hameçonnage. pour faire simple, elle permet de valider l’identité d’un expéditeur via une authentification fiable basée sur un système de clés. Une signature numérique par le biais d’une clé privée est ajoutée à l’en-tête, laquelle est propre au nom de domaine expéditeur du mail, comparée à la clé publique déposée sur le DNS permettant de vérifier la réputation de l’expéditeur. Autrement dit, cette clé permet de prévenir la réception d’un mail et la comparaison des deux clés permet la bonne traçabilité du mail. Le DKIM fonctionne un peu comme une coque de protection associant nom de domaine et message qui permet alors de limiter les attaques par phishing.

SPF : spécifier le bon chemin du mail

Associée au DKIM, le SPF, ou Sender Policy Framework, est un complément à l’efficacité de la norme précédente et surtout des filtres standards de sécurité proposés par un fournisseur d’accès. En effet, le SPF permet de définir la liste des serveurs autorisés à délivrer des mails pour un nom de domaine spécifique afin de connaitre les chemins que les mails de confiance prennent et donc limiter l’usurpation d’identité. Cette norme permet de parer aux travers du SMTP, à savoir la vérification de l’expéditeur, puisqu’il n’est pas compliqué d’envoyer un mail avec une adresse factice par exemple. Le fichier TXT posé sur le DNS précise les IP autorisées ou interdites et les emails doivent transiter par ces serveurs précis pour être recevable.

DMARC : spécifier les règles de sécurité

Le DMARC, ou Domain-based Message Authentication, Reporting and Conformance, encourage l’expéditeur à communiquer sur le fait que sa messagerie utilise les normes DKIM et SPF mais aussi sur les actions que le destinataire doit entreprendre si l’authentification échoue (quarantaine, suppression, etc.). De plus, la norme DMARC permet de tenir informé l’expéditeur si un problème est apparu lors de la réception d’un de ses mails. Un mail ne peut pas être délivré si les évaluations DKIM et SPF réussissent alors que l’évaluation DMARC échoue.

Le plus simple, et à court terme, est bien évidemment de définir les règles soi-même dans sa messagerie, en toute connaissance des expéditeurs frauduleux. Il faut bien garder en mémoire que, même avec ces technologies mises en place, il se peut que des spams arrivent quand même dans votre boite de réception, mais une combinaison de ces technologies permet aux serveurs destinataires de traiter ces mails avec confiance par rapport à ceux qui s’affranchissent de ces mesures de sécurité et, par conséquent, de réduire considérablement le risque d’attaque par phishing. Alors, on essaie ?

Sources: BadSender, Sekurigi, Glossaire Altospam, Wikipedia

- 13 août 2016 - 4827 Views