DMARC fête ses 10 ans : état des lieux de la lutte contre les attaques par email

Que ce soit de grandes entreprises ou le secteur public, aucun secteur d'activité n'a été épargné par les cybermenaces en 2021. La maîtrise de la cybersécurité est désormais un des enjeux majeurs pour les entreprises et 2022 ne dérogera pas à la règle.

L’email demeure le principal vecteur utilisé par les cybercriminels, avec 94% des menaces initiées par la messagerie. Chaque année des milliers d’entreprises en sont victimes, pourtant vérifier le niveau de sécurité de ce canal est un bon indicateur du niveau de protection et du risque encouru.

Parmi les outils pour s’en prémunir, le protocole DMARC (Domain-based Message Authentication, Reporting & Conformance), qui fête ce mois-ci ses 10 ans d’existence, représente sûrement l’un des moyens des plus efficaces pour contrôler ce niveau de sécurité au sein des organisations. Ce dispositif a été conçu pour empêcher les pirates informatiques d'usurper l'identité d’une organisation et de son domaine, en rejetant tous les messages non authentifiés. Il permet ainsi de combattre spam, phishing et fraudes par email, menaces les plus virulentes à l’échelle mondiale.

Le DMARC bénéficie aujourd’hui d’un soutien institutionnel croissant à l’échelle mondiale. Depuis 2016, en Angleterre, le gouvernement a imposé son adoption à tous les ministères britanniques. En 2017, c’est le département américain de la sécurité intérieure qui a publié une directive opérationnelle exigeant l'adoption de DMARC par les domaines civils fédéraux. Les gouvernements des Pays-Bas et de la Nouvelle-Zélande ont suivi le mouvement en 2018, et en 2019, l'Australie a fait de même, ainsi que le Danemark ou le Canada en 2020.

Ce phénomène d’ampleur mondiale prouve qu’une incitation institutionnelle peut exister voire l’obligation d’adopter le protocole DMARC. En France, l’Anssi où la Fédération Bancaire Française, qui publie régulièrement des recommandations avisées pour aider les entreprises à adopter une meilleure posture en matière de cybersécurité, encourage fortement l’adoption de DMARC. Cependant, si cette initiative semble innovante et fiable sur le papier, qu’en est-il de la connaissance du risque et de l’adoption réelle de DMARC au sein des entreprises et services publics français 10 ans plus tard ?

Le cas DMARC : le combat contre la fraude par email

La fraude par email nuit sérieusement à la réputation des marques et la confiance des consommateurs. Ces attaques représentent la menace la plus coûteuse parmi toutes les activités cybercriminelles et coûtent chaque année des milliards d’euros aux entreprises. Enjeu majeur au sein des organisations, la fraude par email est désormais devenue un sujet de conversation crucial pour les membres du COMEX.

Les RSSI français sont d’ailleurs en état d’alerte sur le sujet : 68% estiment qu'ils risquent de subir une cyberattaque importante au cours des 12 prochains mois, et 42% craignent notamment les attaques par compromission des emails professionnels.

Parmi ces menaces, les attaques par compromission d’emails professionnels (BEC) et les attaques par compromission de comptes internes (EAC) sont plus dangereuses, voire plus coûteuses que les ransomwares. D’après le rapport du FBI sur la cybercriminalité, elles ont coûté aux entreprises mondiales 1,8 milliard de dollars rien qu'en 2020. Les détournements de salaire représentent notamment une forme croissante d’attaques BEC. Conséquence probante : plus de 35 000 tentatives de détournement de salaire par email durant le 1er semestre 2020, empêchant chaque jour environ 1,8 million d’euros de salaire de partir dans les poches de cybercriminels. Le FBI note de son côté une augmentation de 815% de la pratique.

Les hackers rendent difficile la détection de ces attaques, car ils s’appuient sur des techniques d’ingénierie sociale. Ils peuvent notamment utiliser conjointement des tactiques d’usurpation d’identité et des comptes compromis.

Selon les RSSI, le facteur humain étant au cœur de toutes ces menaces et 58% le considèrent comme la principale vulnérabilité cyber. Le World Economic Forum qui a publié son rapport 2022 sur la perception des risques mondiaux, indique par ailleurs que 95% des risques de cybersécurité peuvent être attribués à une erreur humaine.

Les hackers utilisent diverses techniques d'usurpation d'identité, notamment l'usurpation de nom de domaine, de domaines sosies et l'usurpation de nom d'affichage. Ces techniques sont efficaces, car la lutte contre l'utilisation abusive de noms de domaine est complexe. Elle nécessite des ressources spécialisées et l'identification des noms de domaine sosies requiert une expertise affinée. Les équipes de sécurité doivent alors être en mesure de pouvoir détecter et contrecarrer les tactiques que les hackers utilisent lors de leurs attaques par usurpation d'identité.

L'adoption de DMARC aujourd'hui en France

Le 30 janvier 2012, un groupement d’acteurs du numérique se réunissait pour soutenir l’adoption du protocole DMARC. Cela fait donc maintenant précisément une décennie que DMARC a été publié et l’on constate des progrès considérables pour améliorer l’authentification des emails, car de plus en plus de RSSI se sentent désormais concernés par l’adoption du standard DMARC.

En France, son adoption s’est accélérée ces quatre dernières années : en janvier 2022, 30 entreprises du CAC 40 possèdent un enregistrement DMARC, elles étaient même 31 en 2021, soit 8 de plus qu’en 2020 (23 en 2020 et 18 en 2019).

Pourtant, si cette initiative semble excellente sur le papier, de nombreuses entreprises peinent encore à déployer correctement le protocole DMARC :  parmi les 31 entreprises du CAC 40 ayant un enregistrement DMARC, seulement 6 bloquent de manière proactive les emails frauduleux (15 %) et sont donc totalement conformes à DMARC. Et il existe par ailleurs un certain décalage de maturité entre secteur privé et public : si l’on regarde de près les ministères français, on constate que seuls 5 sur 14 ont commencé la mise en œuvre DMARC ; un seul service de premier plan étant en mode REJECT...

La lutte contre les attaques BEC nécessite une défense à plusieurs niveaux, et DMARC joue un rôle essentiel contre ces attaques complexes. Alors, avec des avantages aussi évidents, pourquoi si peu de domaines tirent-ils parti de DMARC ?

Les risques liés à l’adoption du protocole DMARC font écueil…

Les organisations qui choisissent de se lancer dans l'aventure DMARC - sans aide extérieure - en utilisant des ressources internes et en créant des systèmes de gestion des données, ont tendance à rencontrer quelques difficultés.

Ainsi, lorsque les équipes de sécurité décident de déployer ou non DMARC pour se protéger, il est nécessaire d’avoir connaissance d’un certain nombre d’informations :

  • Il existe un risque élevé de bloquer un email légitime.
  • DMARC nécessite une expertise approfondie.
  • Il convient de savoir comment stocker, restituer et analyser une quantité massive de données.
  • Un processus pour identifier et contacter les parties prenantes est nécessaire.
  • Un soutien et une gestion continue sont fondamentaux.

… Mais DMARC se révèle être un outil fiable

La fraude par email est devenue un problème à 360 degrés, car les criminels peuvent utiliser de multiples tactiques d’usurpation d'identité pour cibler les différentes parties prenantes d'une organisation. Il s'agit généralement des employés, des clients et des partenaires commerciaux de l'entreprise. Pour que ces risques potentiels deviennent une priorité absolue, il faut considérer quatre étapes essentielles comme le point de départ de la mise en œuvre de DMARC :

  •  Sélectionner un domaine : envisager un sous-domaine ou un domaine primaire pour commencer.
  • Activer la surveillance : définir la politique de réception du courrier sur "aucun".
  • Ajouter l'enregistrement DMARC au DNS : utiliser le processus standard d'ajout de DNS de l’entreprise.
  •  Recevoir et analyser les rapports de domaine : commencer par se concentrer sur un seul domaine.

Les résultats de DMARC dépendent des objectifs définis, de l'identification des ressources, ainsi que du développement et de l'exécution d'un plan d’action. La surveillance est le premier pilier pour obtenir une vision des menaces en cours. Une fois les données récoltées, il faut créer un plan d’action pour combattre la fraude. Lorsque l’équipe de sécurité a identifié les expéditeurs légitimes et qu'elle a résolu les problèmes d'authentification, elle peut passer à une politique de "rejet" et bloquer les attaques de fraude par email, de compromission d'e-mails professionnels.

Pour protéger leurs noms de domaine contre les cyberattaques, la politique DMARC "none" est une bonne première étape vers la voie du "reject". L'utilisation de "none" permet au propriétaire du domaine de surveiller et de s'assurer que les emails légitimes s’authentifient correctement. Les rapports DMARC permettent ensuite de s'assurer que ces emails légitimes passent l'authentification. En outre, l'utilisation des données des rapports DMARC permet de travailler avec les bons expéditeurs dont les paramètres sont incorrects et d’assurer que leurs emails envoyés soient acceptés.

Protéger l’entreprise qui reçoit l’email est l’autre moitié de l’équation. Les organisations doivent s’assurer que la politique DMARC est également mise en œuvre par leurs expéditeurs lorsqu’ils reçoivent des emails. En outre, l'application de cette politique de la réception d’email contribue à protéger les employés contre les menaces liées à la réception des emails entrants.

La norme DMARC est l'un des moyens les plus proactifs dans la lutte contre le phishing et l'usurpation d'identité. Il est temps de mettre en œuvre et d'appliquer la norme DMARC pour aider l'entreprise à remodeler le paysage de la fraude par email, à disrupter les stratégies de phishing établies depuis longtemps et à forcer les cybercriminels à ne plus considérer l'entreprise comme une cible facile.