L’usurpation d’adresse e-mail consiste, pour les attaquants, à falsifier l’adresse de l’expéditeur afin qu’un e-mail semble provenir d’une personne de confiance. Dans le passé, les e-mails usurpés se trahissaient souvent par des fautes de grammaire ou des erreurs de mise en forme manifestes. Aujourd’hui, l’IA générative a changé la donne. Les e-mails usurpés peuvent sembler professionnels, précis et convaincants, ce qui élimine les signaux qui nous alertaient autrefois.
Contenu:
- Qu’est-ce que l’usurpation d’adresse e-mail ?
- Comment fonctionne l’usurpation d’adresse e-mail ?
- Hameçonnage vs usurpation d’adresse e-mail : quelle est la différence ?
- Comment éviter les attaques par usurpation d’adresse e-mail
- Comment les entreprises peuvent-elles se protéger contre l’usurpation d’e-mail ?
Par conséquent, pour détecter une tentative d’usurpation d’identité, il ne suffit plus aujourd’hui de jeter un coup d’œil rapide au ton ou à l’orthographe. Il est essentiel de comprendre le fonctionnement de l’usurpation d’identité par e-mail pour protéger les informations sensibles et prévenir les attaques par hameçonnage.
Qu’est-ce que l’usurpation d’adresse e-mail ?
L’usurpation d’adresse e-mail (« e-mail spoofing ») consiste à falsifier l’adresse de l’expéditeur dans des e-mails afin qu’ils semblent provenir d’un expéditeur légitime. Plutôt que de pirater un compte, l’attaquant manipule des champs techniques dans l’en-tête de l’e-mail, en particulier les informations utilisées par le protocole de transfert de courrier simple (SMTP), afin de dissimuler l’identité de l’expéditeur.
Dans la pratique, l’usurpation d’adresse e-mail peut prendre des formes spécifiques :
Un faux e-mail qui semble provenir de votre banque et qui vous demande de confirmer vos identifiants de connexion.
Un message qui semble provenir de votre PDG et qui vous demande de communiquer d’urgence vos informations de paiement : un piège courant en cas de compromission de la messagerie d’une entreprise.
Une facture de fournisseur envoyée à partir d’un domaine légèrement modifié, conçue pour rediriger les données financières vers le compte d’un pirate.
Des e-mails d’hameçonnage internes qui imitent la mise en forme et les blocs de signature de votre entreprise.
L’usurpation d’identité par e-mail est souvent utilisée dans le cadre d’attaques par phishing, dont l’objectif est d’obtenir des informations sensibles telles que des mots de passe, des données financières ou un accès à un compte.
Comment fonctionne l’usurpation d’adresse e-mail ?
L’usurpation d’adresse e-mail fonctionne en exploitant la manière dont le protocole de transfert d’e-mail simple (SMTP) traite les informations relatives à l’expéditeur. Le protocole SMTP a été conçu pour acheminer les e-mails entre les serveurs de messagerie, et non pour authentifier l’identité de l’expéditeur. Par conséquent, le protocole permet à un serveur d’envoi d’indiquer l’adresse de l’expéditeur dans les en-têtes du message sans vérification intégrée.
Lorsqu’un e-mail est transmis, le serveur SMTP expéditeur inclut plusieurs champs clés dans l’en-tête de l’e-mail, notamment le champ « De » (visible par l’utilisateur) et l’expéditeur de l’enveloppe utilisé lors de la communication serveur à serveur. Ces champs peuvent faire l’objet de manipulations. Si les serveurs de messagerie destinataires ne les valident pas par rapport aux enregistrements d’authentification, le message peut passer et sembler légitime.
Voici ce qui se passe, d’un point de vue technique, lors d’une tentative d’usurpation d’identité :
Un pirate se connecte à un serveur SMTP, qu’il soit sous son propre contrôle, compromis ou faisant partie d’un botnet.
Il rédige un e-mail et définit manuellement le champ de l’adresse de l’expéditeur.
Le message est transmis aux serveurs de messagerie destinataires.
Si aucun contrôle d’authentification (tel que SPF, DKIM ou DMARC) n’est appliqué, l’adresse de l’expéditeur falsifiée est acceptée.
Le destinataire voit ce qui semble être l’adresse e-mail d’un expéditeur authentique, mais les adresses IP sous-jacentes et les données de routage figurant dans l’en-tête de l’e-mail peuvent indiquer que le message provient d’une autre source.
C’est en raison de cette faiblesse structurelle que des normes d’authentification des e-mails ont été introduites par la suite, afin de vérifier que le serveur d’envoi est autorisé à envoyer des e-mails au nom d’un domaine.
Hameçonnage vs usurpation d’adresse e-mail : quelle est la différence ?
Dans le domaine de la cybercriminalité, l’hameçonnage et l’usurpation d’adresse e-mail sont des concepts liés, mais ils jouent des rôles différents dans la manière dont les attaquants trompent les utilisateurs. Comme nous l’avons déjà évoqué, l’usurpation d’adresse e-mail désigne spécifiquement le fait de falsifier l’adresse de l’expéditeur afin qu’un message semble légitime. L’hameçonnage, quant à lui, est une technique d’ingénierie sociale plus large qui utilise des messages trompeurs, comportant souvent des e-mails usurpés, pour inciter les personnes à révéler des informations sensibles ou à effectuer des actions préjudiciables.
En d’autres termes, l’usurpation d’identité consiste en une tromperie sur l’identité au niveau du protocole, tandis que l’hameçonnage consiste en une manipulation psychologique au niveau de l’utilisateur. De nombreuses attaques par hameçonnage utilisent des adresses d’expéditeur usurpées pour paraître crédibles, mais tous les e-mails usurpés ne sont pas utilisés dans des campagnes d’hameçonnage.
Voici une comparaison entre l’usurpation d’adresse e-mail et le phishing :
| Usurpation d'adresse e-mail | Hameçonnage | |
|---|---|---|
| Objectif principal | Falsifier l'identité de l'expéditeur dans un e-mail | Inciter le destinataire à agir par la ruse |
| Technique principale | Adresse de l'expéditeur falsifiée dans l'en-tête de l'e-mail | Ingénierie sociale et tactiques psychologiques |
| Aspect technique | Exploite les hypothèses de confiance dans les protocoles de messagerie | Exploite la confiance et le comportement humains |
| Peut inclure | Faux domaines, astuces liées au nom d'affichage | Liens malveillants, collecte d'identifiants de connexion |
| Conséquence typique | Les informations semblent provenir d'une source fiable | L'Utilisateur clique sur un lien, communique des données ou installe un logiciel malveillant |
| Dépendance | Peut se produire sans hameçonnage | Utilise souvent des e-mails usurpés pour renforcer sa crédibilité |
Si vous ne savez toujours pas exactement en quoi l’hameçonnage diffère de l’usurpation d’identité, consultez notre article Qu’est-ce que l’hameçonnage ? et apprenez-en plus sur le fonctionnement de ce type d’attaques.
Comment éviter les attaques par usurpation d’adresse e-mail
Bien que l’usurpation d’adresse e-mail en soi ne soit pas toujours illégale, elle est le plus souvent utilisée dans le cadre d’escroqueries par hameçonnage et d’attaques par compromission de messagerie professionnelle. Il peut être difficile de stopper définitivement le spoofing d’adresse e-mail, car il ne s’agit pas exactement d’un crime.
Heureusement, les services de messagerie électronique sont assez bons pour repérer les escroqueries, de sorte que la plupart d’entre elles finissent dans le dossier spam. Mais il est inévitable que certains passent à travers les mailles du filet et se retrouvent dans votre boîte de réception. Voici quelques mesures à prendre pour éviter que l'usurpation d'adresse e-mail ne fasse de réels dégâts :
Vérifiez toujours l’adresse de l’expéditeur. Ne vous fiez pas uniquement au nom d’affichage. Les escrocs utilisent souvent des adresses qui ressemblent beaucoup à des adresses authentiques, avec par exemple une légère faute d’orthographe dans le nom de domaine ou des caractères substitués (par exemple, un zéro au lieu de la lettre « O »).
Contactez l’expéditeur par un autre moyen. Appelez-le, envoyez-lui un SMS ou rencontrez-le en personne avant de divulguer toute information.
Ne cliquez jamais sur les liens qui figurent dans l’e-mail. Si l’on vous demande de consulter votre compte bancaire, faites-le en tapant vous-même l’adresse de votre plateforme bancaire dans le navigateur. Si vous devez absolument cliquer sur un bouton ou un lien, passez au moins d’abord votre souris dessus pour prévisualiser l’URL de destination. Si l’adresse Web ne vous semble pas familière, si elle est mal orthographiée ou si elle ne correspond pas au domaine officiel de l’entreprise, ne cliquez pas dessus.
Maintenez votre logiciel antivirus à jour. Assurez-vous d’analyser fréquemment votre ordinateur.
Si cela semble trop beau pour être vrai, c’est que ça l’est. Si quelqu’un vous propose un moyen de gagner rapidement de l’argent, il s’agit probablement d’une arnaque.
Comment les entreprises peuvent-elles se protéger contre l’usurpation d’e-mail ?
Les entreprises se protègent contre l’usurpation d’adresse e-mail en mettant en place des contrôles stricts d’authentification des e-mails au niveau du DNS et en imposant une vérification sur l’ensemble de leurs serveurs de messagerie. En l’absence d’une configuration appropriée, les attaquants peuvent envoyer des e-mails usurpés qui semblent provenir de votre domaine, ce qui nuit à la confiance et permet de compromettre la messagerie professionnelle.
La prévention de l’usurpation de domaine repose sur trois normes d’authentification : SPF, DKIM et DMARC.
Sender Policy Framework (SPF)
Le Sender Policy Framework (SPF) est un enregistrement DNS qui définit les adresses IP autorisées à envoyer des e-mails au nom de votre domaine.
Lorsqu’un serveur de messagerie destinataire traite des e-mails entrants, il compare les adresses IP de l’expéditeur avec l’enregistrement SPF du domaine. Si le serveur d’envoi ne figure pas dans la liste des serveurs autorisés, la vérification SPF échoue.
Cela empêche les attaquants d’utiliser des serveurs SMTP non autorisés pour usurper l’identité de votre adresse d’expéditeur. Cependant, le SPF à lui seul ne suffit pas : il vérifie la source de l’envoi, mais pas l’intégrité du message.
Actions clés pour les propriétaires de domaine :
Publier un enregistrement SPF valide dans le DNS.
Limiter les adresses IP autorisées aux seuls serveurs de messagerie légitimes.
Évitez les configurations « +all » trop générales.
Surveiller les limites de recherches SPF afin d’éviter les échecs.
DomainKeys Identified Mail (DKIM)
DomainKeys Identified Mail ajoute une vérification cryptographique aux messages sortants.
Lorsque votre serveur SMTP envoie un e-mail, il y joint une signature numérique générée à l’aide de clés cryptographiques privées. La clé publique correspondante est publiée dans le DNS. Les serveurs de messagerie destinataires utilisent cette clé publique pour vérifier que le message n’a pas été altéré pendant le transit.
Si un pirate modifie le contenu ou les champs d’en-tête, la signature DKIM échoue.
Pour un déploiement efficace :
Générez des clés cryptographiques fortes.
Renouvelez les clés périodiquement.
Assurez-vous que tous les messages sortants authentiques sont signés.
Authentification, rapport et conformité des messages basés sur le domaine (DMARC)
L’authentification des messages basée sur le domaine s’appuie sur SPF et DKIM. Le DMARC permet aux propriétaires de domaines d’indiquer aux fournisseurs de messagerie destinataires la manière dont ils doivent traiter les messages qui échouent aux contrôles d’authentification.
Le protocole DMARC vous permet de :
Demander aux fournisseurs de surveiller, de mettre en quarantaine ou de rejeter les messages ayant échoué.
Recevoir des rapports détaillés sur les tentatives d’usurpation d’identité.
Bénéficiez d’une visibilité sur l’utilisation non autorisée de votre domaine.
Sans l’application de DMARC, les messages usurpés qui échouent aux vérifications SPF ou DKIM peuvent tout de même parvenir dans les boîtes de réception.
Conclusion
L’usurpation d’adresse e-mail exploite une faille structurelle dans la conception même de l’e-mail. Les protocoles d’authentification réduisent ce risque. Les processus de vérification internes le réduisent encore davantage. Mais aucun système n’élimine entièrement l’erreur humaine.
Le véritable objectif n’est pas seulement de bloquer les messages frauduleux, mais aussi de limiter les conséquences si une personne interagit avec un tel message.
Si un pirate parvient à obtenir des identifiants de connexion, la réutilisation de mots de passe transforme une seule erreur en plusieurs comptes compromis. C’est là que la gestion des mots de passe devient un élément de votre stratégie de sécurité des e-mails.
NordPass Premium vous aide à générer des mots de passe forts et uniques, et à les stocker en toute sécurité sur tous vos appareils. Si une tentative d’usurpation d’identité conduit à une page d’hameçonnage, des identifiants de connexion uniques empêchent les attaquants d’aller au-delà de ce seul compte.
La sécurité de l’e-mail commence par l’authentification. Elle se termine par l’hygiène du compte.