Que ce soit par des campagnes massives d’envoi de courriels malveillants ou par l’usage de courriels personnalisés (spear-phishing : techniques d’ingénierie sociale), l’email demeure le vecteur le plus utilisé par les cybercriminels pour pénétrer les entreprises.
Or malgré une sensibilisation accrue et des technologies de plus en plus pointues pour détecter les courriels malveillants, le courriel demeure le type d’attaque le plus efficace.
Figure 1 : Exemple de courriel de phishing
Les documents malveillants les plus utilisés pour diffuser les malwares restent les documents Office (Word et Excel) contenant des instructions malicieuses (macros). Les macros étant désactivées par défaut dans les nouvelles versions d’Office, les attaquants rivalisent d’imagination afin d’inciter les utilisateurs à les activer (et ainsi permettre l’exécution du code malveillant).
Figure 2 : Exemple de Word malicieux
Des campagnes très récentes de ransomwares ont d’ailleurs visé les organisations gouvernementales.
Comment protéger son serveur de messagerie ?
La messagerie reste le maillon faible de la cybersécurité. Il y a de nombreux aspects à prendre en compte afin de sécuriser son serveur de messagerie. Voyons chaque aspect en détail.
La gestion des correctifs
C’est un point évident, mais tout comme n’importe quel composant de son système d’information, les correctifs doivent être appliqués sur ses serveurs de messagerie. Des vulnérabilités sont régulièrement découvertes sur ces composants, comme par exemple la CVE-2018-6789 concernant les serveurs de messagerie EXIM et qui permet à un attaquant d’exécuter des commandes à distance sur un serveur vulnérable.
La lutte contre l’usurpation de domaines
À l’aide des bons outils, un attaquant peut envoyer un courriel qui semble provenir d’un domaine légitime. Par exemple, un hacker pourrait envoyer un email qui semble provenir de support@bofa.com, une adresse email légitime de Bank of America. Sauf qu’en réalité, cet email n’a pas été envoyé depuis cette adresse. Il s’agit d’un email de phishing visant à vous amener à cliquer sur un lien qui vous redirige vers une page Web falsifiée qui ressemble à www.bofa.com.
Il existe des standards permettant de lutter contre l’usurpation de domaines :
- Le protocole Sender Policy Framework (SPF) permet d’indiquer les adresses IP autorisées à envoyer du courrier avec ce domaine.
- Le protocole Domain Keys Identified Mail (DKIM) permet de faire un lien entre le nom de domaine expéditeur et le message et de s’assurer que ce dernier n’a pas été altéré durant sa transmission
- Le protocole Domain-based Message Authentication, Reporting and Conformance (DMARC). Complément aux protocoles SPF et DKIM, il permet tout d’abord à l’expéditeur de recevoir les résultats de l’authentification de ses envois auprès des principaux FAI (Fournisseurs d’Accès à Internet comme Gmail, Hotmail, AOL, etc.), lorsqu’un message signé de leur domaine n’est pas formellement identifié par une norme SPF ou DKIM (échec lors du test de l’authentification).
Ces standards, une fois intégrés à la configuration de votre serveur DNS, permettent de limiter les possibilités d’utilisation des noms de domaine à des fins d’usurpation.
Les bonnes pratiques pour se prémunir des attaques par Credential Stuffing
Il s’agit d’une des techniques les plus sophistiquées et l’une des plus difficiles contre lesquelles se protéger. Les attaquants achètent ou récupèrent des liste d’identifiants volés puis lancent des tentatives de connexion contre les services de l’entreprise visée. Une fois les identifiants/mots de passe validés sur un site/service, les attaquants peuvent accéder aux comptes et effectuer de nombreuses actions frauduleuses (telles que le piratage de compte, l’usurpation d’identité et le vol de données).
Pour lutter contre ce type d’attaque, il est recommandé de réaliser une veille des identifiants qui ont pu fuiter (avec des sites comme Have I Been Powned par exemple). Il faut également sensibiliser les utilisateurs afin que ceux-ci protègent leurs mots de passe (formation à l’utilisation de gestionnaires de mots de passe afin d’éviter d’utiliser un mot de passe identique pour différents services).
La sensibilisation des utilisateurs
L ’utilisateur étant le premier rempart, il est recommandé de faire régulièrement des campagnes de phishing auprès de vos collaborateurs. Notre plate-forme Risk&Me propose d’ailleurs ce type de service : Riskandme.com
