Comment éviter les cyber attaques qui utilisent la messagerie ?
Que ce soit par des campagnes massives d’envoi de courriels malveillants (phishing), ou par la personnalisation des courriels envoyés (spear-phishing), l’email demeure le vecteur d’attaque le plus utilisé par les cybercriminels pour pénétrer les entreprises (en particulier les grandes entreprises). 
 
Or malgré une sensibilisation accrue et des technologies de plus en plus pointues pour détecter les courriels malveillants, le courriel demeure le type d’attaque le plus efficace. 

Les documents malveillants les plus utilisés pour diffuser les malwares restent les documents office (Word et Excel) contenant des instructions malicieuses (macros). Les macros étant désactivées par défaut dans les nouvelles versions d’Office, les attaquants rivalisent d’imagination afin d’inciter les utilisateurs à les activer (et ainsi permettre l’exécution du code malveillant).

Des campagnes très récentes de ransomwares ont d’ailleurs visé les organisations gouvernementales.

Protéger son serveur de messagerie et ses utilisateurs
La messagerie reste toujours le maillon faible de la cybersécurité. Il y a de nombreux aspects à prendre en compte afin de sécuriser son serveur de messagerie. Voyons chaque aspect en détail.

La gestion des correctifs
C’est un point évident, mais tout comme n’importe quel composant de son système d’information, cela doit être appliqué sur ses serveurs de messagerie. Des vulnérabilités sont régulièrement découvertes sur ces composants, comme par exemple la CVE-2018-6789 concernant les serveurs de messagerie EXIM et qui permet à un attaquant d’exécuter des commandes à distance sur un serveur vulnérable.

Lutte contre l’usurpation d’identité
À l’aide des bons outils, un attaquant peut envoyer un courriel qui semble provenir d’un domaine légitime. Par exemple, un hacker pourrait envoyer un email qui semble provenir de support@bofa.com, une adresse email légitime de Bank of America. Sauf qu’en réalité, cet email n’a pas été envoyé depuis cette adresse. Il s’agit d’un email de phishing visant à vous amener à cliquer sur un lien qui vous redirige vers une page Web falsifiée qui ressemble à www.bofa.com. 
 
Il existe des standards permettant de lutter contre l’usurpation de domaines : 
 
Le protocole Sender Policy Framework (SPF) permet d’indiquer les adresses IP autorisées à envoyer du courrier avec ce domaine. 

Le protocole Domain Keys Identified Mail (DKIM) permet de faire un lien entre le nom de domaine expéditeur et le message et de s’assurer que ce dernier n’a pas été altéré durant sa transmission.

Le protocole Domain-based Message Authentication, Reporting and Conformance (DMARC). Complément aux protocoles SPF et DKIM, il permet tout d’abord à l’expéditeur de recevoir les résultats de l’authentification de ses envois auprès des principaux FAI (Fournisseurs d’Accès à Internet comme Gmail, Hotmail, AOL, etc.), lorsqu’un message signé de leur domaine n’est pas formellement identifié par une norme SPF ou DKIM (échec lors du test de l’authentification).
 
Ces standards, une fois intégrés à la configuration de votre serveur DNS, permettent de limiter les possibilités d’utilisation des noms de domaine à des fins d’usurpation.

Attaques par Credential Stuffing
Il s’agit d’une des techniques les plus sophistiquées et l’une des plus difficiles contre lesquelles se protéger. Les attaquants achètent ou récupèrent des liste d’identifiants volés puis lancent des tentatives de connexion contre les services de l’entreprise visée. Une fois les identifiants/mots de passe validés sur un site/service, les attaquants peuvent accéder aux comptes et effectuer de nombreuses actions frauduleuses (telles que le vol de données, le piratage de compte ou encore l’usurpation d’identité). 
 
Pour lutter contre ce type d’attaque, il est tout d’abord réaliser une veille des identifiants qui ont pu fuiter (avec des sites comme Have I Been Powned par exemple), sensibiliser les utilisateurs afin que ceux-ci protègent leur mot de passe (formation à l’utilisation de gestionnaires de mots de passe afin d’éviter d’utiliser un mot de passe identique pour différents services).

La sensibilisation des utilisateurs
L’utilisateur étant le premier rempart, il est recommandé de faire régulièrement des campagnes de phishing auprès de vos collaborateurs.

Nous nous tenons à votre disposition pour vous renseigner ou vous aider à mettre en place la formation de votre personnel.


Comment faire les premiers contrôles par vous-même ?
Nous vous invitons à consulter notre page Utiles pour entreprendre les premières démarches de sécurité.

Comment détecter un e-mail de Phishing ?
Quelles sont les vulnérabilités les plus exploitées ?
Comment éviter les cyber attaques qui utilisent la messagerie ?
Coronavirus : cybermenace mondiale ?