Discussion :

[Patrick Ruiz]

Plus de 90 % des entreprises du Fortune 500 n’ont pas déployé DMARC
Un protocole d’authentification des courriels pour prévenir le phishing

Un rapport de la firme de la sécurité Agari révèle que les entreprises les mieux classées en Amérique, au Royaume-Uni et en Australie laissent leurs clients vulnérables à des attaques par phishing. On parle ici d’entreprises du classement américain du Fortune 500, du FTSE 100 britannique et de l’ASX 100 australien qui n’ont pas adopté DMARC (Domain Based Message Authentification Reporting & Conformance).

67 % des entreprises du classement Fortune 500 n’ont pas déployé le protocole DMARC. Le constat est le même au Royaume-Uni avec les entreprises du FTSE 100. En Australie, les chiffres sont revus à la hausse avec 73 % des entreprises qui apparaissent dans le classement ASX 100 et que la firme Agari a identifiées comme étant dans cette situation. Le phénomène ne se limite pas à ces entreprises puisqu’une autre étude de l’organisation à but non lucratif « Global Cyber Alliance » révèle qu’à la date du 1^er août 2017, 90 % des domaines appartenant à des agences fédérales américaines n’avaient pas déployé le protocole sur leurs serveurs de messagerie.

Cet état de choses laisse perplexe quand on sait que ces relevés sont antérieurs aux attaques dirigées contre les infrastructures du DNC avant la dernière élection présidentielle américaine et celles plus récentes contre des membres de l’équipe d’En marche, preuve que les attaques par phishing font partie de l’arsenal favori des cybercriminels. Des faits qui, en principe, ne sont pas étrangers aux équipes IT en charge de ces questions dans lesdites entreprises ou administrations.

L’implémentation de DMARC donne pourtant la possibilité à des entreprises de cette envergure d’empêcher à des cybercriminels d’usurper leur identité pour envoyer des courriels malicieux à leurs clients ou même à leur personnel. Le processus de déploiement du protocole serait des plus simples et pour certaines entreprises offrant ce service de suivi de domaine, gratuit pour une dizaine de milliers de courriels à surveiller par an.

Au-delà, il y a un coût à consentir, mais l’on doute fort que les sommes requises puissent empêcher aux mastodontes de ces différents classements de déployer le protocole. Le problème semble être ailleurs puisque pour certaines des entreprises ayant procédé au déploiement, on apprend que le niveau de sécurité le plus bas (qui, finalement, ne correspond à aucune sécurité) est choisi.

L’étude de la firme Agari révèle en effet que 25, 26 et 23 % des entreprises respectivement des classements Fortune 500, FTSE 100 et ASX 100 ont procédé au déploiement, mais ont choisi de ne faire filtrer aucun courriel. Résultat des courses, ce sont les clients et les employés qui doivent faire preuve de plus de prudence.

À propos d’Agari et le protocole DMARC

Les spécifications DMARC naissent des efforts concertés entre les fondateurs d’Agari et les géants de l’Internet que sont Yahoo et Paypal. Les deux entreprises figurent d'ailleurs comme pionniers en termes d’adoption de ce standard aux côtés d’autres comme Facebook, NetFlix et LinkedIn.

Source : Rapport Agari

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Des hackers mettent en œuvre des plateformes de phishing en tant que service à coûts réduits afin de faciliter le lancement des cyberattaques
Plus de 14 000 certificats SSL contenant le mot "PayPal" ont été délivrés par Let's Encrypt à des sites de phishing en l'espace d'un an

[DMARC.fr]

Bien que le pourcentage de croissance ait chuté sensiblement, plus de 810 000 nouveaux enregistrements DMARC ont été ajoutés en 2020. Et le nombre moyen d'enregistrements ajoutés chaque mois était de plus de 108 000, soit beaucoup plus que les 90k ajoutés en moyenne chaque mois de 2019.


57% des universités françaises n’ont pas du tout publié de registre DMARC, se retrouvant exposées à l’usurpation de nom de domaine et aux attaques de phishing.
43% des universités françaises ont publié un registre DMARC, mais 1 seule université a mis en œuvre le niveau de protection DMARC le plus strict (p=reject).
Ainsi, 98% des universités ne se protègent pas de manière proactive contre les emails frauduleux usurpant leur nom de domaine.

A noter aussi que BIMI “Brand Indicators for Message Identification” est un nouveau standard qui facilitera l'identification de l'émetteur d’un e-mail.

[DMARC.fr]

Le nombre moyen de nouveaux enregistrements DMARC chaque mois était d'environ 162 500, avec une très forte augmentation (400 000) en juin 2021. Si l'on exclut le mois de juin, l'augmentation moyenne est d'environ 114 500 par mois.