Discussion :

[Sandra Coret]

Le CAC 40 se mobilise contre la fraude par email avec DMARC, une méthode d'authentification des expéditeurs d’emails, selon de nouvelles recherches de Proofpoint

94 % des cyberattaques sont aujourd’hui initiées via la boîte email, faisant de ce canal le principal vecteur de fraude en ligne. La plupart du temps, les pirates informatiques créent des leurres liés à l’actualité (COVID-19, impôts…) et usurpent les noms de domaines d’entreprises reconnues ou d’organisations légitimes pour piéger leurs victimes.

Dans la lutte contre la fraude par email, toutes les entreprises et organisations ont un rôle prépondérant à jouer pour empêcher des cybercriminels de dérober des données personnelles ou sensibles en usurpant leur identité de marque, dite de confiance.

Pour assumer ce rôle et réduire le risque de cyberattaque, l’une des pistes les plus évidentes est la sensibilisation des collaborateurs et des citoyens au pratiques de cybersécurité (99 % des cyberattaques par email nécessitant une action humaine pour se déclencher – clic, ouverture de pièce jointe) notamment sur la détection de mails frauduleux reçus, usurpant les identités des émetteurs.

Autre piste tout aussi efficace, mais encore sous-exploitée : DMARC (Domain-based Message Authentication, Reporting, and Conformance), une méthode d'authentification des expéditeurs d’emails, devenue un standard à l’échelle mondiale. Créée en 2012 par des opérateurs majeurs de messagerie tels que Google, Yahoo!, AOL et Microsoft, DMARC constitue à ce jour l’arme la plus puissante pour lutter contre le spoofing (usurpation d’identité) et le phishing (hameçonnage).

Les principales entreprises et organisations françaises font-elles tout ce qui est en leur pouvoir pour réduire le risque de cyberattaque ?

Pour tenter de répondre à cette question, les chercheurs Proofpoint se sont une nouvelle fois penchés sur la mise en œuvre du standard DMARC au sein des entreprises du CAC 40, ainsi que de 14 ministères et services publics français. C’est la troisième année consécutive que Proofpoint réalise cette enquête, afin de mesurer la progression du taux d’adoption du protocole DMARC au sein des principales marques et organisations de confiance en France.

Voici les principales conclusions de cette enquête, réalisée en avril 2021 :

• 31 entreprises du CAC 40 (77 %) ont un enregistrement DMARC, soient 8 de plus qu’en 2020.
  
  
• Sur les 31 entreprises ayant un enregistrement DMARC, seulement 6 bloquent de manière proactive les emails frauduleux (15 %) et sont donc totalement conformes à DMARC. Une nette amélioration par rapport à 2020 puisque seulement 3 entreprises bloquaient proactivement les emails l’an dernier.
  
  
• 9 des plus grandes organisations françaises (23 %) restent donc encore largement exposées à la fraude par email ainsi qu’à l'usurpation de nom de domaine.
  
  
• 5 des 14 ministères français ont mis en œuvre DMARC (1 de plus qu’en 2020) et ont donc une visibilité sur l'usurpation d'identité de leur domaine par les cybercriminels. Cependant, seul le ministère de l'Économie est entièrement conforme à la norme DMARC et bloque de manière proactive les courriels frauduleux destinés aux citoyens français.
  
  
• Sur les 5 organisations de services publics clés (considérées comme des infrastructures critiques), seule 1 organisation est protégée contre les attaques par usurpation de domaine (Les Impôts). Mais son domaine associé utilisé pour envoyer des emails au contribuable (DGFIP) est lui laissé sans protection maximale.
  

Ces chiffres tendent à démontrer que l’adoption de DMARC progresse de manière beaucoup plus prononcée dans les plus grandes entreprises françaises qu’au sein des organisations gouvernementales, illustrant le décalage évident de maturité en matière de posture de cybersécurité entre secteurs privé et public. D’une manière générale, le standard DMARC reste sous-exploité, car trop peu d’acteurs mettent en œuvre son niveau de protection le plus haut (REJECT), malgré les recommandations de l’ANSSI. Pour Proofpoint, la lutte contre la fraude email doit encore s’intensifier, notamment au niveau des opérateurs FAI grand public.

Avant le début de la pandémie, de nombreux indicateurs témoignaient déjà de la nécessité d’adopter des stratégies de cybersécurité plus affutées impliquant notamment la mise en œuvre du plus haut niveau de protection de DMARC (REJECT). Puis la pandémie a fait émerger des leurres par email particulièrement efficaces, qui utilisés massivement par les pirates informatiques, ont encore relevé le niveau de vigilance des entreprises.

Selon Loïc Guézo, Directeur Stratégie Cybersécurité SEMEA chez Proofpoint : « On ne peut que se réjouir de voir qu’au début de l’ère post-COVID, et dans un contexte de télétravail quasi généralisé, les plus grandes entreprises françaises semblent avoir davantage pris conscience des cyberrisques en adoptant le standard DMARC pour « certifier » les emails émis depuis leur nom de domaine. Il est primordial de poursuivre les efforts pour sécuriser leur infrastructure, au risque de connaître l’impact que pourrait avoir une large cyberattaque sur leur capital-marque ».

Source : Proofpoint

Et vous

Que pensez-vous du protocole DMARC ?
L'utilisez-vous ou pensez-vous l'utiliser ?

Voir aussi :

Trois milliards de messages par jour usurpent encore l'identité de l'expéditeur, malgré l'adoption en hausse de la technologie de vérification d'identité DMARC, selon un nouveau rapport de Valimail

La plupart des domaines les plus importants en termes de trafic sont vulnérables à un email spoofing, quelles sont les meilleures solutions ?

[vanquish]

Que pensez-vous du protocole DMARC ?

C'est une très bonne chose, mais pour le développeur en petite structure comme moi, c'est une plaie sans nom.
Avant pour que votre application envoie un mail, on avait juste besoin d'un serveur smtp quelconque, d'un login et d'un mode de passe et de quelques lignes de codes.
Cette époque est révolue. Mettre en place les différents protocoles demandes des compétences qui ne s'inventent pas.

L'utilisez-vous ou pensez-vous l'utiliser ?

Tout comme SPF et DKIM, DMARC s'impose à nous. Ce n'est pas réellement un choix.
Si on n'envoie pas ses mails avec un domaine parfaitement configuré à ce sujet, les mails envoyés par applications ont beaucoup de chance de basculer en spam voir même d'être purement et simplement rejeté par certaines destinations.

J'ai un site web qui envoie des confirmation par mails et qui faisait cela depuis des années et sans soucis avec un serveur smtp auto-hebergé (127.0.0.1).
J'ai du récemment passer par un service externe, parce que je ne m'en sortait plus quant à la bonne déliverabilité.

J'utilise les services de mailjet, qui ont de très bon tuto pour mettre cela en place sur le paramétrage DNS d'OVH (entre autres).

[tanaka59]

Bonsoir,

Que pensez-vous du protocole DMARC ?

Une forme d'annuaire de "certification" des noms de domaines, devient à mon sens de plus en plus urgent. Toute ce qui n'est pas dans cet "annuaire" et transite "au nom de" devra donc à terme être bloqué. Les institutions qui se font usurper cela devient quasi quotidien ... L'idée est d'avoir une sorte de liste blanche ... Quitte à forcer la main aussi à des institutions avec des noms de domaines en "sommeil" ou bien mal utilisé / divagant ...

On l'a encore vu récemment avec un nom de domaine Google acheté et tombé à la vente.

L'utilisez-vous ou pensez-vous l'utiliser ?

Non

[DMARC.fr]

Je pense que ce protocole est très intéressant, il faut l'implémenter DMARC pour plusieurs raisons :

• e-mails sortants : Protection de votre image de marque;
• Meilleure délivrabilité de vos e-mails ( diminue les chances que vos emails soient qualifiés de spam ) ;
• Diminue les risques que votre nom de domaine soit blacklisté par les antispam (plus aucun e-mail accepté);
• Meilleure visibilité de votre marque avec le protocole BIMI
• Vous êtes informés en cas de tentative d'usurpation de vos adresses e-mail;
• Votre département informatique aura une meilleure compréhension de ses flux e-mail : Quels systèmes émettent des e-mails au nom de votre organisation? (+RGPD : Idéal pour identifier les applications qui hébergent des données personnelles);

Si votre organisation est en BtoC, BIMI augmentera la confiance des consommateurs dans votre marque.