Créé en 2012 par de grands opérateurs de messagerie, DMARC (“Domain-based Message Authentication, Reporting and Conformance”) est un protocole qui empêche les hackers d’usurper l’e-mail d’une personne. Il agit plus précisément sur le nom de domaine d’une organisation.
Le système DMARC identifie les e-mails de phishing ou les messages envoyés par un individu qui utiliserait le nom de domaine d’une organisation de manière illégale. Il authentifie les e-mails. Avec DMARC, l’expéditeur propriétaire du nom de domaine est prévenu de la réussite ou échec de l’authentification d’un e-mail. Ainsi informé, il peut agir si son nom de domaine est usurpé par un tiers non autorisé à en faire l’usage.
Ce protocole permet donc de réduire l’usage abusif des spams et des e-mails de phishing. Essentiellement lorsqu’il s’agit d’un type de fraude par phishing : l’usurpation du nom de domaine. En s’équipant de la solution DMARC, tout expéditeur préserve ainsi les employés, clients et partenaires contre les cybercriminels qui envoient des e-mails en leur lieu et place.
Qu’est-ce qu’un nom de domaine ?
Une adresse Internet est l’équivalent de l’adresse postale d’une organisation sur Internet. Elle permet aux contacts et clients de trouver un site Internet sur le web. Un nom de domaine fait partie intégrante de l’adresse Internet, dite « URL »(Uniform Resource Locator, en français « localisateur uniforme de ressource »). Il se compose lui-même d’une chaîne de caractères et d’une extension (.fr .com .org). En France, l’AFNIC est le gestionnaire historique du .fr.
Par exemple, dans l’adresse Internet “www.avantdecliquer.com”, avantdecliquer.com est le nom de domaine.
Acheter et déposer un nom de domaine s’effectue auprès d’un bureau d’enregistrement.
Pour plus de professionnalisme, lorsqu’une organisation possède un nom de domaine, elle peut créer des adresses e-mails sous la forme de « prenom.nom@nom-de-domaine.com ». Dans notre exemple : prenom.nom@avantdecliquer.com.
Qu’est-ce que le phishing ?
Le phishing ou hameçonnage est une technique de fraude par e-mail répandue. Utilisée par les hackeurs pour infiltrer le Système Informatique d’une organisation, l’objectif est d’extorquer des données personnelles et/ou professionnelles.
Le phishing et le spear phishing restent en tête des cyberattaques les plus répandues (sources : CESIN et Cybermalveillance.gouv.fr) :
- 1 utilisateur sur 3 ouvre un e-mail de phishing.
- 79% des organisations françaises ont signalé avoir été victimes d’hameçonnage.
De part le monde, ce type de fraude est la menace prédominante. Les dommages financiers, organisationnels et sur la renommée peuvent se révéler dramatiques.
Les conséquences d’un clic sur un lien corrompu ou une pièce jointe frauduleuse sont diverses : extorsion de données, malware (virus, rançongiciel,…).
Le spear phishing ou harponnage consiste, quant à lui, à réaliser le même genre de fraude en déterminant une cible précise.
Phishing et usurpation du nom de domaine
Envoyer des e-mails frauduleux en se faisant passer par un tiers devient un acte de cybermalveillance courant. Pour un hacker averti, usurper le champ expéditeur “De” (“from”) d’un e-mail est un “jeu d’enfant”. Cette fraude est nommée le “Cybersquatting”. Cela consiste à enregistrer des noms de domaines identiques ou similaires aux noms de domaine officiels des organisations expéditrices d’e-mails.
Le but du pirate informatique est l’atteinte aux droits du titulaire pour profiter de son identité ou pour lui nuire.
A titre d’exemples :
En juin 2020, par exemple, la FNAC a été victime d’une campagne de phishing visant à usurper son identité. L’enseigne a averti ses clients du risque de phishing. Elle précise que “ces e-mails font état de confirmation de commandes fictives en reprenant la charte graphique et le logo de notre enseigne”.
En avril 2020, une faille majeure détectée de Gmail a permis aux pirates d’usurper l’identité de n’importe quel utilisateur.
Ou encore, en 2016, l’exemple de Vinci, victime d’une usurpation d’identité par email, provoquant la chute de son cours en bourse.
Comment DMARC combat-il le phishing ?
DMARC améliore la délivrabilité des e-mails des expéditeurs. En effet, l’expéditeur, propriétaire du nom de domaine, peut demander que les messages illégitimes soient automatiquement dirigés vers le dossier “indésirables” (ou “spams”) de la messagerie du destinataire. Il peut également demander un rejet direct par le serveur de réception (suppression directe depuis le serveur de messagerie).
En conséquence, les spams et surtout les e-mails de phishing sont automatiquement évincés de la boîte de réception des utilisateurs.
De quelle manière fonctionne DMARC ?
DMARC fonctionne en combinant deux autres protocoles :
- SPF (Sender Policy Framework) : ce protocole permet à une organisation de transmettre à ses fournisseurs numériques la liste des serveurs autorisés à envoyer des e-mails avec son nom de domaine.
- DKIM (Domain Keys Identified Mail) : ce protocole ajoute systématiquement une signature numérique aux e-mails envoyés par une organisation. La présence de cette signature DKIM garantit de l’intégrité de l’e-mail lors de son transport.
Ces deux protocoles se complètent et si l’un d’entre eux n’est pas respectés, DMARC propose une action à réaliser en cas de suspicion d’attaque.
3 protocoles (SPF, DKIM et DMARC) authentifient donc la source d’un e-mail.
DMARC est-il la solution au phishing ?
DMARC offre une protection performante concernant l’usurpation d’e-mail, appelée également « business email compromise ».
Très efficace, sa mise en place reste cependant assez complexe pour la plupart des organisations.
De plus, ce n’est pas la réponse unique au problème du phishing puisqu’il ne lutte que contre un type de phishing : l’usurpation du nom de domaine.
Comme toute solution de cybersécurité, c’est sa combinaison à d’autres solutions techniques (filtre anti-spam, pare feu…) et organisationnelles (sensibilisation à la cybersécurité, formation des utilisateurs à déjouer les pièges du phishing), qui font de lui un atout supplémentaire dans la lutte contre le phishing.
