Skip to content
spoofing mail

Qu’est-ce que le spoofing par mail ? Usurpation d’identité.

8 min

L’e-mail est un outil essentiel pour la communication professionnelle et personnelle. Cependant, avec l’augmentation de la technologie, les cybercriminels ont découvert de nouvelles façons de tromper les utilisateurs d’e-mail en utilisant des techniques d’usurpation d’identité, également connues sous le nom de spoofing.

Le spoofing de courrier électronique est une technique utilisée pour masquer l’expéditeur réel d’un e-mail en faisant croire qu’il provient d’une source fiable. Les cybercriminels peuvent utiliser cette technique pour envoyer des e-mails frauduleux qui ressemblent à ceux de banques, de sociétés de commerce électronique ou même d’amis et de collègues. Ces e-mails peuvent contenir des liens malveillants, des pièces jointes infectées ou des demandes d’informations sensibles, comme des mots de passe ou des numéros de carte de crédit.

1. Spoofing est différent du phishing.

Le spoofing et le phishing sont des techniques de cybercriminalité qui visent à tromper les utilisateurs en leur faisant croire qu’ils reçoivent des communications de sources fiables. Cependant, il y a une différence clé entre les deux.

Le phishing consiste à simplement masquer l’identité du destinataire afin de faire croire que le mail reçu provient d’une source fiable. Les e-mails de phishing ressemblent généralement à des e-mails légitimes, comme ceux des banques ou des entreprises de commerce électronique, et peuvent inclure des liens menant à des sites web frauduleux qui ressemblent à des sites légitimes. Ils sont facilement identifiable, car souvent, uniquement le nom du destinataire est usurpé mais pas l’adresse email. Lorsqu’on passe le curseur de la souris sur ce nom, on découvre que l’adresse mail d’envoi est une adresse mail qui n’a aucun rapport avec l’envoyeur que les pirates souhaitent nous faire croire. Découvre en détail ce qu’est le phishing.

Contrairement au phishing, le spoofing est une technique qui consiste à masquer l’expéditeur réel d’un e-mail en utilisant une adresse e-mail réelle usurpée. Le but de cette technique est de faire croire à l’utilisateur qu’il reçoit un e-mail de quelqu’un qu’il connaît ou d’une entreprise fiable, pour qu’il ouvre l’email et clique sur les liens ou télécharge les pièces jointes.

Cette technique est donc beaucoup plus complexe à détecter pour le destinataire qui pense que le mail provient d’une source fiable.

C’est un peu comme si j’envoyais à votre ami un courrier postal en indiquant votre nom et votre adresse au dos de l’enveloppe pour faire croire qu’il s’agit de vous.

Est-ce si facile d’envoyer un email avec l’email d’une autre personne me direz vous ? Si votre email n’est pas protégé, il n’y a rien de compliqué pour un pirate informatique.

2. Quels sont les risques ?

Les risques liés au spoofing de courrier électronique sont nombreux. Les e-mails frauduleux peuvent voler des informations personnelles ou financières, tromper les utilisateurs pour qu’ils effectuent des transactions non autorisées ou installer des logiciels malveillants sur leurs ordinateurs. Les e-mails de spoofing peuvent également causer des dommages à la réputation en envoyant des messages embarrassants ou offensants sous le nom d’un utilisateur.

3. Comment se protéger du spoofing ?

Il existe plusieurs moyens de se protéger contre le spoofing de courrier électronique. Tout d’abord, il est important d’être vigilant lorsque vous recevez des e-mails qui semblent suspects ou qui demandent des informations sensibles. Il est également important de ne jamais cliquer sur des liens ou des pièces jointes dans des e-mails douteux. Utilisez un logiciel de sécurité pour protéger votre ordinateur contre les logiciels malveillants, et utilisez des mots de passe forts et uniques pour tous vos comptes en ligne.

Votre adresse mail contient aussi des protocoles de sécurité (SPF, DMARC, DKIM) qui permettent d’éviter le spoofing. Si vous utilisez une adresse email privée du style Gmail, Hotmail etc. Ces protocoles de sécurité sont automatiquement mis en place et vous ne risquez presque pas le spoofing ou l’usurpation de votre mail. (Sauf si votre mot de passe est trop faible et que les pirates ont pris l’accès de votre compte. Mais dans ce cas il ne s’agit pas de spoofing)

Dans le cas où vous utilisez une adresse email professionnelle de votre domaine. ex: info@exemple.com, vous devez dans ce cas vous assurer que vous avez correctement configuré les protocoles de sécurité.

Ces protocoles fonctionnent en ajoutant une entrée DNS (Domain Name System) à un domaine qui spécifie les serveurs de messagerie autorisés à envoyer des messages pour ce domaine. 

SPF

Le SPF: (Sender Policy Framework) est un protocole qui permet de vérifier que les messages électroniques envoyés proviennent bien de l’expéditeur qui prétend l’avoir envoyé. Vous devez donc configurer votre SPF pour autoriser uniquement certaines IP à envoyer un email depuis votre adresse email. Si vous n’avez pas de SPF c’est la porte ouverte au spoofing.

Pour configurer un spf vous devez ajouter un champ DNS TXT SPF. par ex:

“v=spf1 ip4:51.158.158.54 include:_spf.google.com ~all”

(Ceci est un exemple, veuillez demander à votre hébergeur, quelles sont les bonnes ip ou includes à configurer pour votre mail)

Ce SPF indique que les seules adresses IP pouvant envoyer un email avec votre domaine sont les serveurs ayant l’IP 51.158.158.54 ainsi que toutes les adresses IP présentes dans le SPF de _spf.google.com.

Il est important de noter que votre SPF doit être valide et correctement structuré sinon il ne sera pas pris en compte. Vous pouvez vérifier la validité de votre spf ici: https://dmarcadvisor.com/fr/spf-check/

Une autre règle importante du SPF pour sa validité consiste dans le fait que vous pouvez avoir maximum 10 mécanismes de recherche. Si vous incluez dans votre spf directement une adresse ip (ip4:xxx.xxx.xxx.xxx), ceci ne compte pas comme un mécanisme de recherche. Par contre, si vous incluez un include (include:_spf.google.com). ceci demande au spf d’aller vérifier aussi le champ spf de _spf.google.com et quelles sont les adresses ip présentes dans cet include. Il s’agit donc d’un mécanisme de recherche. Attention le champ spf de _spf.google.com pourrait lui aussi contenir des includes. Si par exemple le spf de Google contient 2 includes. Votre SPF fera 3 mécanismes de recherche. 1 pour vérifier le spf de Goolge et 2 autres pour vérifier les includes présents dans le spf de google.

Si vous dépassez les 10 mécanismes de recherche, votre spf ne sera pas valide et ne sera pas pris en compte. Vérifiez donc la validité de votre spf et le nombre de mécanismes via le lien ci-dessus. 

DMARC

DMARC: (Domain-based Message Authentication, Reporting & Conformance) qui vérifient si un message électronique est envoyé depuis un serveur de messagerie autorisé et s’il est signé avec un enregistrement DKIM valide.

Le DMARC a pour but d’indiquer: “Que faire de votre mail si celui-ci n’est ne passe pas la vérification SPF”.

On peut lui demander de ne rien faire (none), de le mettre en quarantaine (quarantine) ou de le rejeter (reject).

Une des plus grosses erreurs dans le réglage du dmarc et de ne pas le configurer ou de lui mettre le paramètre “none”. Cela signifie de dire que même si votre SPF est bien configuré et qu’une personne envoi un email avec votre adresse email et donc ne passe pas la validation SPF. Le Dmarc autorise tout de même l’email.

Notre conseil est donc de régler le dmarc de la manière suivante:

“v=DMARC1; p=reject”

Si vous souhaitez recevoir des rapports sur Dmarc Il est aussi possible d’ajouter cela dans la configuration.

La configuration complète: https://www.dmarc.fr/blog/comment-configurer-un-enregistrement-dmarc-pour-repondre-aux-besoins-de-mon

4. Un exemple concret de spoofing

Si votre enregistrement SPF ou DMARC est inexistant, incomplet ou invalide, Il est tout de même difficile pour un pirate d’envoyer un email avec votre adresse mail vers un autre destinataire, car les webmail vont très souvent bloquer un email (ou le placer en spam) si celui-ci n’a pas un enregistrement SPF valide. 

Cependant le pirate va pouvoir vous envoyer un email à vous-même, car le système va considérer cela comme autorisé.

Exemple:

Le domaine “mondomaine.be” possède une adresse mail info@mondomaine.be sans aucune règle SPF ou DMARC.

Un pirate pourra via un webmail quelconque rédiger un email et dire, je veux l’envoyer depuis l’adresse info@mondomaine.be.

S’il envoie cet email à info@societe-a.be, cet email ne passera probablement pas, car societe-a.be refusera les emails n’ayant pas un spf valide.

Pour contre le pirate pourra envoyer un email depuis info@mondomaine.be vers info@mondomaine.be. Et ceci passera.

Vous recevez donc un email de vous-même avec un pirate qui vous fait croire qu’il a pris le contrôle de votre boite mail et qu’il connait votre mot de passe, vous réclamant au passage une rançon. 

En réalité, il n’a jamais eu accès à votre boite mail et aucun mail n’a été envoyé depuis votre boite mail. Votre serveur considère juste que vous êtes autorisé à recevoir des mails de votre propre domaine si aucune règle spf ou dmarc l’en empêche. (c’est exactement le spoofing).

En ce moment un email très connu de spoofing est souvent reçu par les entreprises et c’est souvent le même dont voici le contenu:

 

Titre: Notification!

Bonjour

Comme vous l’avez peut-être remarqué, je vous ai envoyé un e-mail depuis votre compte (info@mondomaine.be) .Cela signifie que j’ai un accès complet à votre compte.

Je t’observe depuis quelques mois maintenant.

Le fait est que vous avez été infecté par un cheval de Troie via un site pour adultes que vous avez visité.

Si vous n’êtes pas familier avec cela, je vais vous expliquer.

Trojan me donne un accès et un contrôle complets sur votre appareil.

Cela signifie que je peux tout voir sur votre écran, allumer la caméra et le microphone, mais vous ne le savez pas.

J’ai également accès à tous vos contacts et à toute votre correspondance.

J’ai fait une vidéo montrant comment vous vous contentez dans la moitié gauche de l’écran et dans la droite moitié vous voyez la vidéo que vous avez regardée.

En un clic de souris, je peux envoyer cette vidéo à tous vos mails et contacts sur les réseaux sociaux.

Je peux également afficher l’accès à toute votre correspondance de contact et aux messagers que vous utilisez.

Si vous voulez éviter cela, transférez le montant de 1300€ EUR à mon adresse bitcoin (si vous ne savez pas comment faire, écrivez à Google : « Banxa ou MoonPay ou Simplex ou Transak »).

Mon adresse bitcoin (portefeuille BTC) est : XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Après réception du paiement, je supprimerai la vidéo et vous ne m’entendrez plus jamais.

Je vous donne 48 heures pour payer.

J’ai un avis de lecture de cette lettre, et la minuterie fonctionnera lorsque vous verrez cette lettre.

Si je constate que vous avez partagé ce message avec quelqu’un d’autre, la vidéo sera immédiatement distribué.

Sincères salutations

 

Si vous êtes victime de ce genre de mail. Pas de panique ! 

L’auteur n’a pas d’accès à votre mail, ne vous a pas infecté et ne détient aucune vidéo de vous. N’envoyez donc aucune rançon.

Si vous ne souhaitez plus recevoir ces emails, contentez-vous juste de vérifier:

  1. Que votre SPF est valide et n’autorise pas le serveur du pirate à envoyer des emails en votre nom.
  2. Que votre Dmarc est bien configuré sur “reject” et non sur “none” afin de dire à votre serveur de rejeter tous les mails qui ne passent pas la validation SPF.

Si malgré tout vous continuez à recevoir ce genre de mail, modifiez un petit paramètre du spf pour lui indiquer de ne pas utiliser le mode “safe” mais de respecter strictement le SPF

À la fin de votre spf indiquez “-all” au lieu de “~all”

Avec ce paramètre vous devez vous assurer que votre spf est 100% valide et autorise bien toutes les IP légitimes à envoyer des emails, sinon vos emails légitimes ne seront plus reçus par vos destinataires.

Vous avez aimé ? Partagez...

Kevin

Kevin

Fondateur de l'agence web Step2Web, développeur web spécialiste WordPress, SEO et SEA. Depuis plus de 15 ans, je me passionne par le monde digital et l'importance de celui-ci pour les entreprises. Mon objectif est d'améliorer la visibilité professionnelle des entreprises et leur permettre d'attirer de nouveaux clients.

Un projet en tête ?
Notre agence web peut vous aider

Discutons-en autour d'un café.

contact