Pourquoi protéger votre domaine de messagerie contre l’Usurpation d’identité est devenu indispensable?
De plus en plus d’entreprises prennent conscience de l’importance de protéger leurs données. C’est l’une des raisons pour lesquelles Run Innovation accompagne les organisations dans le déploiement de Dolibarr, un ERP/CRM open source permettant de reprendre le contrôle de son système d’information tout en limitant sa dépendance à certaines plateformes décentralisées.
Mais la cybersécurité ne se limite pas à la protection des données de gestion.
Aujourd’hui, l’une des menaces les plus sous-estimées concerne l’usurpation d’identité numérique.
Une expérience vécue par Run Innovation
Récemment, nous avons constaté la réception de messages frauduleux ciblant l’entreprise et utilisant son identité.
Plus surprenant encore, certains de ces messages étaient adressés à david@runinnovation.tech, une adresse qui n’est publiée sur aucun site internet, aucun réseau social, aucun annuaire professionnel et aucune page publique.
L’unique adresse de contact publique de l’entreprise est contact@runinnovation.tech.
Par curiosité professionnelle, nous avons effectué plusieurs vérifications à l’aide d’outils de renseignement en sources ouvertes (OSINT) ainsi que d’outils fréquemment utilisés par les cybercriminels pour collecter des informations sur leurs cibles.
Résultat : aucune trace publique de cette adresse électronique.
L’adresse n’apparaît pas non plus dans les principales bases de données de fuites connues.
Nous ne savons donc pas avec certitude comment cette information a été obtenue. Cependant, cet exemple démontre une réalité souvent ignorée : une information n’a pas besoin d’être publique pour être exploitée par des cybercriminels.
Voiçi comment se présente l’email frauduleux, avec l’IA la présentation est soignée
Le bouton bleu « Retrieve Message (4) » pointe vers le lien suivant :
https://firebasestorage.googleapis.com/v0/b/phone-4ca00.appspot.com/o/cPweb9000H.html?alt=media&token=5134d663-1c9d-4872-892a-bd6c48d325d1#tdavid@runinnovation.tech
Ce lien ouvre une page de type webmail. L’internaute est invité à y saisir son mot de passe, qui sera ensuite récupéré par le pirate. Ainsi, le pirate peut utiliser la messagerie de David sans avoir à usurper directement son identité.
Dans ce cas, l’authentification à deux facteurs (2FA) permettrait de limiter ou d’empêcher ce type d’attaque.
Analyse du courriel suspect
Détails techniques
1. En-têtes révélateurs
| Champ | Valeur | Analyse |
|---|---|---|
| De (From) | Pay Load <david@runinnovation.tech> | Usurpation : l’expéditeur prétend être le destinataire lui-même. |
| À (To) | david@runinnovation.tech | Identique au « De », renforçant l’usurpation. |
| Sujet | [SPAM] Incoming Messages Failed | OVH a déjà tagué ce message comme spam. |
| Return-Path | <> | Vide = typique des emails malveillants. |
| Authentification | spf=none, dkim=none, dmarc=fail | Aucune des trois authentifications ne passe. Votre politique DMARC est toujours en p=none, donc l’email a été accepté malgré l’échec. |
| X-VR-SPAMSTATE | PHISHING | OVH classe ce message comme du hameçonnage. |
| X-VR-SPAMSCORE | 713 | Score très élevé, confirmant la nature malveillante. |
2. Adresse IP de l’expéditeur
L’en-tête Received: clé est :
Received: from [10.88.0.4] (201.104.148.146.bc.googleusercontent.com [146.148.104.201])
by in28.mail.ovh.net (Postfix) with ESMTP id 4gRcfd4rDVz3HxLk
[10.88.0.4]: IP privée interne (sans intérêt).146.148.104.201: IP publique de l’expéditeur.
Cette IP appartient à Google Cloud Platform (plage 146.148.104.0/24), comme dans les autres emails.
3. Contenu du message
Le corps HTML est rigoureusement identique aux précédents :
- Fausse alerte de « 4 messages bloqués ».
- Bouton « Retrieve Messages (4) » pointant vers le même lien malveillant sur Firebase Storage :texthttps://firebasestorage.googleapis.com/v0/b/phone-4ca00.appspot.com/o/cPweb9000H.html?alt=media&token=5134d663-1c9d-4872-892a-bd6c48d325d1#david@runinnovation.tech
L’usurpation d’identité est une menace sous-estimée
Dans l’imaginaire collectif, un pirate informatique cherche à pénétrer un système ou à voler des données.
Dans la réalité, les attaques les plus rentables reposent souvent sur la confiance.
Un cybercriminel qui parvient à se faire passer pour une entreprise légitime peut :
- envoyer de faux devis ;
- diffuser de fausses factures ;
- usurper l’identité d’un dirigeant ;
- tromper des clients ou fournisseurs ;
- lancer des campagnes de phishing ciblées ;
- porter atteinte à la réputation d’une entreprise.
Dans ce type d’attaque, le domaine de messagerie devient une cible stratégique.
La fuite n’est pas toujours là où on l’imagine
Une adresse électronique professionnelle peut être communiquée à de nombreux acteurs :
- fournisseurs ;
- partenaires ;
- hébergeurs ;
- services cloud ;
- plateformes de marketing ;
- outils de gestion ;
- applications tierces.
Même lorsqu’une entreprise applique des règles strictes de confidentialité, elle dépend également du niveau de sécurité de son écosystème numérique.
Une seule mauvaise pratique, une mauvaise configuration ou une fuite chez un prestataire peut suffire à exposer des informations qui n’étaient pourtant pas destinées à être publiques.
Un constat préoccupant chez certaines entreprises d’alarme sécurité
Au cours de nos audits et de nos activités de sensibilisation, nous avons constaté que de nombreuses entreprises spécialisées dans la sécurité, les alarmes et la protection des biens ne protègent pas correctement leur domaine de messagerie contre l’usurpation d’identité.
Lorsque nous avons alerté certaines d’entre elles sur les risques identifiés, les réactions ont parfois été inexistantes ou très limitées.
Cette situation est paradoxale.
Des entreprises dont le métier consiste à protéger les biens et les personnes peuvent elles-mêmes présenter des vulnérabilités permettant à un cybercriminel de se faire passer pour elles.
Les raisons sont probablement multiples :
- manque de sensibilisation aux risques cyber ;
- maturité numérique insuffisante ;
- absence de compétences spécialisées ;
- contraintes budgétaires ;
- manque de temps ou de ressources ;
- sous-estimation des conséquences d’une usurpation d’identité.
Pourtant, ignorer le problème ne le fait pas disparaître.
Lorsqu’un pirate utilise le nom d’une entreprise pour tromper des victimes, ce sont non seulement les personnes ciblées qui subissent un préjudice, mais également la réputation et la crédibilité de l’entreprise concernée.
SPF, DKIM et DMARC : des protections encore trop souvent absentes
Aujourd’hui, protéger un nom de domaine ne consiste plus simplement à enregistrer une adresse internet.
Une entreprise doit également mettre en place des mécanismes permettant de vérifier l’authenticité des e-mails envoyés depuis son domaine.
Les principaux standards sont :
- SPF (Sender Policy Framework) ;
- DKIM (DomainKeys Identified Mail) ;
- DMARC (Domain-based Message Authentication, Reporting and Conformance).
Lorsqu’ils sont correctement configurés, ces mécanismes réduisent fortement les possibilités d’usurpation d’identité et améliorent la confiance accordée aux communications électroniques de l’entreprise.
Malheureusement, nous constatons encore régulièrement des configurations absentes, incomplètes ou incorrectes.
Dolibarr est l’élément d’une stratégie globale
Choisir Dolibarr est déjà une démarche importante pour renforcer la maîtrise de ses données et réduire certains risques liés aux solutions centralisées.
Mais la sécurité d’une entreprise doit être envisagée de manière globale.
Elle repose notamment sur :
- la protection des données ;
- la protection des accès ;
- la protection des sauvegardes ;
- la protection des postes de travail ;
- la protection de la messagerie ;
- la protection du nom de domaine ;
La cybersécurité n’est plus uniquement une question de pare-feu ou d’antivirus.
Elle concerne désormais la confiance que vos clients accordent à votre entreprise.