Les entreprises ne protègent pas assez leur domaine contre l’usurpation
Par Bertrand Lemaire | Le | Cybersécurité
Selon une étude de Proofpoint, même les entreprises du CAC40 ne protègent pas leurs domaines Internet contre l’usurpation par mail via DMARC.
Toutes les études sur la cybersécurité mettent en avant, parmi les principaux vecteurs de cyber-attaques, les e-mails usurpant des identités soit des entreprises ou d’administrations soit d’individus. Cette usurpation repose sur l’emploi d’un nom de domaine ou d’une adresse mail d’expédition du message correspondant à l’organisme ou la personne dont les escrocs usurpent l’identité. Or il existe un protocole qui permet aux serveurs mail de contrôler la conformité du domaine affiché comme expéditeur : DMARC (Domain-based Message Authentication, Reporting and Conformance). Celui-ci suppose de réaliser un paramétrage des enregistrements DNS, notamment les enregistrements des serveurs autorisés et une signature de ces serveurs. Or, selon l’étude « State of the Phish 2023 » de Proofpoint, même les grandes entreprises négligent d’effectuer ces paramétrages sur les enregistrements DNS de leurs domaines, ouvrant ainsi la capacité pour des escrocs d’usurper l’usage de ces domaines.
En 2022, 65 % des entreprises du CAC 40 n’avaient pas totalement paramétré leurs champs DNS pour que le protocole DMARC puisse les protéger d’une usurpation. En 2023, ce chiffre s’est un peu amélioré puisqu’il a baissé à 57 %. Cependant, 36 des 40 entreprises du CAC (90 %) ont publié un enregistrement DMARC contre 78 % en 2022 et 77 % en 2021. Ce dernier chiffre peut paraître encourageant mais, comme mentionné juste avant, il s’agit d’enregistrements minimaux. Ainsi, 19 entreprises (48 %) du CAC 40 (contre 17 - soit 43 % - en 2022) n’assurent aucun rôle actif de protection, uniquement un niveau de surveillance et de mise en quarantaine minimale. Enfin, parmi les 36 entreprises du CAC ayant publié un enregistrement DMARC, seulement 17 (43 %) d’entre elles (contre 14 - soit 35 % - en 2022) ont mis en œuvre le niveau de protection recommandé et le plus strict (rejet), qui empêche activement les courriers électroniques frauduleux d’atteindre leurs cibles.
Si le niveau de protection des domaines Internet s’améliore, il est loin d’être optimal.