Le 11 juillet dernier, des hackers chinois sont parvenus à dérober des informations confidentielles en piratant les boîtes de messagerie électronique de fonctionnaires américains. La preuve que, malgré l'apparition de logiciels de piratage de plus en plus sophistiqués, la bonne vieille arnaque à la boîte mail constitue encore et toujours la voie royale pour les cybercriminels souhaitant infiltrer une organisation. Le groupe français Thalès en a également fait les frais l'an passé, lorsque les hackers russophones de Lockbit 3.0 se sont introduits dans le système d'information de l'entreprise en exploitant des pièces jointes d'e-mail. En 2021, c'est la messagerie du FBI qu'un groupe de malfaiteurs était parvenu à pirater.

Lire aussiLes hôpitaux français toujours aussi vulnérables aux cyberattaques

À l'heure où un quart des entreprises victimes d'une cyberattaque voient leur santé financière mise en danger, sécuriser les boîtes mail professionnelles constitue donc une étape indispensable pour les sociétés qui cherchent à mieux se protéger. Heureusement, comme le montrent les résultats de la dernière étude sur la cybersécurité des entreprises du CAC 40 de Proofpoint, une société américaine de cybersécurité, les grandes entreprises françaises sont de plus en plus conscientes de cette nécessité.

De grandes entreprises de plus en plus prudentes

L'adoption de DMARC (un protocole d'authentification des messages électroniques conçu pour protéger les noms de domaine contre une utilisation abusive par les cybercriminels) par les entreprises du CAC 40 est ainsi en hausse. Cette année, 36 des 40 entreprises du CAC (soit 90 % d'entre elles) ont publié un enregistrement DMARC, contre 78 % en 2022.

Ce n'est pas tout : parmi ces 36 entreprises, 17 d'entre elles (contre 14 en 2022) ont mis en œuvre le niveau de protection recommandé et le plus strict (DMARC rejet), qui empêche activement les courriers électroniques frauduleux d'atteindre leurs cibles. Il s'agit d'une amélioration significative par rapport à 2021, où seulement 15 % des entreprises du CAC 40 étaient au niveau « rejet ».

Lire aussiLa messagerie électronique face aux risques de l'internet : comment se protéger ?

« Les appels gouvernementaux à sécuriser les écosystèmes technologiques, en priorité dans les industries stratégiques et la défense, mais aussi au-delà, ont porté leurs fruits. Il y a une prise de conscience générale du fait qu'il est souhaitable et surtout possible d'agir pour mieux protéger les environnements de messagerie, en recourant à des protocoles comme DMARC. Les chiffres sont par conséquent en net progrès », note Loïc Guézo, directeur de la stratégie cyber pour l'Europe du Sud et le Moyen-Orient chez Proofpoint, et lieutenant-colonel du COMCYBERGEND, le commandement de la gendarmerie nationale dans le cyberespace.

85% des cyberattaques réussies passent par la messagerie électronique

Pour l'expert, il est d'autant plus important de sécuriser sa boite mail que celle-ci demeure la principale source de vulnérabilité pour les entreprises. « Aujourd'hui, quand on remonte dans la cinématique des attaques, on voit que le vecteur d'entrée initial depuis quelques années demeure encore et toujours la messagerie électronique : entre 80 et 85% des attaques viennent de là. » Le rapport Cybersecurity Threat Trends de Cisco, paru en 2021, rapporte quant à lui que 90% des vols de données commencent par une attaque d'hameçonnage.

Un chiffre qui s'explique par les investissements que les entreprises ont effectués pour renforcer la sécurité de leurs infrastructures... parfois au détriment des boîtes mail. « Historiquement, un autre vecteur d'intrusion consiste dans les erreurs de configuration, les fragilités dans l'infrastructure qui constituent une porte ouverte aux hackers. Cet aspect-là est de mieux en mieux géré par les entreprises. Elles ont mis en place de bonnes pratiques pour surveiller leur exposition sur la toile et patcher régulièrement leurs produits. Les boîtes mail, à l'inverse, souffrent d'un sous-investissement chronique : d'après Gartner, 10% seulement des investissements en cybersécurité se concentrent sur la messagerie. »

Autre avantage de l'attaque à la boîte mail : elle requiert un investissement en temps et un talent bien moindre de la part des hackers.

« S'introduire dans un logiciel correctement patché et surveillé relève de la gageure. Les hackers doivent mettre en place un véritable travail de R&D pour parvenir à trouver une faille inconnue et à l'exploiter. Ce type de pratique (connue sous le nom de « vulnérabilité 0-Day ») reste pour cette raison principalement réservé aux attaques étatiques, car il requiert de très gros moyens humains et techniques, même s'il commence aussi à se démocratiser pour les cybercriminels argentés. Reste qu'aujourd'hui, pour des pirates motivés par l'appât du gain, il est bien plus logique et facile d'exploiter les failles humaines en envoyant des liens ou pièces malicieuses. On voit aussi de plus en plus d'ingénierie sociale, où l'attaquant amène simplement la victime à réaliser une action pour son bénéfice (par exemple donner son code secret ou changer un RIB...) », note Loïc Guézo.

L'arnaque à la boîte mail n'est pas pour autant dénigrée par les hackers étatiques et peut aussi être employée pour mener des actions destructrices de grande ampleur, parfois préparées très en amont. « En 2018, la cyber attaque Olympic Destroyer, attribuée aux services russes, a ciblé les JO. Depuis, un acte d'accusation du Département de la Justice américain a retracé des activités d'hameçonnage datant de 2015 de la part de ces mêmes services contre un sous-traitant du Comité National Olympique, qui ont permis de dérober des informations mises plus tard au service de l'attaque. Il existe donc des cyberattaques très élaborées qui passent par de l'hameçonnage mené des années en avance sur des acteurs tiers afin d'obtenir une porte d'entrée dans le réseau de la future victime. »

Lire aussiFiltre anti-arnaques, cyber-harcèlement, cloud : les principales mesures de la loi Barrot sur le numérique

Comment DMARC coupe l'herbe sous le pied des cybercriminels

La création du protocole DMARC (acronyme pour « Domain-based Message Authentication, Reporting & Conformance ») remonte à 2012, sous la houlette de grands acteurs du web comme Yahoo et Google, qui, à travers cette solution communautaire, souhaitent faire évoluer la messagerie électronique, laquelle, mise en place dès l'aube du web, n'a pas été conçue pour résister aux problèmes de cybersécurité qui se sont posés depuis. Il permet d'authentifier l'identité de l'expéditeur avant de permettre à un message d'atteindre sa destination, et ainsi d'empêcher les hackers de se faire passer pour des entreprises légitimes afin de mieux tromper les cibles de leurs tentatives d'hameçonnage.

DMARC comporte trois niveaux de protection : surveillance, quarantaine et rejet, ce dernier étant le plus sûr pour empêcher les messages suspects d'atteindre la boîte de réception.

« L'objectif est d'avoir l'ensemble des mails émis par une grande marque certifiés techniquement par les protocoles de l'infrastructure en charge de l'acheminement de ces messages, et d'éliminer ainsi les emails frauduleux par l'écosystème collaboratif de transport du mail. Pour cela, on utilise un système de gestion des noms de domaine qui vérifie que le courriel est bien émis par la marque légitime », résume Loïc Guézo. « Ainsi, avec DMARC rejet, lorsqu'un pirate émet un message au nom d'une entreprise ou organisation gouvernementale sans avoir l'autorisation de le faire au niveau des infrastructures de messagerie, alors celui-ci n'est automatiquement pas délivré dans la boîte mail de la cible. »

C'est l'adoption de ce protocole qui a récemment permis à la Gendarmerie Nationale de mettre fin à une vague de faux courriels usurpant massivement son identité dans des campagnes d'hameçonnage de grande ampleur.

57% des entreprises du CAC40 n'ont pas encore adopté le niveau de protection maximal

Comme toutes les solutions communautaires, DMARC doit toutefois être adopté à grande échelle, par de nombreuses organisations, pour faire vraiment augmenter la cybersécurité. « Il faut que le protocole soit utilisé par les entreprises, mais aussi les ISP, les fournisseurs cloud, les institutions publiques... »

Lire aussiLes entreprises, premières victimes des cyberattaques qui ont coûté 2 milliards d'euros à la France en 2022

À noter que si l'adoption progresse, plus de la moitié des entreprises du CAC 40 (57 %) n'ont pas encore opté pour le niveau maximum de sécurité (DMARC rejet) et laissent donc encore leurs clients exposés à un risque possible d'hameçonnage par courriel prétendant provenir de leurs domaines. De plus, « nombre de services régaliens et collectivités territoriales qui correspondent avec les citoyens par mail n'ont mis en place aucune mesure pour sécuriser leur messagerie électronique, il reste de gros progrès à faire à cet égard », note Loïc Guézo.

En outre, les méthodes des hackers évoluant sans cesse. DMARC, même au niveau de protection le plus élevé, ne constitue pas une solution définitive permettant d'éliminer tous les risques. « La prochaine étape, c'est le protocole BIMI (pour « Brand Indicators for Message Identification »), qui va encore plus loin dans l'objectif d'authentifier les emails en permettant aux entreprises émettrices de faire apparaître leur logo à côté des courriels écrits par elles et certifiés comme tels. DMARC agit en coulisses, mais ne donne pas de visibilité aux internautes : BIMI ajoute cette couche supplémentaire », explique Loïc Guézo.  En sachant toutefois que « la technique ne peut pas tout et qu'il reste primordial d'investir dans l'humain, d'éduquer les internautes à affûter leur regard et débusquer les tentatives d'arnaques. »