Tribune Dell : Vos e-mails pros falsifiés nuisent à la confiance en votre marque

CloudEntreprise
florian-malecki-dell-securite

Florian Malecki (expert Dell Security) aborde la nécessité d’éduquer les entreprises sur les risques liés au phishing et les moyens d’endiguer ce fléau.

Une tribune de Florian Malecki, Directeur Marketing Produits EMEA pour Dell Security (qui est passé par SonicWall avant son rachat par Dell), aborde la nécessaire éducation des entreprises de toutes tailles (des grands comptes aux PME) sur les risques associés au phishing et les moyens de combattre ce fléau. Notamment en adoptant la spécification DMARC pour les configurations d’authentification des systèmes de messagerie.

——————————–

Quand de grands groupes, comme eBay, PayPal ou Amazon, sont victimes d’attaques, celles-ci sont très médiatisées, chaque fois au détriment de l’image de marque. Souvent, l’origine de la corruption est un e-mail qui semble provenir de l’entreprise, à l’insu de celle-ci, et qui est en fait envoyé par un hacker qui a pour but de s’emparer d’informations sensibles. C’est ce que l’on appelle du phishing, une pratique qui procède par falsification d’e-mail ou spoofing.

Les cybercriminels ne ciblent plus seulement les grandes marques prestigieuses, ils s’attaquent de plus en plus fréquemment aux PME. En effet, maintenant que les grandes entreprises adoptent des stratégies de sécurité pour prévenir ce type d’attaques, les pirates se tournent vers des cibles peut être moins bien protégées.

Nul n’est donc à l’abri d’une attaque de spoofing. La plupart des grosses entreprises et des acteurs du B2C commencent à prendre des mesures de protection. Leurs homologues des secteurs du B2B et les PME ont tout intérêt à en faire de même.

Les petites structures sont plus vulnérables puisqu’elles s’imaginent ne pas être suffisamment grandes pour attirer l’attention des hackers. Par conséquent, elles n’adoptent pas de stratégies de sécurité nécessaires pour lutter contre ce type de cyber-criminalité, ce qui les rend d’autant plus vulnérables.

Or, les hackers se moquent de la taille de l’entreprise, seules les vulnérabilités les intéressent. Ils ont beaucoup à gagner à mettre en place des attaques en rafales de PME vulnérables et à se servir ensuite des données dérobées pour s’en prendre à une plus grosse cible. Entre-temps, ils se seront emparés des données confidentielles de vos employés et de vos clients, des coordonnées bancaires et des mots de passe, et auront porté préjudice à votre marque.

L’objet du spoofing est de maquiller un e-mail au point que le destinataire pense qu’il provient d’un émetteur légitime, en qui il a suffisamment confiance, pour l’ouvrir. La fausse adresse e-mail ressemble à la vraie pour tromper le destinataire. Quand celui-ci ouvre l’e-mail en question, soit son système est infecté par un programme malveillant, soit une faille permet au hacker de s’infiltrer pour s’emparer des données de cartes bancaires, des mots de passe ou d’autres informations personnelles et financières.

Puisque l’e-mail ne demande pas de technologies d’authentification, n’importe quel hacker peut vous écrire en se faisant passer pour un interlocuteur légitime de votre société ou d’une marque en qui vous avez confiance. Le rapport des tendances de phishing de l’Anti-Phishing Work Group établit au premier trimestre 2014 indique que le nombre de sites de phishing recensés a progressé de 10,7 % par rapport au quatrième trimestre 2013. Le rapport révèle que 557 marques ont été la cible de tentatives de phishing au premier trimestre 2014, contre 525 au quatrième trimestre 2013. Enfin, plus de 32 % des PC mondiaux sont à présent infectés par des malware, adware ou spyware.

DMARC : une solution pour combattre les ravages du phishing

Pour combattre le spoofing et réduire les risques liés au phishing, au spam et autres pratiques abusives, 15 fournisseurs de services d’e-mail, sociétés de services financiers et des professionnels de la sécurité des e-mails, dont AOL, Google, Microsoft, Return Path et Yahoo, ont fondé le groupe de travail DMARC.org.

La spécification DMARC (Domain-based Message Authentication, Reporting and Conformance) standardise la façon dont les serveurs de réception des e-mails utilisent les mécanismes SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail) pour réaliser l’authentification des e-mails. DMARC.org, opérationnelle depuis janvier 2012, protège 60 % des boîtes de réception d’e-mails des consommateurs du monde entier à ce jour, chiffre qui atteint les 80 % aux Etats-Unis.

Les grandes entreprises, dont Twitter, Amazon, eBay, Facebook et PayPal, adoptent DMARC pour lutter contre les pratiques de spoofing avec des taux de réussite plutôt encourageants. DMARC.org souligne qu’Outlook.com a constaté une diminution de 50 % des cas de phishing signalés en 2013, en partie grâce à DMARC. En outre, plus de 25 millions d’e-mails se faisant passer pour PayPal ont été rejetés lors des fêtes de fin d’année 2013.

DMARC apporte aux entreprises qui l’utilisent une visibilité sur les conditions d’authentification de leurs e-mails, autrement dit la preuve que ce type d’e-mail provient bien de leur domaine et non d’un autre domaine non autorisé qui ressemble à leur site.

Sans DMARC, aucune visibilité. Les émetteurs légitimes continuent d’ignorer le problème car il n’existe aucun moyen de s’informer sur les tentatives de spoofing, ni de savoir quelle attitude adopter et que faire de ces e-mails (les bloquer ou les mettre en quarantaine quelque part ?).

Maintenant que les hackers se mettent en quête de victimes plus vulnérables, les entreprises de toute taille doivent toutes adopter DMARC pour protéger leur marque. Les messages de prévention des risques sur Internet sont bien passés aujourd’hui : les gens n’ouvrent plus de pièces jointes douteuses, ils ne cliquent plus sur des liens sans se méfier, mais les experts du spoofing excellent tellement dans leur discipline qu’ils réussissent trop souvent à tromper leurs proies et à leur faire croire que le message est un e-mail légitime.

Si vous ne faites rien pour compliquer la tâche de ceux qui tenteraient de falsifier vos e-mails, non seulement vous laissez tomber vos clients (qui risquent de se méfier de tous les e-mails en provenance de votre entreprise), mais votre propre entreprise devient vulnérable aux risques de spoofing, ce qui pourrait bien vous coûter cher.

Au contraire, en adoptant DMARC, vous protégez vos clients des risques de spoofing d’e-mail, vous veillez à ce qu’ils reçoivent les messages que vous leur adressez et vous les rassurez : quand ils reçoivent un e-mail de votre part, ils savent qu’ils peuvent avoir confiance.

Quand vous adopterez DMARC, pensez à inclure dans les mécanismes SPF et DKIM votre équipe marketing qui adresse des communications par e-mail à vos clients en votre nom, des newsletters par exemple.

L’e-mail reste un moyen de communication incontournable pour les entreprises, pour prospecter et gérer la relation client, notamment. Malheureusement, les cybercriminels empruntent eux aussi volontiers ce vecteur avec le risque de porter un préjudice irréparable à votre marque. Chaque fois qu’une technologie se généralise, elle stimule la créativité des hackers. Quand DMARC sera largement adopté, par les grands groupes mais aussi par les PME, les cyber-criminels chercheront d’autres filons à exploiter.

Vous sentez-vous responsable du contrôle de la légitimité des e-mails qu’envoie votre entreprise pour lutter contre les falsifications abusives des spoofers ? Vous sentez-vous responsable envers les victimes d’un e-mail trompeur provenant prétendument de votre entreprise ? Mettez-vous à la place d’un état qui imprime les billets dans la devise du pays. Le gouvernement est-il responsable à vos yeux de veiller à ce que les billets ne puissent pas être contrefaits facilement ? Si la réponse est oui, alors il en va de même pour vos e-mails professionnels.

Aucune entreprise, aucune marque ne devrait laisser des spoofers entraver la confiance de ses clients. En adoptant la spécification DMARC et en mettant en oeuvre les normes d’authentification des e-mails, vous prenez des mesures efficaces pour déjouer les attaques qui risqueraient de nuire à votre entreprise.

 

Lire aussi :