Noms de domaine : Les risques de l’e-mail spoofing
Cet anglicisme, que l'on peut traduire par « usurpation », fait partie des nombreuses tentatives de fraudes numériques, parmi lesquelles nous pouvons citer, entre autres, le cybersquatting, le phishing ou le spamming.
La loi LOPPSI II de 2011, qui comprend un chapitre dédié à la lutte contre la cybercriminalité, a créé une nouvelle infraction spécifique et autonome : l’usurpation d’identité numérique.
La première condamnation sur le fondement de cette infraction a été prononcée par le Tribunal de grande instance de Paris le 18 décembre 2014.
En quoi consiste l’email spoofing ?
Il s’agit d’une technique d’usurpation d’identité qui consiste à envoyer des messages en se faisant passer pour quelqu’un d’autre. L’objectif des fraudeurs est de tromper le destinataire de l’e-mail en lui faisant croire que l’expéditeur est quelqu’un de confiance.
En effet, le protocole SMTP créé en 1982 et actuellement utilisé pour l’envoi des messages électroniques sur Internet n’a pas été conçu pour garantir l’identité (nom et adresse électronique) indiquée par l’expéditeur d’un message. Sans mesure préventive de votre part, un spammeur peut donc sans contrainte utiliser votre propre adresse mail dans le champ “Expéditeur” de ses messages.
Un email usurpé reprend ainsi la véritable adresse email d’un expéditeur sans que ce dernier ait envoyé l’email.
Cela ouvre bien sûr la porte à de nombreux risques :
- la mise en place d’attaques contre la sécurité du réseau
- la diffusion de fausses informations
- les détournements financiers
- le paiement de factures indues
Il existe également un risque technique car votre boîte mail peut se retrouver envahie de messages d’erreurs si une attaque de spam est menée avec votre adresse. Ce type d’attaque est particulièrement difficile à bloquer car les e-mails parviennent souvent d’un grand nombre de serveurs différents et cela peut entrainer la panne d’un serveur de messagerie.
Soyez vigilant, si vous recevez des notifications de messages rejetés relatives à des e-mails semblant provenir de votre compte, ou une réponse à un message que vous n'avez jamais envoyé, il se peut que votre compte fasse l'objet d’une usurpation d’adresse.
Le groupe cinématographique français Pathé a ainsi été la cible d’une fraude considérable en 2018 via le procédé bien connu de la fraude au Président. Des personnes se sont fait passer pour des dirigeants de l’entreprise et ont obtenu plusieurs virements pour un montant supérieur à 19 millions d’euros.
De même le groupe Vinci a été victime d’une usurpation d’identité en 2016 qui a entrainé la chute du cours de l’action Vinci de 18%.
Moyens de protection techniques
Pour éviter que des messages frauduleux ne soient envoyés depuis votre nom de domaine ou votre adresse e-mail, plusieurs systèmes d’authentification du nom de domaine de l’expéditeur d’un message ont été créés.
Il convient de protéger le nom de domaine qui héberge toutes les adresses e-mail et non les adresses emails individuellement. Votre gestionnaire de système d’e-mails doit créer des enregistrements SPF, DKIM et DMARC qui approuvent que l’e-mail est bel et bien envoyé depuis un serveur e-mail légitime.
1. Création d’un enregistrement SPF « Sender Policy Framework » qui est un système de validation des e-mails conçu spécifiquement à cette fin.
2. Utilisation de la technique DKIM (Domain Keys Identified Mail): une clé de sécurisation permettra de lier une signature électronique aux e-mails envoyés.
3. L’enregistrement DMARC permet de déterminer vous-même les actions à entreprendre avec les e-mails qui ne passent pas les contrôles DKIM et SPF.
Le premier réflexe à avoir si vous êtes victime d’une usurpation de votre compte email est d’identifier le nom de domaine détenu et utilisé par le fraudeur, nom visible dans l’en-tête de l’email, et d’adresser ensuite une demande au Registrar ou à l’hébergeur des serveurs emails de ce nom.
N’hésitez pas à contacter votre conseil en propriété industrielle pour mettre en place ces protections sur vos noms de domaine ou pour engager les actions nécessaires en cas de fraude avérée d’usurpation d’identité.
Laetitia Cardi, Conseil en Propriété Industrielle – Marques, Dessins et Modèles, Paris.