Alors que le phishing et les techniques de compromission de messagerie basée sur l'usurpation d'identité (spoofing) figurent toujours parmi les vecteurs d'attaques les plus fréquents, force est de constater que les acteurs de l'écosystème français peinent à mettre en oeuvre l'ensemble des mécanismes de protection DNS disponibles, notamment DMARC. C'est ce que révèle une récente étude réalisée par Marc van der Wal, ingénieur R&D à l'Afnic.
Trois grands mécanismes exploitant la configuration DNS sont utilisés actuellement pour vérifier l'identité de l'émetteur d'un message. SPF (Sender Policy Framework) définit les serveurs et domaines autorisés à envoyer des e-mails dans une organisation. DKIM (DomainKeys Identified Mail) ajoute une signature électronique aux mails sortants. Enfin, le protocole DMARC (Domain-based Message Authentication, Reporting, and Conformance) d'appuie sur les deux précédents pour standardiser la manière dont sont authentifiés les messages émis par une entreprise. Il établit également des règles qui indiquent aux serveurs de messagerie destinataires comment traiter les mails qui ne passent pas la vérification, avec trois options possibles : aucune action spécifique, mise en quarantaine du message ou rejet.
DMARC rarement configuré au plus haut niveau de sécurité
Afin de dresser un état des lieux du déploiement de ces trois mécanismes, l'Afnic a analysé plus de 4 millions de noms de domaines en .fr entre le 30 et le 31 janvier 2023. Parmi eux, plus de trois millions avaient enregistré des serveurs de messagerie. Sur ces derniers, 57,8% publiaient une politique SPF, 23,1% une politique DKIM et seulement 7,8% une politique DMARC. Si les taux de déploiement sont légèrement plus élevés pour les domaines associés à un site Web, les ordres de grandeur restent similaires, amenant l'Afnic à conclure qu'aujourd'hui « moins de 10 % des noms de domaine publiés dans la zone .fr exploitent pleinement le DNS pour assurer l'authenticité de leurs envois de mails. »
En examinant les configurations en place, l'Afnic observe que les acteurs utilisant SPF respectent pratiquement tous les bonnes pratiques en vigueur (97% du panel). En revanche, parmi le petit pourcentage ayant configuré DMARC, les politiques en vigueur sont majoritairement prévues pour laisser passer les mails susceptibles d'être des usurpations (dans 73,6% des cas). Seules 18,5% sont configurées pour rejeter ces messages et 7,9% pour les mettre en quarantaine dans la boîte de spams ou ailleurs.
Marc van der Wal pointe plusieurs raisons pouvant expliquer la faible adoption de DMARC, ainsi que le fait qu'il soit principalement configuré de façon non restrictive. Parmi celles-ci, la nécessité d'avoir mis en place SPF et DKIM avant d'exploiter DMARC, ainsi que les erreurs de configuration possibles sur les serveurs de messagerie destinataires. Mais la cause la plus probable réside dans la réticence des titulaires d'un site web à durcir leur politique DMARC, par crainte de voir certains de leurs mails bloqués. De fait, 1,3% des noms de domaine en .fr seulement ont aujourd'hui déployé le plus haut niveau de protection face aux usurpations, alors que celles-ci « peuvent être lourdes de conséquences », rappelle l'Afnic, aussi bien « pour les internautes, qui s'exposent à l'hameçonnage, mais également pour l'image de marque du titulaire/émetteur du courriel. »
Commentaire