La technique du « spoofing »

Par :
Adrien Gendre

mer, 10/04/2019 - 16:29

Ou comment les hackers usurpent une adresse email et une identité pour réaliser une arnaque efficace. 

Le spoofing désigne le fait de monter un canular à des fins malveillantes basé sur l’usurpation d’identité, principalement via email. Il s’agit d’une menace qui s’est particulièrement aggravée ces dernières années. La technique est très au point et très difficile à détecter… et pour les entreprises elles peuvent engendrer de très graves conséquences. Explication :

Qu’est-ce que l’usurpation d’adresses email ?

L’usurpation d’adresses email est une forme de piratage visant à tromper le destinataire d’un email en lui faisant croire que l’expéditeur est une marque connue ou l’une de ses connaissances. Il s’agit, par exemple, d’une composante classique des tentatives de spear phishing, cette technique visant à cibler une personne bien précise, à l’inverse d’un phishing classique qui cible plus largement des groupes de personnes voire un grand nombre d’utilisateurs au hasard. Prenons l’exemple suivant : La victime de l’arnaque reçoit un email de eval(unescape('%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%61%20%68%72%65%66%3d%22%6d%61%69%6c%74%6f%3a%73%75%70%70%6f%72%74%40%61%70%70%6c%65%2e%63%6f%6d%22%3e%73%75%70%70%6f%72%74%40%61%70%70%6c%65%2e%63%6f%6d%3c%2f%61%3e%27%29%3b')) l’invitant à confirmer le mot de passe de son compte iTunes. L’email semble authentique, la marque est connue de la victime et la demande semble raisonnable… la victime clique sur le lien et fournit son identifiant et son mot de passe. Le piège se referme, un hacker vient de réussir à se faire passer pour Apple afin de subtiliser ses identifiants !

Que s’est-il passé exactement ? Pour comprendre cette attaque, il faut connaître la différence entre apple.com et appIe.com… Parce qu’il y en a bien une ! L’un est apple.com, le site Web de la véritable entreprise, tandis que l’autre est appIe.com, mais avec un « i » majuscule à la place du « l » minuscule de « apple ». Ce nom de domaine n’appartient donc pas à Apple. C’est une URL mise en place par un hacker. Pour un humain, il est littéralement impossible de s’en apercevoir.

Le continuum de l’usurpation d’adresses emails

L’usurpation d’adresses email s’inscrit dans un continuum complexe. Certaines formes d’attaques sont relativement simples. D’autres nécessitent en revanche d’excellentes compétences techniques et la mobilisation de ressources importantes. Il existe trois principaux types d’usurpation :

1 Utilisation visible d’un alias—Il s’agit d’une approche simple mais efficace de l’usurpation d’adresses email. Lorsque l’on reçoit un email, en particulier sur un appareil mobile, le nom de l’expéditeur s’affiche généralement, mais l’adresse email n’apparaît pas. Par exemple, un email reçu sur son téléphone semble provenir de « BNP Paribas », mais la véritable adresse email de l’expéditeur est en réalité eval(unescape('%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%61%20%68%72%65%66%3d%22%6d%61%69%6c%74%6f%3a%78%79%7a%32%32%40%67%6d%61%69%6c%2e%63%6f%6d%22%3e%78%79%7a%32%32%40%67%6d%61%69%6c%2e%63%6f%6d%3c%2f%61%3e%27%29%3b')). Le hacker compte ici sur le fait que la plupart des personnes très occupées ne prendront pas la peine de vérifier l’adresse email de l’expéditeur. Couplée à de l’ingénierie sociale, c’est à dire le fait de rechercher des informations personnelles sur la personne ciblée sur les réseaux sociaux par exemple - comme c’est le cas du spear phishing - l’utilisation visible d’un alias peut amener les gens à faire des choses qu’ils ne feraient pas d’ordinaire. Le hacker se renseignera sur sa cible et utilisera des faits établis pour instaurer un climat de confiance, par ex. « Comme vous le savez, je suis actuellement en voyage d’affaires au Japon », etc.

La « fraude au Président » est une variante de ce type d’attaque : dans ce cas, un hacker usurpe l’identité d’une personne haut placée au sein d’une entreprise et demande à un employé d’effectuer un virement.

Illustration : Le PDG d’une PME se nomme Pierre Dupont. La cible de l’arnaque, un membre de la direction financière de l’entreprise, reçoit donc un email de « P Dupont » <dummy667@gmail.com> pendant un weekend. Le message commence par une accorche basique : « Martin, vous êtes là ? » celui-ci lui répond « Oui, patron. Je suis là. Que puis-je faire pour vous ? ». La discussion est lancée, le DAF n’a pas de raison de douter de l’identité de son interlocuteur, le hacker peut ainsi progressivement arriver à son objectif. Il poursuit « Je suis en déplacement. Nous sommes en train de finaliser un accord de fusion confidentiel. C’est le week-end, il n’y a personne au bureau, aussi j’aurais besoin que vous fassiez immédiatement un virement de 100 000 euros sur le compte bancaire suivant afin de finaliser la transaction. Merci de n’en parler à personne car il s’agit d’un dossier très sensible. Il s’agit d’une affaire très urgente, je vous remercie de procéder au transfert et confirmer sans tarder ». Le véritable Pierre Dupont ne possède sans doute pas d’adresse Gmail et ne demanderait jamais une chose pareille le weekend. Néanmoins, dans ce contexte d’ingénierie sociale, le destinataire peut facilement se laisser piéger. L’ordre émane du PDG, et il n’a aucun moyen de le contacter par un autre biais…

2 Usurpation du domaine—À l’aide des bons outils, un hacker peut envoyer un email de spear phishing qui semble provenir d’un domaine légitime. Le but du hacker est de faire croire à sa victime qu’il est un expéditeur légitime. Par exemple, un hacker pourrait envoyer un email qui semble provenir de eval(unescape('%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%61%20%68%72%65%66%3d%22%6d%61%69%6c%74%6f%3a%73%75%70%70%6f%72%74%40%6c%61%62%61%6e%71%75%65%70%6f%73%74%61%6c%65%2e%66%72%22%3e%73%75%70%70%6f%72%74%40%6c%61%62%61%6e%71%75%65%70%6f%73%74%61%6c%65%2e%66%72%3c%2f%61%3e%27%29%3b')), une adresse email légitime de La Banque Postale. Sauf qu’en réalité, cet email n’a pas été envoyé depuis cette adresse. Il peut tout à fait s’agir d’un leurre visant à amener à cliquer sur un lien redirigeant vers une page Web falsifiée qui ressemble à www.labanquepostale.fr. L’usurpation du domaine est toutefois plus difficile à réaliser aujourd’hui, en raison de la multiplication de standards comme le Sender Policy Framework (SPF) et le Domain Keys Identified Mail (DKIM). Une fois intégrés aux paramètres DNS, les standards SPF ou DKIM empêchent les utilisateurs non autorisés de noms de domaine de faire des tentatives d’usurpation. Cependant, l’adoption de ces standards n’est pas généralisée.

3 Domaine ressemblant—L’exemple d’apple.com cité ci-dessus est qualifié de « domaine ressemblant », c’est-à-dire une attaque de domaine « proche ». Cette forme de piratage trompe le destinataire en créant un domaine émetteur proche du véritable domaine, voire impossible à distinguer. Cette technique peut reposer sur l’utilisation de l’extension de domaine .co au lieu de .com ou l’ajout ou la suppression d’une lettre de l’URL. Par exemple, supposons que l’entreprise s’appelle Maine Express et possède le nom de domaine maineexpress.com. Un usurpateur pourrait enregistrer le nom de domaine mainexpress.com ou maineexpresss.com et dès lors être en mesure d’abuser au moins une partie des destinataires de l’email. Souvent, les hackers ajoutent simplement un mot cohérent à l’URL, par exemple maineexpressglobal.com, et ainsi de suite.

Comment se protéger contre les tentatives d’usurpation d’adresses email

Il est possible de se défendre contre les tentatives d’usurpation d’adresses email. La meilleure solution est d’opter pour un mélange de formation à destination des utilisateurs, de mesures de sécurité adaptées et de technologie. La formation des employés constitue la première ligne de défense. Bien que certaines tentatives d’usurpation soient très difficiles à détecter, bon nombre d’entre elles se repèrent aisément. Les utilisateurs peuvent avoir une réelle influence sur la protection contre l’usurpation. Définir des mesures claires relatives aux processus, notamment pour les transferts d’argent ou le partage de données, contribue également à diminuer les risques de « fraude au Président » dont beaucoup d’entreprises sont victimes encore aujourd’hui - et d’attaques semblables reposant sur l’ingénierie sociale. Pour contrer l’attaque du « domaine proche », certaines entreprises n’hésitent pas à acheter tous les noms de domaine similaires à leur nom de domaine principal. Cette démarche comporte en outre l’avantage de réduire les risques d’atteinte aux marques déposées.

Enfin la technologie a également énormément progressé. Il est désormais possible de traiter et analyser en temps réel des emails en très grande quantité, et de manière très pointue, pour vérifier si un email ou des alias correspondent aux noms et aux adresses email des employés de l’entreprise ou pour détecter des incohérences manifestes dans la structure des emails ou des appels à l’action dans le contenu des emails (par ex., effectuer un virement, agir dans l’urgence, etc.). En allant jusqu’à alerter les utilisateurs sur des emails suspects, la technologie devient un excellent allié de l’homme et un bon outil de sensibilisation.

Malheureusement, encore de nombreuses entreprises se font piéger, et perdent des sommes pouvant être collossales. Ces arnaques ne font que rarement les gros titres car il va de soi que l’entreprise victime ne se vantera pas d’être tombée dans le piège… La sensibilisation par les professionnels doit donc se poursuivre, d’autant que le tryptique sensibilisation, mesures et technologies est vraiment efficace.

A propos de l'auteur

Adrien Gendre
Chief Solution Architect chez Vade Secure