Pour que ce mail accusateur usurpant la Gendarmerie Nationale soit émis et arrive à destination il aura tout de même fallu :


1- que ce mac soit infecté
2- que son antispam en ligne ne détecte pas la malveillance de son contenu
3- que les serveurs de cette Académie le laissent passer
4- que les serveurs d’Orange le laissent aussi passer
5- que le vrai titulaire de ce domaine trompeur (l’Etat français) oublie de le protéger contre l’usurpation.

Ici, le domaine trompeur interieur-gouv.fr a été utilisé par l’attaquant dans l’adresse d’expéditeur en raison de sa ressemblance avec un domaine officiel (interieur.gouv.fr), bien que l’Etat ait pris le soin de l’acquérir, justement pour empêcher son usage frauduleux.

Cette précaution n’est pas suffisante : elle empêche qu’un faux site web soit branché sur ce domaine trompeur, mais n’empêche pas son usurpation en tant qu’expéditeur de mail.

Pour informer les serveurs de réception que ce domaine n’est pas censé émettre (et que, par conséquent, tout courriel reçu de sa part est frauduleux), il faut que son titulaire y associe des déclarations restrictives (protocoles SPF et DMARC). En cette absence, aucune instruction de rejet n’est communiquée par l’Etat aux serveurs qui reçoivent les mails utilisant frauduleusement interieur-gouv.fr.

Au delà de cette illustration, je peux vous assurer que le phishing par usurpation d’identité n’est en aucun cas une fatalité mais tout simplement une conséquence de notre méconnaissance globale des protocoles d’authentification et de la lenteur avec laquelle nous les déployons.
Si nous jouons au poker avec des tricheurs sans être capables de faire respecter les règles, alors nous perdons, c’est normal.

Entre les pirates et leurs cibles il y a nous, professionnels chargés de les protéger et qui avons collectivement tous les moyens techniques pour le faire.

Arrêtons de perdre !

Image preview


#SPF#DKIM#DMARC#BIMI#phishing