Blog

Retour sur le Symposium sur la sécurité de l’email et la lutte contre le phishing

Georges Smine, Directeur Général, Mailbox Provider Services | 15 septembre, 2014

Le 9 Septembre dernier, Return Path organisait son premier Symposium sur la sécurité de l’email et la lutte contre le phishing à l’hôtel Intercontinental à Paris avec la participation du CECyF. Inédit en France, cet événement avait pour objectif de réunir l’ensemble des acteurs concernés par la fraude email pour dresser un état des lieux, sensibiliser aux meilleures pratiques et standards et surtout faire émerger des projets concrets pour mieux lutter contre ces activités cybercriminelles. Responsables fraude et sécurité, directions marketing, autorités répressives, CNIL… Une quarantaine d’experts du secteur privé et public étaient exceptionnellement réunis en toute confidentialité pour échanger et débattre en toute transparence sur la stratégie des sociétés présentes.

L’email, vecteur de choix pour les cybercriminels

Le constat est sans appel : la fraude email impacte tout le monde, et ce, de manière exponentielle. Les cybercriminels ont fait de l’email un canal privilégié pour diffuser virus et logiciels malveillants, obtenir des informations sensibles grâce à des attaques de phishing ou améliorer l’efficacité des arnaques dont ils sont les auteurs en usurpant l’identité des marques. Fréquemment relayés par les media, les cas de fraude s’enchaînent et ne se ressemblent pas, faisant de l’email le maillon faible incontesté des stratégies de sécurité des entreprises. La majorité des acteurs reconnait que le spam est contenu depuis 2010 (année de son  apogée) grâce aux diverses luttes et à la collaboration entre secteurs privés et publics, telle que la lutte des différentes polices internationales pour stopper les botnets spammeurs. L’amélioration des solutions technologiques de filtrage  ainsi que la baisse de la crédulité des usagers sont les principaux facteurs de la décroissance du nombre de spams et de son ROI.  Le phishing requiert la même collaboration privée-public que le spam, ainsi que l’usage des meilleures technologies et standards déjà disponibles sur le marché, et bien sûr, pour finir, l’éducation et la sensibilisation des usagers.

Mais si le spam tend à diminuer, d’autres menaces pèsent sur l’email, telles les attaques massives de cryptolockers ou rançongiciels, qui n’ont enregistré rien moins qu’une croissance de 500% sur 2013 (Source Symantec). La tendance aujourd’hui va clairement vers des attaques ciblées, visant précisément une personne ou une marque. Le nombre de ces attaques a augmenté de 80% entre 2013 et 2014. Les secteurs public, industriel et financier sont aujourd’hui les principales cibles de ces cybercriminels.

Une approche sécuritaire en 3 dimensions

Pour protéger le canal email, et comme dans toute approche de sécurité, il a été rappelé la nécessité d’adresser simultanément les 3 dimensions : personne, processus, technologie.

Aujourd’hui, le niveau d’échange sur la fraude email entre les équipes concernées au sein des entreprises reste trop faible. Or la solution aux problèmes de sécurité passe forcément par la mobilisation de tous les acteurs impliqués,  l’IT, le marketing mais aussi la direction générale. L’impact des fraudes email dépasse largement les frontières d’un seul département et il est crucial d’établir une véritable ligne de défense visant à se protéger contre les effets induits des attaques malicieuses.

Côté processus, la communication doit s’établir en termes de gestion du risque. Côté technologies, différentes solutions techniques permettent de lutter contre les menaces de la boîte email, comme le filtrage, les certificats X.509 étendus ou les systèmes d’authentification. Les standards d’authentification  SPF (utilisé pour 89% des emails dans le monde) et DKIM (utilisé pour 77% des emails) (Source Gmailhttp://googleonlinesecurity.blogspot.fr/2013/12/internet-wide-efforts-to-fight-email.html)  sont notamment applicables à tous les flux de messages sortants pour faciliter la validation des serveurs d’envoi ainsi que l’en-tête et le contenu de tous les emails. Ils permettent non seulement de détecter plus d’attaques dans des délais plus courts et ainsi de faire fermer les sites frauduleux plus rapidement, mais aussi de bloquer des attaques de manière préventive avant même que le message n’atteigne la boîte de réception.

La publication d’un enregistrement DMARC est également fortement recommandée. Relativement simple et peu coûteuse, cette démarche aide à inventorier les domaines d’envoi dans la mesure où le protocole DMARC fournit des données cumulées sur tous les flux de messages émanant des domaines. Google a d’ailleurs insisté sur l’efficacité de ce standard, qui offre aujourd’hui un niveau de contrôle inégalé, en empêchant la remise des messages potentiellement frauduleux dans une majorité de boîtes de réception à travers le monde. DMARC est en effet déployé par différents opérateurs de messagerie qui, ensemble, représentent 60 % des boîtes de réception de la planète (environ 2 milliards de boîtes de réception – Source dmarc.org).

Si la France affiche un certain retard en matière d’adoption de standards, avec pour principale cause un cloisonnement entre les services encore trop pesant, d’importants efforts sont consentis pour améliorer la situation à l’image des initiatives partagées lors de ce symposium.

Billet à suivre : Le Big Data comme moteur de la lutte contre la fraude 

Your browser is out of date.
For a better Return Path experience, click a link below to get the latest version.