Mise en liste blanche des emails : les risques d'une confiance automatisée
Plusieurs solutions de sécurité de l'email proposent des processus automatisés de mise en liste blanche des adresses email. Leur objectif est certes louable, mais la fiabilité des adresses email est déterminée sur la base de raisons peu convaincantes.
Mettre une adresse email en liste blanche, c'est l'ajouter à sa liste d'expéditeurs approuvés. En théorie, il s'agit d'une pratique efficace, car elle permet de s'assurer que les emails importants envoyés par des personnes de confiance ne soient pas considérés comme des spams.
En matière de sécurité de l'email, cette stratégie peut toutefois avoir des conséquences inattendues.
La mise en liste blanche automatique pose un problème
Plusieurs solutions de sécurité de l'email proposent des processus automatisés de mise en liste blanche des adresses email. Leur objectif est certes louable, mais la fiabilité des adresses email est déterminée sur la base de raisons peu convaincantes.
Ainsi, la mise en liste blanche automatique est particulièrement problématique face au spear phishing et aux attaques BEC (Business Email Compromise). En effet, certains filtres de messagerie s'appuient par exemple sur une simple conversation par email pour déterminer que l'expéditeur est fiable. Ainsi, si l'utilisateur reçoit un email de spear phishing et qu'il répond au hacker, le filtre va considérer sur la base de cette réponse que l'émetteur est digne de confiance et placer son adresse en liste blanche. Conséquence directe : les emails du hacker ne seront pas filtrés par la suite.
Une autre façon de déclencher la mise en liste blanche automatique consiste à recourir à un CAPTCHA, que certains filtres utilisent pour confirmer l'identité des expéditeurs. Leur fonctionnement est le suivant : lorsqu'un utilisateur essaie d'envoyer un email, le filtre lance un test de réponse par CAPTCHA que l'expéditeur doit réussir pour prouver qu'il n'est pas un robot. Si le test réussit, l'adresse email est confirmée et ajoutée à la liste blanche.
Cette méthode est efficace pour lutter contre les robots spammeurs, mais une adresse digne de confiance aujourd'hui peut ne pas l'être demain. Si une adresse email vient à être compromise après avoir été placée en liste blanche via un CAPTCHA, elle ne sera pas filtrée et le CAPTCHA aura donc été inutile.
Lire aussi : Six enseignements clés sur les mots de passe tirés de la mise à jour du cadre de cybersécurité du NIST
Mise en liste blanche des adresses email et comptes compromis
D'après un rapport de RiskBased Security, 37 milliards d'enregistrements de données ont fuité en 2020, dont 32 % étaient des adresses email. Du phishing au malware, les emails malveillants distribués via des comptes compromis peuvent générer des dommages immenses dans les environnements professionnels, et notamment via Microsoft 365.
À l'aide d'un compte Microsoft 365 compromis, un cybercriminel peut lancer des attaques de phishing ou de spear phishing et des malwares directement depuis l'intérieur de la suite bureautique. Les destinataires de ces attaques n'ont souvent aucune raison d'imaginer qu'un email est dangereux. Même lorsque tous les indices sont là, ils peuvent passer totalement à côté s'ils connaissent l'expéditeur.
C'est d'ailleurs exactement ce qui s'est passé lors de la vague d'emails envoyés par Emotet au 2e semestre 2020. Les hackers se sont appuyés sur des comptes compromis pour s'immiscer dans des conversations et propager leattaques BEC via des liens de phishing, des documents Microsoft Office et des fichiers .zip.
Ne faire confiance à personne
Les services informatique peuvent certes sélectionner et retirer des expéditeurs fiables de manière individuelle (adresses IP et email), mais il est recommandé d'éviter les solutions qui automatisent la mise en liste blanche. La confiance par défaut offre une présomption d'innocence dont peu, voire aucune adresse email ne devraient bénéficier.
Une architecture de type zero trust diffère d'une architecture classique en ce qu'elle ne part jamais du principe qu'un expéditeur est sûr. Avec ce modèle, même les expéditeurs internes font l'objet d'une authentification continue. Associée à une surveillance continue des menaces véhiculées par les emails avant et après leur remise, une architecture zero trust part du principe que le pire scénario va se produire et exigent un examen minutieux de chaque expéditeur à chaque remise d'un email.
Adrien Gendre, Directeur Associé et Architecte Solutions - Vade Secure.
Sur le même thème
Voir tous les articles Open source