Mailjet Team

Mailjet Team

Aujourd’hui a lieu la 11e édition du Safer Internet DayMailjet veut en profiter pour vous rappeler que les plateformes proposant des services d’emailing jouent un rôle important dans la lutte contre le hameçonnage (ou phising), une menace pour la sécurité d’Internet.

Safer Internet Day - la contribution de Mailjet
Jetons un œil à la dernière étude en date publiée par l’Anti-Phishing Working Group : sur le seul premier semestre de 2013, l’organisme a identifié 53 685 noms de domaine victimes de hameçonnage. 12 173 d’entre eux ont été créés par les hameçonneurs eux-mêmes, soit deux fois plus que lors du second semestre 2012. La cible de hameçonnage la plus populaire était Paypal, qui avec 13 498 attaques répertoriées (soit 18,3 % du total).

Comment Mailjet ou toute autre société de routage d’emails peut vous aider à surmonter ce problème ? Grâce à trois barrières principales.

Prenons un exemple. XYZ Corporation utilise Mailjet pour envoyer ses emails. Un mercredi soir, un groupe de hameçonneurs envoient des emails prétendant provenir du nom de domaine de la société, xyz.com. Ce que ce groupe ignore, c’est que Mailjet pousse ses clients à utiliser la norme SPF…

Safer Internet Day - la contribution de Mailjet
 

Première barrière : le Sender Policy Framework (SPF)

SPF permet au propriétaire d’un nom de domaine de restreindre l’envoi d’emails légitimes spécifiant une liste d’adresses IP valides. Il lui suffit d’ajouter un registre TXT à son nom de domaine, qui est en quelque sorte une méta information visible par tous. Le contenu de ce registre TXT est une liste d’adresses IP valides pour envoyer des emails légitimes. Chaque fois qu’un serveur reçoit un email provenant de ce nom de domaine, il consultera le registre TXT afin de vérifier si l’adresse IP d’expédition correspond à l’une de celles de la liste. Si ça n’est pas le cas, l’email en question peut être considéré comme tentative de hameçonnage ou de spam.

Comme les envois du groupe de hameçonneurs affirment être envoyés depuis xyz.com mais que leurs adresses IP ne sont pas inscrites dans la liste SPF, les emails sont filtrés sans causer de tort.

Une semaine plus tard, le groupe malveillant prend connaissance de la norme SPF. Elle demande à ses développeurs de modifier leur adresse IP d’envoi pour qu’elle corresponde à une de celles inscrites dans le filtre SPF. Encore une fois, ils oublient quelque chose : chaque client Mailjet peut mettre en place la norme DKIM en quelques clics.

Deuxième barrière : Domain Keys Identified Mail (DKIM)

La norme DKIM permet au propriétaire du nom de domaine d’utiliser la puissance du cryptage asymétrique pour empêcher les abus de hameçonneurs et spammeurs. Le cryptage asymétrique permet de générer deux clés : une publique et une privée. La clé privée est utilisée pour générer une signature électronique spécifique à chaque email.

Cette signature est constituée d’une suite de caractères dans laquelle les informations sur le contenu de l’email sont cryptées.

La clé publique est ajoutée au nom de domaine en tant que registre TXT. Désormais, chaque email envoyé possède sa propre signature. Quand un serveur reçoit un de ces emails, il consulte les registres du nom de domaine à la recherche de la clé publique. Grâce à celle-ci, il peut reconnaître (ou non) la clé privée qui lui est associée. Si les deux clés ne correspondent pas, le message peut être considéré comme une tentative de hameçonnage ou de spam.

Troisième barrière : les filtres d’habitudes d’envoi

Après deux échecs, le dernier espoir pour le groupe de hameçonneurs est d’accéder directement au serveur Web de XYZ. Heureusement, nos amis de l’industrie de la sécurité des serveurs font un excellent travail. Mais, pour l’exemple, imaginons que le groupe malveillant parvienne à contourner ces sécurités et ait accès au site Web de XYZ, au moins pendant les 12 premières heures (essentielles pour les hameçonneurs, puisque c’est dans ce laps de temps qu’ils détournent le plus d’argent). Ce groupe peut désormais envoyer ses emails malveillants. Les normes SPF et DKIM n’y peuvent rien, puisque les adresses IP et les signatures cryptées sont valides. Cependant, les emails continuent d’être envoyés via le relais SMTP de Mailjet.

Les emails envoyés par le groupe de hameçonneurs sont analysés par des algorithmes de big data tels que les inférences bayésiennes. Elles permettent de reconnaître les fréquences d’envoi ainsi que les habitudes de contenu en temps réel. Il est plus que probable que les hameçonneurs cherchent à envoyer des volumes d’emails différents de ceux de XYZ Corporation. Il en ira de même pour le contenu de ces envois malveillants. Si ces envois diffèrent trop de l’habitude, Mailjet crée une alarme mettant automatiquement en attente les emails litigieux jusqu’à ce que le problème soit résolu. Cela donne suffisamment de temps à XYZ Corportation pour détecter l’attaque et prendre les mesures nécessaires.

Ces actions invisibles pour l’utilisateur final sont effectuées quotidiennement, afin que tout à chacun puisse profiter d’un Internet plus sûr. C’est comme ça que Mailjet apporte sa pierre à l’édifice.