Avez-vous déjà été surpris de découvrir dans votre boîte de réception un courriel indésirable ou une tentative d’extorsion semblant provenir de votre propre adresse électronique? Sachez que vous n’êtes pas un cas isolé. Cette pratique de falsification d’adresses est appelée usurpation d’identité électronique et, malheureusement, il y a peu de choses que vous puissiez faire pour l’empêcher.
Comment les expéditeurs de spam parviennent à usurper votre adresse électronique
L’usurpation d’identité électronique consiste à modifier l’adresse d’expédition d’un courriel, de sorte qu’il paraisse provenir d’une autre personne que l’expéditeur réel. Cette technique est souvent employée pour vous induire en erreur, en vous faisant croire qu’un courriel émane d’une personne de votre entourage ou d’une entité avec laquelle vous interagissez habituellement, comme une banque ou une autre institution financière.
Malheureusement, il est extrêmement facile d’usurper une adresse électronique. Les systèmes de messagerie n’intègrent généralement pas de mécanismes de sécurité permettant de vérifier que l’adresse que vous saisissez dans le champ «De» est bien la vôtre. C’est un peu comme une enveloppe que vous posteriez. Vous pouvez y indiquer n’importe quelle adresse de retour sans que cela ne vous empêche de poster le courrier. Le service postal n’a aucun moyen de vérifier la véracité de l’adresse de retour que vous avez inscrite sur l’enveloppe.
La falsification d’adresses électroniques fonctionne de manière similaire. Certains services en ligne, tel qu’Outlook.com, sont plus vigilants concernant l’adresse d’expédition lors de l’envoi d’un courriel et peuvent vous empêcher d’en expédier un avec une adresse usurpée. Cependant, d’autres outils permettent de saisir n’importe quelle adresse. Il est même possible de créer votre propre serveur de messagerie (SMTP). Il suffit à un escroc de connaître votre adresse, qu’il peut probablement se procurer suite à des fuites de données.
Pourquoi les fraudeurs usurpent-ils votre adresse électronique?
Les fraudeurs utilisent votre adresse électronique comme expéditeur pour deux raisons principales. La première est d’espérer contourner vos filtres anti-spam. Si vous vous envoyez un courriel à vous-même, c’est probablement pour vous rappeler une information importante et vous ne voudriez pas qu’il soit classé comme spam. Les escrocs espèrent ainsi que vos filtres anti-spam ne détecteront pas leur message en utilisant votre propre adresse. Des outils permettent d’identifier un courriel envoyé depuis un domaine autre que celui indiqué, mais votre fournisseur de messagerie doit les implémenter, ce qui, malheureusement, n’est pas toujours le cas.
La seconde raison est de conférer une apparence de légitimité à leur escroquerie. Il est fréquent qu’un courriel falsifié prétende que votre compte a été piraté. Le fait que « vous vous soyez envoyé ce courriel » est présenté comme une preuve de l’accès du « pirate ». Ils peuvent également inclure un mot de passe ou un numéro de téléphone issu d’une base de données compromise pour renforcer leur crédibilité.
L’escroc affirme généralement détenir des informations compromettantes sur vous ou des images prises à l’aide de votre webcam. Il vous menace alors de divulguer ces données à vos contacts, à moins que vous ne versiez une rançon. Cette mise en scène peut sembler plausible au premier abord, car l’escroc semble avoir un accès à votre compte de messagerie. Mais c’est là le piège: l’escroc utilise de fausses preuves.
Comment les fournisseurs de messagerie luttent-ils contre ce problème?
Ce courriel semblait provenir de notre adresse personnelle, mais un examen approfondi de l’en-tête révèle qu’il s’agit d’une simple manipulation de l’adresse d’expédition.
La facilité avec laquelle une adresse électronique peut être falsifiée n’est pas un problème récent. Les fournisseurs de messagerie ne souhaitent pas que vous soyez submergés par des courriels indésirables, et des outils ont été développés pour contrer ce phénomène.
Le premier outil a été le Sender Policy Framework (SPF), qui fonctionne selon des principes simples. Chaque nom de domaine est associé à un ensemble d’enregistrements DNS (Domain Name System) qui permettent de diriger le trafic vers le serveur d’hébergement ou l’ordinateur approprié. Un enregistrement SPF est lié à l’enregistrement DNS. Lorsque vous envoyez un courriel, le service de réception compare votre adresse de domaine (@gmail.com) avec votre adresse IP d’origine et l’enregistrement SPF afin de s’assurer de leur concordance. Si vous envoyez un courriel depuis une adresse Gmail, cet envoi doit indiquer qu’il provient d’un appareil contrôlé par Gmail.
Cependant, le SPF seul ne résout pas complètement le problème. Il est nécessaire que chaque domaine gère correctement ses enregistrements SPF, ce qui n’est pas toujours le cas. De plus, les escrocs peuvent facilement contourner ce dispositif. Il arrive souvent que vous ne voyiez qu’un nom au lieu d’une adresse électronique lorsque vous recevez un courriel. Les spammeurs peuvent ainsi saisir une adresse électronique dans le champ du nom et une autre dans l’adresse d’expédition qui corresponde à un enregistrement SPF. Par conséquent, vous ne percevrez pas ce courriel comme un spam et le SPF non plus.
Les entreprises doivent également décider de la marche à suivre en fonction des résultats du SPF. La plupart du temps, elles laissent passer les courriels afin de ne pas risquer de bloquer un message important. Le SPF n’est pas assorti de règles spécifiques quant au traitement des informations. Il se contente de fournir les résultats d’une vérification.
Pour remédier à ces lacunes, Microsoft, Google et d’autres ont mis en place le système de validation Domain-based Message Authentication, Reporting and Conformance (DMARC). Ce système complète le SPF en définissant des règles concernant le traitement des courriels signalés comme potentiellement suspects. DMARC effectue d’abord une analyse SPF. En cas d’échec, le message est bloqué, sauf si l’administrateur en a décidé autrement. Même si le SPF est validé, DMARC vérifie que l’adresse électronique figurant dans le champ « De: » correspond au domaine d’où provient le courriel (c’est ce qu’on appelle l’alignement).
Malheureusement, malgré le soutien de Microsoft, Facebook et Google, DMARC n’est pas encore largement répandu. Si vous avez une adresse Outlook.com ou Gmail.com, vous bénéficiez probablement de la protection de DMARC. Cependant, selon des données datant de fin 2017, seules 39 entreprises du Fortune 500 avaient mis en œuvre ce service de validation.
Comment réagir face au spam provenant de votre propre adresse?
Ce courriel, qui semblait provenir de notre propre adresse, a heureusement été redirigé vers le dossier des courriers indésirables.
Malheureusement, il n’existe aucun moyen infaillible d’empêcher les spammeurs d’usurper votre adresse. Si le système de messagerie que vous utilisez met en œuvre à la fois SPF et DMARC, vous ne devriez pas être confronté à ce type de courriels ciblés. Ils devraient être automatiquement dirigés vers votre dossier de spam. Vous pouvez également ajuster les paramètres de filtrage de votre compte de messagerie pour les rendre plus stricts. Attention toutefois, car vous risquez de bloquer des messages légitimes. N’oubliez donc pas de consulter régulièrement votre dossier de spam.
Si vous recevez un message usurpé provenant de votre propre adresse, ignorez-le. Ne cliquez sur aucun lien ou pièce jointe, et ne payez jamais la rançon qui vous est demandée. Marquez-le simplement comme spam ou tentative d’hameçonnage, ou supprimez-le. Si vous craignez que vos comptes aient été compromis, prenez les mesures de sécurité nécessaires pour les verrouiller. Si vous utilisez le même mot de passe sur plusieurs services, changez-le sur chaque service et attribuez à chacun un nouveau mot de passe unique. Si vous avez du mal à vous souvenir de tous vos mots de passe, l’utilisation d’un gestionnaire de mots de passe est fortement recommandée.
Si vous avez peur de recevoir des courriels frauduleux de vos contacts, vous pouvez également vous familiariser avec la lecture des en-têtes de courriel.