L IMPACT ATTENDU DE DMARC SUR LE PHISHING. Auteur Sébastien GOUTAL Responsable Filter Lab



Documents pareils
LIVRE BLANC COMBATTRE LE PHISHING. Auteur Sébastien GOUTAL Responsable Filter Lab. Janvier

Comment se protéger contre les s suspicieux?

MailCube MC 2. 2,5 jours / homme / an. 33 milliards de kwh. 17 millions de. 3,1 millions de. nouvelle génération. Le spam en quelques chiffres :

COMMENT PROTÉGER LE FLUX SORTANT?

Comment mieux se concentrer sur les s prioritaires? Détecter, classer et désinscrire

Le spam introduction. Sommaire

L ing tout simplement

L ing en France en 2012

Appliances et logiciels Security

spam & phishing : comment les éviter?

Section Configuration

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Fiche pratique. Présentation du problème. Pourquoi Rapport? Comment çà marche?

Solutions de sécurité des données Websense. Sécurité des données

Guide d installation et de configuration du serveur de messagerie MDaemon

Règlement Internet Banking. Helpdesk Internet Banking: ou

Authentification centralisée et SSO Sujet. Table des matières. 1 ORGANISATION Mode de rendu Informations complémentaires 1 2 SUJET 2

Guide d'initiation aux. certificats SSL. Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en ligne. Document technique

Internet Group Management Protocol (IGMP) Multicast Listener Discovery ( MLD ) RFC 2710 (MLD version 1) RFC 3810 (MLD version 2)

USERGATE MAIL SERVER. Le serveur de messagerie pour les petites et moyennes entreprises :

Barid Al Maghrib. Guide d utilisateur Boite Postale Electronique. Fonctions de base. Version 1.0

Introduction. Application Signal Spam à date Application Signal Spam à date Stats et chiffres d activité

Annexe 6. Kaspersky Security For Mail servers Anti-Spam/Antivirus. Consulting Team

Réunion du 1er Avril VoIP : théorie et réalité opérationnelle. info@ipercom.com

Safe Browsing: to Track, Censor and Protect

GUIDE DE L'UTILISATEUR AVERTI

Cisco IronPort Solutions de Sécurité et Web

BANQUE NEUFLIZE OBC LES BONNES PRATIQUES INTERNET ET MESSAGERIE

Paris Airports - Web API Airports Path finding

Guide Utilisateur simplifié Proofpoint

TangibleData. Manipulation tangible et multitouch de bases de données

SOLUTIONS TRITON DE WEBSENSE

Club informatique Mont-Bruno Séances du 18 janvier et du 17 février 2012 Présentateur : Michel Gagné

Serveur mail sécurisé

REGLEMENT SUR LES COOKIES

1. Formation F5 - Local Traffic Manager Configuring (LTM)

Appliances et logiciels Security

Pour être certain de recevoir les courriels, nous vous invitons à ajouter l adresse électronique no-reply@cerise-collection.com à vos contacts et, si

AMENDMENT TO BILL 32 AMENDEMENT AU PROJET DE LOI 32

Mise à jour de sécurité

Responsabilité sociale et pratiques des banques face à l'optimisation et l'évasion fiscales

Trusteer Pour la prévention de la fraude bancaire en ligne

DÉLIBÉRATION N DU 4 FÉVRIER 2014 DE LA COMMISSION DE CONTRÔLE

Application Form/ Formulaire de demande

RULE 5 - SERVICE OF DOCUMENTS RÈGLE 5 SIGNIFICATION DE DOCUMENTS. Rule 5 / Règle 5

Aperçu technique Projet «Internet à l école» (SAI)

Évolution des réseaux sociaux dans la banque (US et France) et place dans la distribution multicanale

Configurer son logiciel de mails.

Un nouveau regard sur votre marketing relationnel

Guide pour la configuration d adresse

Name Use (Affiliates of Banks or Bank Holding Companies) Regulations

escan Entreprise Edititon Specialist Computer Distribution

Vulnérabilités et sécurisation des applications Web

Principe de la messagerie électronique

- CertimétiersArtisanat

Courrier électronique

WEB page builder and server for SCADA applications usable from a WEB navigator

Instructions Mozilla Thunderbird Page 1

TERRITOIRES DU NORD-OUEST RÈGLEMENT SUR LA FORMULE DE NOTIFICATION R FORM OF NOTIFICATION REGULATIONS R

C Y B E R S E C U R I T Y

SCHOLARSHIP ANSTO FRENCH EMBASSY (SAFE) PROGRAM APPLICATION FORM

Conditions Générales d'utilisation du compte V lille

Guichet ONEGATE COLLECTE XBRL SOLVABILITE II (S2P) Manuel d utilisateur VERSION /04/2014 ORGANISATION ET INFORMATIQUE SDESS.

RECOMMANDATIONS ET MISES EN GARDE DE McAFEE EN MATIÈRE d achats en ligne

Cours 14. Crypto. 2004, Marc-André Léger

De plus en plus de gens font leurs achats sur Internet, et l offre de produits et services en ligne est grandissante. Les moyens de paiement se

Interopérabilité avec outils de mass mailing (mailchimp, sarbacane (upe13), mandrill, z (medef 93 94))

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

Catalogue «Intégration de solutions»

e-banking Simple et pratique Paiements Avec application Mobile Banking

INFRASTRUCTURE À CLÉ PUBLIQUE DE CANAFE (ICP) Accord d abonnement ENTRE

La délivrabilité des campagnes d marketing

Votre sécurité sur internet

Bill 69 Projet de loi 69

17/10/06 à la main dans le Masque. Groupe Banque Populaire. Résultats Conférence de presse 6 mars 2008

ADMINISTRATION TÉLÉSERVICES

Premiers Pas RECEVOIR PAR MAIL MES CODES WIBSONLINE AVANT L ARRIVEE DU MAIL D INSCRIPTION WIBSONLINE

Présentation par François Keller Fondateur et président de l Institut suisse de brainworking et M. Enga Luye, CEO Belair Biotech

[Ministère des Affaires étrangères et du Développement international] DEFI MANUEL UTILISATEUR ESPACE DEMANDEUR

L identité numérique. Risques, protection

Dr.Web Les Fonctionnalités

Groupe Eyrolles, 2015 ISBN :

FINANCE ISLAMIQUE. Conditions et tarifs C M J N C M J N

Formation Optimiser ses campagnes ing

NOS TECHNOLOGIES ET NOTRE ACCOMPAGNEMENT POUR OPTIMISER VOTRE RÉPUTATION D ÉMETTEUR

EFIDEM easy messaging systems

Les caractéristiques du secteur bancaire français

Guide Utilisateur Enregistrement d'un compte en ligne

Z , Service d ing en ligne dédié aux envois professionnels

Livre blanc. Comment internaliser votre routage ?

Instructions pour mettre à jour un HFFv2 v1.x.yy v2.0.00

AIDE FINANCIÈRE POUR ATHLÈTES FINANCIAL ASSISTANCE FOR ATHLETES

LOI SUR LA RECONNAISSANCE DE L'ADOPTION SELON LES COUTUMES AUTOCHTONES ABORIGINAL CUSTOM ADOPTION RECOGNITION ACT

marketing BUROSCOPE TIW

Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple

SOGECASH NET. vos opérations bancaires en ligne

Sécurité des applications web. Daniel Boteanu

Transcription:

L IMPACT ATTENDU DE DMARC SUR LE PHISHING Auteur Sébastien GOUTAL Responsable Filter Lab Avril 2012

Sommaire Introduction... 3 Etude de la spécification DMARC... 4 Etude statistique... 6 Conclusion... 7 2

Introduction DMARC qui signifie «Domain-based Message Authentication, Reporting & Conformance» - est une spécification technique dont le but est de standardiser l authentification des e-mails en se basant sur les technologies déjà existantes DKIM et SPF. DMARC met également en place un mécanisme de reporting qui permet aux domaines émetteurs d e-mails de superviser plus efficacement leur activité et de protéger ainsi leur réputation. DMARC constitue à ce titre une avancée significative pour la régulation du flux e-mail. L une des conséquences attendues du déploiement de DMARC est une diminution importante voire une disparition - du phishing : cette hypothèse a été très largement médiatisée et a suscité beaucoup d enthousiasme. Néanmoins, d après notre expérience, cette hypothèse nous semble excessive : DMARC constitue sans aucun doute un grand pas en avant, mais son impact sur le phishing sera limité. 3

Etude de la spécification DMARC Référons-nous au draft de la spécification publié sur le site officiel de DMARC. Le paragraphe «2. Introduction» indique : «The domain name extracted from a message s RFC5322.From field is the primary identifier in the DMARC mechanism. This identifier is used in conjunction with the results of the underlying authentication technologies to evaluate results under DMARC.» Le paragraphe «2.2 Anti-phishing» précise : «This document is significantly informed by ongoing efforts to enact large-scale, Internet-wide, antiphishing measures. Whereas DMARC can only be used to combat specific forms of exact-domain phishing directly, the DMARC mechanism is viewed more importantly as a substantial step forward in terms of creating reliable and defensible message streams. Specifically, DMARC does not attempt to solve problems related to use of Cousin Domains or abuse of the RFC5322. From display name.» La RFC 5322 est le document intitulé «Internet message format» et spécifie le format des messages électroniques. En particulier, l entête «From» indique qui est l auteur du message. Voici un exemple d'en-tête «From» : From: John DOE <jdoe@yahoo.com> L entête «From» contient deux informations : un éventuel «display name», qui est affiché par défaut à la place de l adresse de l expéditeur dans la plupart des clients de messagerie. Dans notre exemple il s agit de : John DOE. l adresse qui identifie l expéditeur sans ambiguïté, à savoir : <jdoe@yahoo.com>. DMARC se base sur le nom de domaine défini dans l adresse de l expéditeur. En particulier, si yahoo.com est présent, alors DMARC va permettre de s assurer que l e-mail a bien été envoyé par Yahoo! Inc., ou par un tiers autorisé. 4

Prenons maintenant comme exemple des adresses utilisées dans du phishing ciblant la banque américaine Chase. Phishing RFC5322.From address DMARC applicable #1 onlinebanking@chaseonline.chase.com oui #2 chaseemail.alert@chase.com oui #3 onlinesmrf@chaseonline.com non #4 account_info@info.com non Les adresses des phishing #1 et #2 utilisent le domaine chase.com : il s agit donc d «exact-domain phishing» car il y a une égalité stricte entre le domaine usurpé et le domaine authentique. Le mécanisme de DMARC peut donc s appliquer et est efficace pour traiter ce genre de menace. En revanche, le mécanisme de DMARC ne peut pas s appliquer pour les phishing #3 et #4 : le phishing #3 est ce que DMARC appelle un «cousin domain phishing» : le nom de domaine est proche du nom de domaine authentique, mais n est pas géré par la banque Chase. le phishing #4 contient une adresse dont le nom de domaine n a absolument aucun rapport avec la banque Chase. Evaluer la pertinence de DMARC en ce qui concerne le phishing revient donc à déterminer la proportion d «exact-domain phishing» au sein du phishing. 5

Etude statistique Nous avons donc procédé à une étude statistique du phishing afin de déterminer la proportion d «exact-domain phishing». Trois corpus ont été constitués pour les années 2010, 2011 et 2012 : corpus américain : banques locales (Bank of America, Chase, Wells Fargo), services financiers (PayPal, Visa) et ISPs locaux, corpus britannique : banques locales (Barclays, Egg Banking, Halifax, Lloyds TSB Bank, Santander UK), services financiers (PayPal, Visa) et ISPs locaux, corpus français : banques locales (Banque Populaire, Caisse d Epargne, Crédit Agricole, Crédit Mutuel, La Banque postale), services financiers (PayPal, Visa) et ISPs locaux. Les résultats sont présentés dans l histogramme ci-dessous : Les résultats parlent d eux-mêmes : l exact domain phishing est une pratique en décroissance permanente - maintenant devenue minoritaire - alors que DMARC n a pas encore été déployé. En outre, on constate qu en France l exact domain phishing est une pratique devenue rare. L explication est d ordre technologique : le filtrage heuristique est très utilisé et ce filtrage s avère particulièrement efficace pour traiter l exact domain phishing. En effet, la présence d un tel domaine dans l entête «From», corrélée avec d autres caractéristiques, permet dans une certaine mesure de séparer le bon grain de l ivraie. 6

Conclusion L efficacité de DMARC pour combattre le phishing est d ores et déjà grandement compromise par le déclin spectaculaire de «l exact domain phishing». En outre, étant donné toute la publicité qui a été faite autour de DMARC, les phishers vont progressivement s adapter, et il est vraisemblable que «l exact domain phishing» ait disparu d ici quelques années. DMARC constitue sans aucun doute une avancée significative pour la régulation du flux e-mail, mais son impact sur le phishing sera limité. Il n existe à notre connaissance aucune solution technologique permettant de traiter le phishing de manière définitive, et seul un ensemble de mesures peut combattre le phishing de manière efficace. Premièrement, le filtrage heuristique s avère pertinent pour filtrer le phishing. En effet, son caractère prédictif permet de filtrer un nombre conséquent de campagnes de phishing, en se basant sur des caractéristiques, comme la présence d un «exact domain» - voire d un «cousin domain» - dans l entête «From». En corrélant cette caractéristique avec d autres caractéristiques, il peut ensuite séparer le phishing des e-mails légitimes. Deuxièmement, la protection au niveau du navigateur Web est un deuxième niveau de protection indispensable. Une technologie comme Google Safe Browsing, implémentée dans Google Chrome et Mozilla Firefox, s avère particulièrement efficace en effectuant un filtrage d URL. En outre, les banques et les services financiers en ligne devraient implémenter l authentification forte pour des opérations critiques telles que des virements bancaires. L authentification forte est une procédure qui requiert la présentation d au moins deux facteurs d authentification parmi les trois facteurs d authentification existants (ce que l utilisateur connaît, ce que l utilisateur détient et ce que l utilisateur est). Une approche classique est d envoyer un code de confirmation par SMS vers un téléphone mobile (ce que l utilisateur détient), et ainsi de renforcer une procédure d authentification. La généralisation des procédures d authentification forte devrait ainsi limiter les dommages causés par le phishing. Enfin, il est indispensable d éduquer les utilisateurs. En particulier, l utilisation du protocole HTTPS devrait être systématique dès que des informations sensibles sont échangées, alors que la quasi-totalité du phishing utilise le protocole HTTP. Les utilisateurs devraient donc en avoir pleinement conscience. 7

A propos de Vade Retro Technology Avec la protection de plusieurs centaines de millions de boîtes aux lettres dans le monde, Vade Retro Technology est le spécialiste de la messagerie contre tous les types de courriers indésirables. Outre la protection des plus grands fournisseurs d accès Internet français et internationaux, l entreprise protège également des milliers de PME et grandes entreprises ainsi que plusieurs millions d indépendants et particuliers. 40C5V1-04/12 FR SASU VADE RETRO TECHNOLOGY au capital de 268 831 3 avenue. Antoine Pinay, Parc d activité des 4 vents, 59 510 HEM France RCS Rbx Tourcoing - 509 568 416

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back