L IMPACT ATTENDU DE DMARC SUR LE PHISHING Auteur Sébastien GOUTAL Responsable Filter Lab Avril 2012
Sommaire Introduction... 3 Etude de la spécification DMARC... 4 Etude statistique... 6 Conclusion... 7 2
Introduction DMARC qui signifie «Domain-based Message Authentication, Reporting & Conformance» - est une spécification technique dont le but est de standardiser l authentification des e-mails en se basant sur les technologies déjà existantes DKIM et SPF. DMARC met également en place un mécanisme de reporting qui permet aux domaines émetteurs d e-mails de superviser plus efficacement leur activité et de protéger ainsi leur réputation. DMARC constitue à ce titre une avancée significative pour la régulation du flux e-mail. L une des conséquences attendues du déploiement de DMARC est une diminution importante voire une disparition - du phishing : cette hypothèse a été très largement médiatisée et a suscité beaucoup d enthousiasme. Néanmoins, d après notre expérience, cette hypothèse nous semble excessive : DMARC constitue sans aucun doute un grand pas en avant, mais son impact sur le phishing sera limité. 3
Etude de la spécification DMARC Référons-nous au draft de la spécification publié sur le site officiel de DMARC. Le paragraphe «2. Introduction» indique : «The domain name extracted from a message s RFC5322.From field is the primary identifier in the DMARC mechanism. This identifier is used in conjunction with the results of the underlying authentication technologies to evaluate results under DMARC.» Le paragraphe «2.2 Anti-phishing» précise : «This document is significantly informed by ongoing efforts to enact large-scale, Internet-wide, antiphishing measures. Whereas DMARC can only be used to combat specific forms of exact-domain phishing directly, the DMARC mechanism is viewed more importantly as a substantial step forward in terms of creating reliable and defensible message streams. Specifically, DMARC does not attempt to solve problems related to use of Cousin Domains or abuse of the RFC5322. From display name.» La RFC 5322 est le document intitulé «Internet message format» et spécifie le format des messages électroniques. En particulier, l entête «From» indique qui est l auteur du message. Voici un exemple d'en-tête «From» : From: John DOE <jdoe@yahoo.com> L entête «From» contient deux informations : un éventuel «display name», qui est affiché par défaut à la place de l adresse de l expéditeur dans la plupart des clients de messagerie. Dans notre exemple il s agit de : John DOE. l adresse qui identifie l expéditeur sans ambiguïté, à savoir : <jdoe@yahoo.com>. DMARC se base sur le nom de domaine défini dans l adresse de l expéditeur. En particulier, si yahoo.com est présent, alors DMARC va permettre de s assurer que l e-mail a bien été envoyé par Yahoo! Inc., ou par un tiers autorisé. 4
Prenons maintenant comme exemple des adresses utilisées dans du phishing ciblant la banque américaine Chase. Phishing RFC5322.From address DMARC applicable #1 onlinebanking@chaseonline.chase.com oui #2 chaseemail.alert@chase.com oui #3 onlinesmrf@chaseonline.com non #4 account_info@info.com non Les adresses des phishing #1 et #2 utilisent le domaine chase.com : il s agit donc d «exact-domain phishing» car il y a une égalité stricte entre le domaine usurpé et le domaine authentique. Le mécanisme de DMARC peut donc s appliquer et est efficace pour traiter ce genre de menace. En revanche, le mécanisme de DMARC ne peut pas s appliquer pour les phishing #3 et #4 : le phishing #3 est ce que DMARC appelle un «cousin domain phishing» : le nom de domaine est proche du nom de domaine authentique, mais n est pas géré par la banque Chase. le phishing #4 contient une adresse dont le nom de domaine n a absolument aucun rapport avec la banque Chase. Evaluer la pertinence de DMARC en ce qui concerne le phishing revient donc à déterminer la proportion d «exact-domain phishing» au sein du phishing. 5
Etude statistique Nous avons donc procédé à une étude statistique du phishing afin de déterminer la proportion d «exact-domain phishing». Trois corpus ont été constitués pour les années 2010, 2011 et 2012 : corpus américain : banques locales (Bank of America, Chase, Wells Fargo), services financiers (PayPal, Visa) et ISPs locaux, corpus britannique : banques locales (Barclays, Egg Banking, Halifax, Lloyds TSB Bank, Santander UK), services financiers (PayPal, Visa) et ISPs locaux, corpus français : banques locales (Banque Populaire, Caisse d Epargne, Crédit Agricole, Crédit Mutuel, La Banque postale), services financiers (PayPal, Visa) et ISPs locaux. Les résultats sont présentés dans l histogramme ci-dessous : Les résultats parlent d eux-mêmes : l exact domain phishing est une pratique en décroissance permanente - maintenant devenue minoritaire - alors que DMARC n a pas encore été déployé. En outre, on constate qu en France l exact domain phishing est une pratique devenue rare. L explication est d ordre technologique : le filtrage heuristique est très utilisé et ce filtrage s avère particulièrement efficace pour traiter l exact domain phishing. En effet, la présence d un tel domaine dans l entête «From», corrélée avec d autres caractéristiques, permet dans une certaine mesure de séparer le bon grain de l ivraie. 6
Conclusion L efficacité de DMARC pour combattre le phishing est d ores et déjà grandement compromise par le déclin spectaculaire de «l exact domain phishing». En outre, étant donné toute la publicité qui a été faite autour de DMARC, les phishers vont progressivement s adapter, et il est vraisemblable que «l exact domain phishing» ait disparu d ici quelques années. DMARC constitue sans aucun doute une avancée significative pour la régulation du flux e-mail, mais son impact sur le phishing sera limité. Il n existe à notre connaissance aucune solution technologique permettant de traiter le phishing de manière définitive, et seul un ensemble de mesures peut combattre le phishing de manière efficace. Premièrement, le filtrage heuristique s avère pertinent pour filtrer le phishing. En effet, son caractère prédictif permet de filtrer un nombre conséquent de campagnes de phishing, en se basant sur des caractéristiques, comme la présence d un «exact domain» - voire d un «cousin domain» - dans l entête «From». En corrélant cette caractéristique avec d autres caractéristiques, il peut ensuite séparer le phishing des e-mails légitimes. Deuxièmement, la protection au niveau du navigateur Web est un deuxième niveau de protection indispensable. Une technologie comme Google Safe Browsing, implémentée dans Google Chrome et Mozilla Firefox, s avère particulièrement efficace en effectuant un filtrage d URL. En outre, les banques et les services financiers en ligne devraient implémenter l authentification forte pour des opérations critiques telles que des virements bancaires. L authentification forte est une procédure qui requiert la présentation d au moins deux facteurs d authentification parmi les trois facteurs d authentification existants (ce que l utilisateur connaît, ce que l utilisateur détient et ce que l utilisateur est). Une approche classique est d envoyer un code de confirmation par SMS vers un téléphone mobile (ce que l utilisateur détient), et ainsi de renforcer une procédure d authentification. La généralisation des procédures d authentification forte devrait ainsi limiter les dommages causés par le phishing. Enfin, il est indispensable d éduquer les utilisateurs. En particulier, l utilisation du protocole HTTPS devrait être systématique dès que des informations sensibles sont échangées, alors que la quasi-totalité du phishing utilise le protocole HTTP. Les utilisateurs devraient donc en avoir pleinement conscience. 7
A propos de Vade Retro Technology Avec la protection de plusieurs centaines de millions de boîtes aux lettres dans le monde, Vade Retro Technology est le spécialiste de la messagerie contre tous les types de courriers indésirables. Outre la protection des plus grands fournisseurs d accès Internet français et internationaux, l entreprise protège également des milliers de PME et grandes entreprises ainsi que plusieurs millions d indépendants et particuliers. 40C5V1-04/12 FR SASU VADE RETRO TECHNOLOGY au capital de 268 831 3 avenue. Antoine Pinay, Parc d activité des 4 vents, 59 510 HEM France RCS Rbx Tourcoing - 509 568 416