Blog

Usurpation d'identité par courriel : définition, exemples et prévention

DéBounce
Articles
24 min de lecture
Thèmes

Partagez cet article

Copier le lien

Points clés à retenir

  • L’usurpation d’identité par courriel se produit lorsqu’un attaquant envoie des messages qui semblent provenir d’une personne ou d’une organisation de confiance, sans avoir besoin de pirater le véritable compte.
  • Les trois méthodes d'usurpation d'identité les plus courantes en matière d'email sont l'usurpation du nom d'affichage, les domaines similaires et les comptes compromis.
  • La fraude au PDG, les escroqueries aux factures fournisseurs et les faux courriels de service client sont les types d'attaques qui causent le plus de dommages financiers et de réputation aux entreprises.
  • En matière de prévention des attaques par usurpation d'identité par courriel, la formation des employés et les procédures de vérification internes sont tout aussi importantes que les contrôles techniques.

Un courriel apparaît dans la boîte de réception de votre responsable financier : il est censé provenir du PDG et demande un virement urgent. Le nom de l’expéditeur est correct et le ton semble approprié. Seul problème : le PDG ne l’a jamais envoyé.

Il s'agit d'une usurpation d'identité par courriel, l'une des formes de cybercriminalité les plus courantes et les plus coûteuses ciblant les entreprises aujourd'hui. Contrairement aux logiciels malveillants ou aux tentatives de piratage complexes, les attaques par usurpation d'identité ne reposent pas sur des techniques sophistiquées. Bien souvent, un nom d'expéditeur crédible et un destinataire occupé, n'ayant pas le temps de vérifier les informations, suffisent. Statistiques sur le spam par e-mail Ces études montrent qu'une part importante du trafic de courriels malveillants implique une forme d'usurpation d'identité, ce qui constitue un risque que chaque entreprise doit comprendre et contre lequel elle doit se défendre activement.

Ce guide explique le fonctionnement des attaques par usurpation d'identité par courriel, leur apparence typique dans des situations réelles et les mesures pratiques que les entreprises peuvent prendre pour les prévenir.

Qu’est-ce que l’usurpation d’identité par courriel ?

L’usurpation d’identité par courriel consiste à envoyer des courriels qui semblent provenir d’un expéditeur de confiance, comme un collègue, un supérieur hiérarchique, un fournisseur ou une marque reconnue, dans le but d’inciter le destinataire à commettre un acte préjudiciable. Cet acte peut consister à effectuer un virement d’argent, à partager des identifiants de connexion, à cliquer sur un lien malveillant ou à divulguer des informations sensibles.

Ce qui distingue l'usurpation d'identité du spam ordinaire, c'est le ciblage délibéré. ​​Les attaques par usurpation d'identité visent à exploiter une relation existante ou une confiance instaurée. L'attaquant ne cherche pas à vendre quoi que ce soit, mais à se faire passer pour quelqu'un d'autre.

Point crucial, l'usurpation d'identité par courriel ne nécessite pas que l'attaquant ait accès au compte de l'expéditeur légitime. Dans la plupart des cas, il lui suffit de simuler une légitimité grâce à des techniques d'ingénierie sociale. C'est ce qui la rend si accessible aux attaquants et si dangereuse pour les organisations de toutes tailles.

Comment fonctionne l'usurpation d'identité par courriel

Les attaquants utilisent trois méthodes principales pour faire croire que leurs courriels proviennent de quelqu'un d'autre.

Comment fonctionne l'usurpation d'identité par courriel

Faux nom d'affichage

Les clients de messagerie comme Outlook et Gmail affichent clairement le nom de l'expéditeur, tandis que l'adresse électronique réelle est souvent masquée, sauf si le destinataire clique pour l'afficher. Les pirates exploitent cette faille en se faisant passer pour « John Smith, PDG » tout en envoyant des messages depuis une adresse totalement différente. [email protected]Nombreux sont les destinataires qui ne vérifient jamais l'adresse associée au nom.

Utilisation de domaines similaires ou falsifiés

Une tactique plus sophistiquée consiste à enregistrer un nom de domaine quasi identique à celui utilisé par l'entreprise. Si votre organisation utilise acmecorp.com, un pirate pourrait enregistrer un nom de domaine comme acme-corp.com, acmecorp.net ou acrnecorp.com, où un seul caractère est subtilement modifié.

Au premier abord, ces adresses semblent légitimes. Le domaine existant et pouvant envoyer des courriels normalement, les messages provenant de celui-ci passent souvent les vérifications d'expéditeur de base. Cela rend l'attaque plus difficile à détecter qu'une simple usurpation d'identité. Cette technique est étroitement liée à usurpation d'e-mailset les deux sont souvent utilisés ensemble.

Compromettre un compte réel

Lorsqu'un attaquant accède à un compte de messagerie légitime par hameçonnage, vol d'identifiants ou fuite de données, il peut envoyer des messages directement depuis l'adresse légitime. C'est la forme d'usurpation d'identité la plus difficile à détecter, car les courriels semblent bien provenir de l'adresse indiquée. Des contrôles d'authentification et une surveillance robustes constituent les principaux moyens de défense.

Types courants d'attaques par usurpation d'identité par courriel

Les attaques par usurpation d'identité suivent des schémas prévisibles. Comprendre les scénarios les plus courants permet aux équipes de les reconnaître et d'y réagir plus rapidement.

Types d'attaques par usurpation d'identité par courriel

usurpation d'identité de PDG et de dirigeant

Également connue sous le nom de fraude au président (BEC) ou fraude au PDG, cette attaque implique un usurpateur d'identité se faisant passer pour un cadre supérieur, généralement le PDG, le directeur financier ou un autre dirigeant, afin de faire pression sur un employé pour qu'il prenne une mesure non autorisée.

Les cibles sont généralement des employés ayant autorité sur les transactions financières ou accès à des données sensibles, comme les équipes financières, les RH, les gestionnaires de paie et les assistants de direction. Les demandes sont conçues pour paraître urgentes et confidentielles : « N’en parlez à personne, traitez-le avant la fermeture des marchés. »

Les objectifs courants incluent les virements bancaires frauduleux, les achats de cartes-cadeaux, les demandes de formulaires W-2 ou de données de paie, et les modifications des coordonnées bancaires pour les virements directs. Le FBI Centre de plaintes contre la criminalité sur Internet (IC3) a systématiquement identifié le BEC comme l'une des catégories de cybercriminalité les plus coûteuses au monde, avec des pertes annuelles se chiffrant en milliards.

Usurpation d'identité de fournisseurs et de partenaires

Dans ce scénario, les attaquants usurpent l'identité d'un fournisseur, d'un sous-traitant ou d'un partenaire commercial connu. Ils obtiennent généralement suffisamment d'informations sur la relation, souvent grâce à des sources publiques ou à une violation de données antérieure, pour rendre leurs courriels crédibles.

Une attaque typique consiste à envoyer une fausse facture en tous points identique aux véritables factures du fournisseur, à une exception près : le numéro de compte bancaire. Le destinataire effectue ce qui semble être un paiement de routine, et les fonds sont transférés sur le compte du fraudeur. La récupération des fonds est difficile, voire impossible (une fois la fraude détectée).

Ce type d'attaque est particulièrement dangereux car il exploite la confiance établie. Le destinataire n'est pas sollicité pour une action inhabituelle ; il lui suffit de payer un fournisseur avec lequel il travaille régulièrement.

usurpation d'identité du service client

Les pirates se font passer pour des employés du service client d'une entreprise ou d'un service. Au lieu de tenter de tromper les employés de l'organisation, ils ciblent les utilisateurs ou clients habituels de ce service. Ils envoient des courriels semblant provenir du service d'assistance d'une entreprise connue (une banque, un éditeur de logiciels ou une plateforme de commerce électronique), avertissant le destinataire d'un problème de compte nécessitant une intervention immédiate.

L'objectif est généralement le vol d'identifiants. Le courriel renvoie vers une fausse page de connexion convaincante où la victime saisit son nom d'utilisateur et son mot de passe, les transmettant ainsi directement à l'attaquant. Cette approche est également liée à pharmacie Ces techniques consistent à rediriger les utilisateurs vers de faux sites web conçus pour paraître légitimes. Les identifiants volés peuvent ensuite servir à pirater des comptes, à les revendre ou à lancer d'autres attaques.

 Comment se prémunir contre l'usurpation d'identité par courriel

Une protection efficace contre l'usurpation d'identité par courriel exige une approche multicouche. Aucune mesure de contrôle isolée n'est suffisante : les protections techniques, la vigilance humaine et les procédures internes doivent toutes être mises en œuvre conjointement.

Comment prévenir l'usurpation d'identité par courriel

protocoles d'authentification du courrier électronique

Trois objectifs protocoles d'authentification des e-mails Ces protocoles, qui fonctionnent via le DNS, contribuent à prévenir l'usurpation d'identité de domaine. Ils doivent être configurés pour chaque domaine utilisé par votre organisation pour l'envoi de courriels, non seulement le domaine principal, mais aussi tous les domaines secondaires ou inactifs qui lui appartiennent encore.

  • SPF (cadre de politique de l'expéditeur) : Un enregistrement DNS répertorie les serveurs de messagerie autorisés à envoyer des courriels depuis votre domaine. Lorsqu'un serveur de réception vérifie un message entrant, il contrôle si le serveur d'envoi figure sur cette liste. Dans le cas contraire, le message peut être signalé ou rejeté.
  • DKIM (courrier identifié par DomainKeys) : Ajoute une signature cryptographique aux messages sortants, que le serveur de réception peut vérifier. Elle confirme que le courriel provient bien de votre domaine et n'a pas été altéré lors de sa transmission.
  • DMARC (Authentification, rapport et conformité des messages basés sur le domaine) : S'appuyant sur SPF et DKIM, DMARC permet aux propriétaires de domaine de spécifier le comportement à adopter en cas d'échec d'authentification d'un message : simple surveillance, mise en quarantaine ou rejet. DMARC envoie également des rapports au propriétaire du domaine indiquant les serveurs qui envoient des e-mails depuis ce domaine, ce qui facilite le suivi et le contrôle des sources d'envoi autorisées.

Configurer DMARC sur une politique de « rejet » offre la protection la plus efficace, mais les organisations commencent généralement par une politique de « surveillance » afin de comprendre leur trafic de courriels légitimes avant d'appliquer des règles strictes. Cryptage des e-mails ajoute une couche supplémentaire en protégeant le contenu des messages en transit et au repos.

Formation et sensibilisation des employés

Des contrôles techniques bloquent certaines tentatives d'usurpation d'identité, mais de nombreuses attaques sont conçues pour contourner les filtres automatisés et atteindre les boîtes de réception légitimes. C'est pourquoi la formation du personnel est essentielle.

Les employés à tous les niveaux doivent comprendre :

  • Comment vérifier l'adresse e-mail réelle d'un expéditeur, et non seulement son nom d'affichage ? Sur la plupart des clients de messagerie, survoler ou cliquer sur le nom de l'expéditeur permet d'afficher l'adresse sous-jacente.
  • Les signes avant-coureurs d'une manipulation fondée sur l'urgence comprennent les messages qui les incitent à agir rapidement, à sauter les étapes d'approbation normales ou à garder la demande confidentielle vis-à-vis de la direction.
  • Que faire face à une demande qui vous paraît suspecte, même si elle semble provenir d'un contact connu ? Un simple coup de fil pour vérifier est toujours plus rapide que de devoir se remettre d'une fraude.
  • Comment fonctionnent les domaines similaires et que rechercher lorsqu'une adresse semble légèrement incorrecte, par exemple des lettres transposées, des tirets ajoutés ou un domaine de premier niveau différent.

La formation doit être pratique et répétée, et non se limiter à un exercice ponctuel. Les simulations d'attaques de phishing, où les équipes informatiques ou de sécurité envoient de faux courriels usurpant l'identité du personnel, constituent l'un des moyens les plus efficaces de renforcer la sensibilisation et d'identifier les personnes ayant besoin d'un accompagnement supplémentaire.

Outils et filtres de sécurité

Les outils de sécurité dédiés offrent des capacités de détection et de blocage que le filtrage de base des courriels ne couvre pas.

  • Les filtres anti-hameçonnage et anti-usurpation d'identité analysent les messages entrants à la recherche de caractéristiques associées à l'usurpation d'identité, telles que des domaines non concordants, des données d'en-tête suspectes, des adresses d'expéditeur similaires et des liens malveillants connus.
  • Les solutions de passerelle de messagerie s'interposent entre Internet et votre serveur de messagerie, effectuant des contrôles supplémentaires avant que les messages n'atteignent les boîtes de réception des employés.
  • Les services de surveillance de domaines vous alertent lorsque de nouveaux domaines très similaires au vôtre sont enregistrés, vous donnant ainsi un avertissement précoce d'une potentielle attaque par domaine similaire avant même qu'elle ne soit utilisée.
  • Les outils de reporting DMARC transforment les rapports DMARC bruts en tableaux de bord lisibles, facilitant ainsi le repérage des expéditeurs non autorisés utilisant votre domaine.

Travailler avec des entreprises de sécurité du courrier électronique peut vous aider à évaluer quels outils sont appropriés à la taille, à l'infrastructure et au profil de risque de votre organisation.

Procédures de vérification

Le dernier niveau de défense est procédural : des flux de travail internes qui exigent une vérification hors bande pour les demandes à haut risque, quelle que soit la légitimité apparente du courriel.

Les procédures de vérification efficaces comprennent :

  • Une politique stricte interdit d'approuver les virements bancaires, les modifications de paiement ou les demandes de données sensibles sur la seule base d'un courriel. Toute demande de ce type, quelle que soit sa provenance, doit être confirmée par téléphone ou en personne à l'aide d'un numéro figurant dans votre annuaire interne, et non à l'aide d'un numéro fourni dans le courriel.
  • Exigence d'une double approbation pour les transactions financières dépassant un certain seuil. Le fait que deux personnes distinctes examinent et approuvent un paiement rend beaucoup plus difficile la réussite d'une usurpation d'identité par courriel.
  • Une procédure de signalement claire pour les courriels suspects est essentielle. Les employés doivent savoir précisément qui contacter et comment procéder lorsqu'ils reçoivent un message qui leur paraît étrange, et ils doivent pouvoir le signaler en toute sécurité, sans crainte d'être mis en difficulté.

Ces procédures ne coûtent rien à mettre en œuvre et sont souvent plus efficaces que les contrôles techniques pour stopper les attaques par ingénierie sociale.

Que faire si vous êtes victime d'usurpation d'identité par courriel ?

Si vous découvrez qu'une personne usurpe l'identité de votre organisation ou qu'un employé a été victime d'une attaque, agissez rapidement. Les premières heures sont cruciales.

Que faire si vous êtes victime d'usurpation d'identité par courriel ?

Mesures d'intervention immédiates :

  1. Contenir les dégâts : Si un paiement a été effectué, contactez immédiatement votre banque pour tenter de le faire annuler. Les institutions financières disposent de délais d'intervention limités ; il est donc essentiel d'agir rapidement.
  2. Conserver les preuves : Ne supprimez pas les courriels frauduleux. Conservez l'intégralité des en-têtes de messages, les captures d'écran et toute correspondance associée. Ces documents sont indispensables pour le signalement et toute enquête ultérieure.
  3. Définir le périmètre : Déterminez si l'attaque a ciblé une seule personne ou plusieurs comptes, et si des données sensibles, telles que des identifiants, des données financières ou des informations personnelles, ont été consultées ou partagées.
  4. Réinitialiser les identifiants compromis : En cas d'accès non autorisé à un compte, forcez la réinitialisation du mot de passe et révoquez immédiatement les sessions actives. Activez l'authentification multifacteurs si elle n'est pas déjà activée.

Signalement et notification :

  • Signalez l'incident à l'autorité compétente de votre pays en matière de cybercriminalité. Aux États-Unis, il s'agit de l'IC3 (ic3.gov), un service du FBI.
  • Si des données client sont concernées, consultez votre service juridique concernant les obligations de notification de violation de données en vertu des réglementations applicables en matière de protection des données (RGPD, CCPA et autres, selon votre juridiction).
  • Avertissez les partenaires ou fournisseurs concernés si leur identité a été utilisée lors de l'attaque, car ils pourraient être confrontés à des menaces similaires.
  • Signalez-le à votre fournisseur de messagerie et, le cas échéant, demandez que le domaine usurpant l'identité de votre compte soit signalé pour abus.

Après la réaction immédiate, effectuez une analyse post-incident : comment l’attaque a-t-elle réussi à passer, quels contrôles ont échoué et quels changements sont nécessaires pour réduire le risque de récidive ? Nettoyage des courriels configurations d'infrastructure et de sécurité dans le cadre de cet examen.

Protégez votre domaine avant que des attaquants ne l'utilisent contre vous.

Un aspect souvent négligé de la protection contre l'usurpation d'identité concerne la qualité et la sécurité de vos propres pratiques d'envoi d'emails. Les organisations dont les listes de diffusion sont mal tenues, les bases de données de contacts non vérifiées ou l'infrastructure d'envoi mal configurée sont plus vulnérables, tant au risque d'utilisation abusive de leur domaine qu'à l'envoi involontaire de emails que les fournisseurs de messagerie considèrent avec suspicion.

Vérification de l'E-mail L'utilisation de DeBounce fait partie des bonnes pratiques d'hygiène de messagerie et contribue à renforcer votre sécurité globale. DeBounce valide les adresses e-mail sans envoyer de messages, supprimant ainsi les adresses invalides, jetables et à risque de vos listes. Votre domaine bénéficie ainsi d'une réputation d'expéditeur fiable et cohérente. Un domaine jouissant d'une solide réputation est plus difficile à usurper et plus facile à défendre en cas de signalement d'abus.

Analysez votre liste de diffusion avec DeBounce. pour garantir que vos envois sortants sont propres, vérifiés et fonctionnent en votre faveur.

Mettez en place des défenses adaptées à la menace

L'usurpation d'identité par courriel réussit car elle exploite la confiance : la confiance que les employés accordent à un nom familier, la confiance que les clients accordent à une marque connue, la confiance qui fait du courriel un outil fonctionnel pour les entreprises. Les attaquants n'ont pas besoin de franchir les pare-feu lorsqu'ils peuvent simplement se faire passer pour une personne de confiance.

Les mesures de défense présentées dans ce guide – authentification SPF, DKIM et DMARC ; formation du personnel ; outils de filtrage de sécurité ; et procédures de vérification internes – permettent de traiter les aspects techniques et humains du problème. Aucune n’est suffisante à elle seule, mais leur combinaison rend les attaques par usurpation d’identité beaucoup plus difficiles à exécuter et plus faciles à détecter.

Commencez par vos enregistrements d'authentification. Si votre domaine ne publie pas encore de politique DMARC, c'est la mesure technique la plus importante que vous puissiez prendre dès maintenant. Organisez une formation pour votre personnel et mettez en place une procédure claire de vérification des paiements : vous comblerez ainsi les failles exploitées par la plupart des attaques par usurpation d'identité.

Questions fréquemment posées

Réponses aux questions fréquentes sur ce sujet.
01

L'usurpation d'identité par courriel est-elle possible sans piratage de compte ?

Oui, et c'est même très fréquent. L'usurpation d'identité visuelle et les attaques par domaine similaire ne nécessitent aucun accès au compte réel ; elles imitent simplement son apparence en utilisant une adresse d'envoi différente.

02

Les attaques par usurpation d'identité par courriel sont-elles fréquentes ?

Les attaques par usurpation d'identité par courriel sont très courantes et demeurent l'une des formes les plus fréquentes de cybercriminalité. Les organisations de tous les secteurs sont régulièrement confrontées à des tentatives telles que l'hameçonnage, la compromission de messagerie professionnelle et l'usurpation de domaine, car le courriel est largement utilisé et facile à exploiter pour les attaquants.

Vous pourriez aussi aimer

Trouvez rapidement les réponses à vos questions concernant nos tarifs et nos forfaits.

Comment réduire le taux de désabonnement aux e-mails ?

On ne peut pas plaire à tout le monde. Certaines personnes se désinscriront de votre liste de diffusion quoi qu'il arrive. Ce n'est pas vous le problème, c'est elles. C'est un vrai casse-tête…

   
DéBounce

Tout sur la segmentation des listes de diffusion

La segmentation des listes de diffusion est une technique marketing moderne qui permet aux entreprises de mieux cibler leurs clients. Les entreprises, avec leurs produits et services...

   
Farhad Khan
Pourquoi mon compte Gmail ne reçoit-il pas certains e-mails ?

Pourquoi mon compte Gmail ne reçoit-il pas certains e-mails ?

Les e-mails manquants dans Gmail sont presque toujours dus au filtrage anti-spam, au blocage d'expéditeurs ou à des filtres personnalisés, à un espace de stockage saturé, aux paramètres de transfert ou de synchronisation, ou…

   
DéBounce