Le protocole DMARC et comment il peut faire tomber une entreprise entière

Dans cet article, vous vous familiariserez avec DMARC, un protocole de sécurité de messagerie moins connu qui peut aider les entreprises à prévenir les campagnes de phishing. 

A la fin de cet article, vous saurez :

• Qu’est-ce que DMARC et pourquoi est-il utile
• Comment un attaquant peut profiter d’une politique DMARC mal configurée
• Comment vous pouvez corriger une instance vulnérable.

Clause de non-responsabilité

Le contenu que vous vous apprêtez à lire est strictement à des fins éducatives. Nous ne tolérons pas l’utilisation de ces apprentissages dans des activités illégales.

Qu’est-ce que DMARC et pourquoi en avez-vous besoin ?

DMARC signifie Domain-based Message Authentication, Reporting, and Conformance. En termes simples, c’est un moyen d’authentifier vos messages électroniques sortants. Il est implémenté via un enregistrement DNS qui spécifie la politique souhaitée.

Étant donné que la plupart des cyberattaques commencent par une campagne de phishing, la sécurité DMARC est un facteur important. S’il est mal configuré, il peut créer beaucoup de dégâts.

DMARC permet aux organisations de protéger leur marque et leur réputation en empêchant les attaquants d’utiliser leurs noms de domaine et de sous-domaine pour mener des attaques de phishing. Cela peut aider les utilisateurs à ne pas être victimes de telles attaques et empêcher l’organisation d’être associée à des activités frauduleuses. 

Les expéditeurs d’e-mails sont vérifiés à l’aide de politiques. DMARC indique aux serveurs de messagerie de réception quoi faire lorsqu’ils reçoivent un message qui semble provenir de votre organisation mais qui ne passe pas les contrôles d’authentification.

DMARC est construit sur les normes d’authentification de clé SPF (Sender Policy Framework) et DKIM (Domain Keys Identified Mail). Il complète SMTP, le protocole de base utilisé pour envoyer des e-mails car SMTP n’inclut aucun mécanisme de mise en œuvre ou de définition de politiques d’authentification des e-mails.

SMTP (Simple Mail Transfer Protocol) a commencé en 1980 et, depuis lors, c’est le protocole de référence pour l’envoi d’e-mails. Parce qu’il n’a pas été créé dans un souci de sécurité, SMTP n’inclut aucun mécanisme de sécurité. C’est pourquoi les spécialistes ont dû créer des protocoles de sécurité de messagerie tels que DMARC pour aider à prévenir l’usurpation d’identité et la fraude.

Pourquoi le protocole DMARC est-il si important ?

La sécurité des e-mails est l’un des sujets les moins couverts en matière de cybersécurité, malgré son impact. 

Une organisation peut suivre toutes les directives recommandées lorsqu’il s’agit d’élaborer une stratégie de défense en couches. Pourtant, tout ce qu’il faut, c’est qu’un utilisateur inexpérimenté et sans méfiance au sein de votre environnement d’entreprise clique sur un lien ou télécharge et exécute une pièce jointe malveillante pour fournir à un attaquant un pied dans le réseau. Et la plupart de ces chaînes d’attaque commencent par le courrier électronique. 

Les entreprises ont réalisé que les cybercriminels ciblaient les employés pour les amener à prendre des mesures nuisibles, comme envoyer de l’argent à l’attaquant. C’est pourquoi le terme BEC (Business Email Compromise) est devenu si courant.

Plus de 90 % des cyberattaques réussies commencent par un e-mail de phishing , il est donc évident de faire de la sécurité des e-mails une priorité dans chaque organisation.

Les tactiques d’hameçonnage impliquent de nombreuses façons créatives d’inciter les gens à donner des informations sensibles, telles que leurs mots de passe ou leurs numéros de carte de crédit, à quelqu’un qui prétend être une source fiable. 

Cela se fait généralement par e-mail ou via des messages sur les réseaux sociaux qui incluent des liens vers de faux sites Web qui semblent légitimes mais qui sont en fait conçus pour voler les informations de la victime.

Mais l’hameçonnage peut également impliquer des appels téléphoniques ou des SMS d’une personne prétendant appartenir à une organisation légitime et demandant des informations confidentielles. 

Source : FBI.gov

Le protocole DMARC est important car il aide à protéger les utilisateurs de messagerie contre la réception de spam et d’autres formes de courrier électronique malveillant. Pour ce faire, il permet aux propriétaires de domaines de messagerie de publier des politiques dans leurs enregistrements DNS qui spécifient quels serveurs sont autorisés à envoyer des e-mails en leur nom. 

Cela rend beaucoup plus difficile pour les attaquants d’envoyer un e-mail qui semble provenir d’un domaine de confiance, ce qui aide à protéger la réputation du domaine et à réduire la quantité de spams et d’e-mails de phishing que ses utilisateurs reçoivent.

Un peu d’histoire

DMARC est un protocole de sécurité développé en 2011 par un groupe d’organisations comprenant Google, Microsoft, Yahoo et AOL. 

L’objectif de DMARC était de résoudre le problème de l’usurpation d’e-mails , dans lequel les attaquants envoient des e-mails frauduleux qui semblent provenir d’un domaine légitime pour inciter les destinataires à divulguer des informations sensibles ou à cliquer sur des liens malveillants.

Depuis sa création, DMARC a été largement adopté par des organisations du monde entier comme moyen de protéger leurs domaines contre l’usurpation d’e-mails et les attaques de phishing. DMARC est actuellement pris en charge par tous les principaux FAI (tels que Google, Microsoft, Yahoo!, etc.).

Aujourd’hui, DMARC continue d’être un outil important pour les organisations qui cherchent à améliorer la sécurité de leur messagerie et à protéger leur marque contre les abus.

Alors, comment le fait de connaître le DMARC améliore-t-il vos compétences en pentesting ?

Comment fonctionne DMARC ?

DMARC intervient pour aider lorsque les serveurs de messagerie ont un e-mail qui ne peut pas passer les contrôles d’authentification. Ainsi, chaque e-mail qui n’a pas réussi les contrôles d’authentification doit être vérifié avec la politique DMARC.

Il existe trois politiques DMARC qu’une entreprise peut mettre en œuvre :

• La politique « p=none » , parfois appelée politique de « surveillance », qui indique au fournisseur de messagerie du destinataire de ne prendre aucune mesure si un e-mail échoue au DMARC.
• La politique « p=quarantine » déplace les e-mails suspects dans un dossier différent, comme le dossier spam de votre destinataire, au lieu de la boîte de réception.
• La politique « p=reject » indique au fournisseur de bloquer tout e-mail qui échoue au DMARC, de sorte que l’e-mail n’arrive même jamais à votre destinataire.

Ok, mais pourquoi DMARC ne peut pas fonctionner sans SFP et DKIM ? Décomposons-le :

• SPF permet aux expéditeurs de définir quelles adresses IP sont autorisées à envoyer du courrier pour un domaine particulier.
• DKIM fournit une clé de cryptage et une signature numérique qui vérifient qu’un message électronique n’a pas été modifié. 
• DMARC unifie les mécanismes d’authentification SPF et DKIM dans un cadre commun et permet aux propriétaires de domaine de déclarer comment ils souhaitent qu’un e-mail de ce domaine soit traité s’il échoue à un test d’autorisation.

En cybersécurité, nous utilisons la triade de la CIA comme base pour tout. Nous pouvons facilement voir comment cela s’applique à la sécurité des e-mails :

Confidentialité

Le protocole SFP s’assure de n’autoriser que les adresses IP déclarées d’un domaine à envoyer des e-mails.

Intégrité

Le protocole DKIM prend soin de l’intégrité en cryptant les e-mails et en les vérifiant avec des signatures numériques.

Disponibilité

Tout comme il est important que les utilisateurs non autorisés soient tenus à l’écart des données d’une organisation, les données doivent être accessibles aux utilisateurs autorisés chaque fois qu’ils en ont besoin. Cela signifie que les systèmes, les réseaux et les appareils restent opérationnels. Pour cette raison, la création d’un plan de politique DMARC dans votre organisation est un moyen de garantir la disponibilité. 

Comment détecter une mauvaise configuration DMARC

Il est important de noter que les attaques DMARC sont très efficaces pour les fournisseurs de services de messagerie moins connus. Cela ne signifie pas que des services tels que Gmail, Yahoo Mail ou ProtonMail sont complètement protégés. Si un attaquant veut mener une attaque réussie, il peut gagner la réputation du domaine et ainsi contourner les mesures de sécurité.

Voici comment vous pouvez fournir ce risque d’usurpation de domaine dans vos engagements de piratage éthique.

Vous pouvez facilement vérifier la politique DMARC d’un domaine avec la commande suivante :

dig _dmarc.domain txt +short

rua=mailto:[email protected]

Cette partie indique au serveur de réception où envoyer les rapports agrégés des échecs DMARC. Des rapports DMARC agrégés sont envoyés quotidiennement à l’administrateur du domaine auquel appartient l’enregistrement.

Comment exploiter une mauvaise configuration DMARC

Le processus d’exploitation est assez simple. 

Nous allons mettre en place un VPS (Virtual Private Server) et un domaine. Nous allons télécharger un outil sur le serveur VPS et le connecter au nouveau domaine. Enfin, nous enverrons des e-mails à partir du domaine acheté.

Considérez un scénario où nous avons une boutique pour les pirates éthiques avec le domaine suivant hacking-company.shop .

Tout d’abord, nous devons vérifier quelle politique DMARC est définie .

dig _dmarc.hacking-company.shop txt +short

Comme nous l’avons dit précédemment, la politique none ne fera rien, ce qui signifie qu’elle permettra au courrier d’aller dans la boîte de réception du destinataire.

Génial! Nous avons le scénario parfait pour que l’attaque fonctionne. Continuons en récupérant le domaine et le VPS et en construisant notre attaque.

Obtenir votre domaine

Tout d’abord, nous aurons besoin d’un domaine, afin que nous puissions installer mail-spoofer et envoyer des e-mails en tant que hacking-company.shop. Pour cela, notre domaine dans cet exemple sera bfdsubfuifdsfsd.today.

Pour le nouveau domaine, nous avons utilisé GoDaddy pour plus de simplicité, mais vous pouvez utiliser n’importe quel fournisseur de domaine qui correspond à vos préférences. 

Configuration du domaine

Après avoir acheté le domaine, vous devez remplacer les serveurs de noms par des serveurs de noms personnalisés Cloudflare. 

Dans Cloudflare, vous ajouterez le domaine et accéderez au panneau DNS. Tout ce qui se trouve sous « Gestion DNS » doit être supprimé pour que l’attaque réussisse.

Faites défiler vers le bas et remplacez les serveurs de noms donnés dans le panneau dédié de votre fournisseur de services de domaine. 

Vous devez maintenant obtenir une clé API pour le fichier de configuration pour l’étape suivante. 

Allez sur https://dash.cloudflare.com/profile/api-tokens et cliquez sur Créer un jeton .

Après avoir été redirigé, cliquez sur Use Template juste à côté de Edit zone DNS .

Ensuite, allez dans Zone Resources et sélectionnez votre domaine.

Après avoir suivi toutes les étapes ci-dessus, vous devriez obtenir votre clé API . Veuillez l’enregistrer et ne le partager avec personne d’autre.

Mise en place du VPS

Remarque : Vous devrez peut-être répéter cette étape car les adresses IP VPS peuvent avoir une mauvaise réputation et, par conséquent, les services de messagerie ne livreront pas vos e-mails.

Pour la partie VPS (Virtual Private Server), nous avons utilisé Vultr car ils semblaient avoir la meilleure réputation de blocs IP. 

Heureusement pour nous, le VPS n’a pas besoin de beaucoup de ressources, nous pouvons donc utiliser le moins cher disponible tout en obtenant une instance fonctionnant correctement.

Tout d’abord, lorsque vous créez le VPS, veillez à définir le nom d’hôte exactement avec votre nom de domaine créé.

Après vous être connecté au VPS, tapez les commandes suivantes :

apt-get install git

apt-get update && apt-get install docker-compose

Ensuite, clonez le référentiel GitHub sur l’instance :

git clone https://github.com/6point6/mail-spoofer

Allez dans le répertoire nouvellement créé.

cd mail-spoofer

Ensuite, vous devrez modifier le fichier de paramètres et ajouter votre domaine et la clé API .

nano settings.env

Remplacez example.com par votre nom de domaine et ajoutez dans le paramètre CLOUDFLARE API KEY la clé API que vous avez enregistrée précédemment.

Après avoir suivi toutes les étapes ci-dessus, tapez docker-compose up et attendez patiemment environ 7 à 10 minutes pour que votre serveur Web soit opérationnel.

Envoi de l’e-mail de phishing

La dernière étape que vous devez faire est d’envoyer l’e-mail à la victime.

Accédez à votre IP VPS au port 3333 dans le navigateur et connectez-vous avec les informations d’identification par défaut : 

• utilisateur : administrateur
• mot de passe : gophish

Allez dans l’onglet Profils d’envoi et cliquez sur créer un profil.

Remplacez les entrées fournies par les informations nécessaires. Dans notre scénario, nous les remplirons comme suit : 

Nom : Essai

De :

Hôte : suffixe : 25

Après tout cela, remplissez l’e-mail du destinataire et envoyez-le. Sachez que les e-mails atteindront la cible dans environ 5 minutes.

Prévenir les risques de sécurité des e-mails DMARC

Génial! Vous avez appris comment exploiter une mauvaise configuration DMARC fonctionne en pratique et combien il est facile de configurer un serveur pour le faire. 

Il est maintenant impératif de comprendre le processus d’analyse des e-mails si vous souhaitez vous protéger et rédiger des rapports de pentest convaincants pour vos collègues ou clients. 

Les en-têtes d’e-mail incluent les détails techniques de l’e-mail tels que l’expéditeur, le destinataire, le chemin, l’adresse de retour et les pièces jointes. 

Habituellement, ces détails sont suffisants pour déterminer s’il y a quelque chose de suspect/anormal dans l’e-mail et décider d’autres actions sur l’e-mail. Ce processus peut être effectué manuellement et à l’aide d’outils.

Comment analyser un e-mail potentiellement malveillant

Changeons de perspective et voyons comment nous pouvons identifier, en tant que victime, si nous avons reçu un e-mail de phishing. 

L’e-mail semble provenir de notre domaine de hacking-shop, mais s’agit-il vraiment d’un e-mail du PDG nous demandant de réinitialiser le mot de passe ?

Il s’agit d’un e-mail usurpé, mais, en réalité, vous ne pouvez pas le dire car l’e-mail est envoyé comme le ferait le propriétaire légitime.

Si nous cliquons sur afficher le message brut , nous pouvons vérifier s’il s’agit d’un e-mail de phishing en regardant les en-têtes. Vérifiez l’image ci-dessous et essayez de comprendre comment vous pouvez détecter la fuite.

Il est facile de voir le domaine d’où provient l’e-mail en vérifiant la section Reçu de . Cette section nous indique la source du domaine de messagerie.

Si le nom de domaine de l’e-mail ne correspond pas à celui de la section Reçu, vous devez l’ignorer (ou l’analyser comme un pirate informatique curieux).

Des statistiques qui montrent pourquoi DMARC est important

• À l’ échelle mondiale, 96 % des attaques de phishing arrivent par e-mail [ source ]
• Le secteur financier est le plus visé par ce type d’attaques [ source ].

Nos propres recherches montrent que :

• 44% des 50 premières entreprises Fortune sont vulnérables à l’usurpation d’e-mails décrite précédemment
• 10 banques sur 13 en Roumanie sont vulnérables à l’usurpation d’email DMARC causée par des erreurs de configuration (76,92%).

Dernières pensées

En tant que pentester, il est important de signaler les erreurs de configuration DMARC car cela représente une grande menace pour une organisation.

Après avoir lu l’article, vous devriez maintenant comprendre les risques d’une politique DMARC mal configurée dans la nature et pourquoi il est important d’utiliser correctement DMARC. Par exemple, un groupe APT peut commencer par une campagne de phishing pour pénétrer dans le réseau interne d’une entreprise et déployer facilement un ransomware ou détruire ses actifs et sa réputation. 

En publiant une politique DMARC et en surveillant son utilisation, les organisations peuvent réduire considérablement le risque d’être ciblées par des attaques par e-mail et contribuer à protéger leur marque et leur réputation.

Dans l’ensemble, la mise en œuvre de DMARC est une étape importante que les organisations doivent franchir si elles veulent vraiment se protéger et protéger leurs utilisateurs contre les attaques par usurpation d’e-mails.