Actu
Sébastien Goutal, Vade Retro : La spécification technique DMARC est-elle la réponse pour lutter contre le phishing ?
août 2013 par Sébastien Goutal, Responsable Filter Lab de Vade Retro
DMARC - qui signifie « Domain-based Message Authentication, Reporting & Conformance » - est une spécification technique dont le but est de standardiser l’authentification des e-mails en se basant sur les technologies déjà existantes DKIM et SPF. DMARC met également en place un mécanisme de reporting qui permet aux domaines émetteurs d’e-mails de superviser plus efficacement leur activité et de protéger ainsi leur réputation. DMARC constitue à ce titre une avancée significative pour la régulation du flux e-mail.
L’une des conséquences attendues du déploiement de DMARC est une diminution importante – voire une disparition - du phishing : cette hypothèse a été très largement médiatisée et a suscité beaucoup d’enthousiasme. Néanmoins, cette hypothèse semble excessive : DMARC constitue sans aucun doute un grand pas en avant, mais son impact sur le phishing sera limité.
DMARC se base sur le nom de domaine de l’adresse de l’expéditeur, qui est précisée dans l’entête « From » de l’e-mail. Si du phishing utilise exactement le même nom de domaine que celui de l’entreprise ciblée, alors on parle d’ « exact-domain phishing » car il y a une égalité stricte entre le domaine usurpé et l’authentique. Le mécanisme de DMARC peut donc s’appliquer et est efficace pour traiter ce genre de menace.
Or, selon les dernières études, l’ « exact-domain phishing » est une pratique en décroissance permanente - maintenant devenue minoritaire - alors que DMARC n’a pas encore été déployé.
Phishing USA : 74% (2010), 62% (2011), 43% (2012)
Phishing GB : 70% (2010), 60% (2011), 52% (2012)
Phishing France : 38% (2010), 19% (2011), 19% (2012)
En outre, on constate qu’en France l’ « exact domain phishing » est une pratique devenue rare. L’explication est d’ordre technologique : le filtrage heuristique est très utilisé et cette technologie s’avère particulièrement efficace pour traiter l’ « exact domain phishing ». En effet, la présence d’un tel domaine dans l’entête « From », corrélée avec d’autres caractéristiques, permet dans une certaine mesure de séparer le bon grain de l’ivraie.
L’efficacité de DMARC pour combattre le phishing est d’ores et déjà grandement compromise par le déclin spectaculaire de « l’exact domain phishing ». En outre, étant donné toute la publicité qui a été faite autour de DMARC, les phishers vont progressivement s’adapter, et il est probable que « l’exact domain phishing » ait disparu d’ici quelques années. DMARC constitue sans aucun doute une avancée significative pour la régulation du flux e-mail, mais son impact sur le phishing sera limité.
A ce jour, il n’existe aucune solution technologique qui peut prétendre, seule, traiter 100 % du phishing de manière définitive. Pour combattre ce fléau un ensemble de technologies et mesures doivent être rassemblées afin de palier à toutes les contre-mesures existantes et futures.
Il est également indispensable d’éduquer les utilisateurs. L’utilisation du protocole HTTPS devrait être systématique dès que des informations sensibles sont échangées, alors que la quasi-totalité du phishing utilise le protocole HTTP. Les utilisateurs devraient donc en avoir pleinement conscience et refuser de soumettre des informations sensibles dès lors qu’un canal non sécurisé est utilisé.
