Donald J.Trump a frappé à plusieurs reprises La sénatrice Hillary Clinton pour la gestion de documents classifiés sur son serveur de messagerie privé, suggérer que quiconque est si laxiste avec la sécurité des e-mails n’est pas apte à devenir président. Mais un examen plus approfondi des sites Web de chaque candidat montre que, contrairement à hillaryclinton.com, donaldjtrump.com n’a pas réussi à tirer pleinement parti d’une technologie de sécurité des e-mails gratuite et ouverte conçue pour contrecarrer les attaques d’usurpation d’e-mails et de phishing.
Il s’agit d’une proposition de norme assez technique appelée DMARC. Abréviation de « rapports et conformité d’authentification de messagerie basée sur le domaine », DMARC tente de résoudre un problème qui afflige les e-mails depuis sa création : il est étonnamment difficile pour les fournisseurs de messagerie et les utilisateurs finaux de dire si un e-mail donné est réel – c’est-à-dire qu’il a été envoyé par la personne ou l’organisation identifiée dans la partie « de : » de la missive.
DMARC n’est peut-être pas encore largement déployé au-delà des principaux fournisseurs de messagerie, mais cela est sur le point de changer. Google annoncé à la fin de l’année dernière qu’il va bientôt déménager gmail.com à une politique de rejet de tous les messages qui ne réussissent pas les vérifications d’authentification énoncées dans la spécification DMARC. Et d’autres vont déjà dans le même sens.
Le moyen le plus simple de comprendre DMARC est probablement de parcourir les enregistrements d’un seul site. Selon la conformité DMARC outil de recherche à dmarcian.com — un site de sensibilisation, de formation et d’assistance DMARC – hillaryclinton.com a entièrement mis en œuvre DMARC. Cela signifie que la campagne a affiché une politique publique qui permet aux fournisseurs de messagerie comme Google, Microsoft et Yahoo pour déterminer rapidement si un message prétendant avoir été envoyé depuis hillaryclinton.com a effectivement été envoyé depuis ce domaine.
Plus précisément, (et c’est là que les choses peuvent rapidement tomber dans un royaume de nerdness Geek Factor 5) DMARC se trouve au-dessus de deux technologies existantes qui tentent de rendre les e-mails faciles à identifier : Cadre de stratégie de l’expéditeur (FPS), et Courrier identifié par DomainKeys (DKIM).
SPF est essentiellement une liste d’adresses Internet et de domaines autorisés à envoyer des e-mails au nom de hillaryclinton.com (au cas où quelqu’un serait intéressé, voici une copie de l’enregistrement SPF pour hillaryclinton.com). DKIM permet aux destinataires d’e-mails de vérifier qu’un élément d’e-mail provient d’un domaine Internet grâce à l’utilisation de la cryptographie à clé publique. Le déploiement des deux technologies donne aux destinataires des e-mails deux façons de déterminer si un e-mail est légitime.
L’enregistrement DMARC du site de Clinton inclut la chaîne de texte « p=quarantine ». Le bit « p » signifie politique et « quarantaine » signifie que les administrateurs du site Web ont demandé aux fournisseurs de messagerie de mettre en quarantaine tous les messages envoyés à partir d’adresses ou de domaines. ne pas sur cette liste et non signés avec DKIM – les consignant effectivement dans le dossier « spam » ou « junk » du destinataire prévu. Une autre option de blocage disponible est « p=reject », qui indique aux fournisseurs de messagerie de supprimer ou de rejeter purement et simplement tout courrier envoyé à partir de domaines ou d’adresses non spécifiés dans les enregistrements SPF de l’organisation et dépourvus de signatures DKIM appropriées.
Tourner l’outil de Dmarcian.com contre donaldjtrump.comnous pouvons voir que bien que le site soit en pensant à propos de l’activation de DMARC, il ne l’a pas encore fait. Les enregistrements DMARC du site sont définis sur la troisième option – « p = aucun » – ce qui signifie que les administrateurs du site n’ont pas encore demandé aux fournisseurs de messagerie de bloquer ou de mettre en quarantaine les messages qui ne correspondent pas aux enregistrements SPF du site. Au lieu de cela, le site demande simplement aux fournisseurs de messagerie de signaler à « [email protected] » la source de tout message électronique prétendant avoir été envoyé par ce domaine.
Fondateur de Dmarcian Tim Draegen a déclaré que ce paramètre « p = aucun » de DMARC est une fonctionnalité de collecte de données conçue pour donner aux organisations une meilleure idée de leur empreinte totale de courrier électronique avant de définir des règles strictes de « rejet » ou de « quarantaine » DMARC.
Pourquoi diable une organisation ne saurait-elle pas d’où vient son e-mail ? Comme cette vidéo Selon Dmarcian, l’une des raisons est que les filtres anti-spam et anti-malware des principaux fournisseurs de messagerie ont essentiellement engendré toute une industrie de la délivrabilité des e-mails qui existe uniquement pour aider les organisations à maintenir leurs e-mails dans les boîtes de réception du monde entier. En conséquence, de nombreuses entreprises s’appuient sur un éventail de fournisseurs tiers pour envoyer des messages en leur nom, mais ces relations commerciales peuvent ne pas être immédiatement évidentes pour les geeks chargés de mettre en place les règles DMARC pour l’organisation.
« DMARC a été conçu pour indiquer : « Tous vos fournisseurs de messagerie… donnez-moi des commentaires sur la façon dont vous voyez nos e-mails reçus », a déclaré Draegen. « Sur la base de ces commentaires, l’organisation peut alors revenir en arrière et identifier et spécifier ses sources légitimes d’e-mails, puis dire aux fournisseurs de messagerie : ‘Hé, si vous recevez un e-mail non couvert par ces sources, rejetez-le ou mettez-le en quarantaine. .”
Quant à savoir pourquoi davantage d’organisations n’ont pas encore déployé DMARC, Draegen a déclaré que les grandes entités ont souvent plusieurs divisions (pensez aux équipes de marketing et de vente) qui peuvent développer leurs propres méthodes pour envoyer leurs messages électroniques. Le problème, c’est que ces divisions ne font pas toujours un excellent travail pour informer les techniciens de ce qu’ils font.
L’option « p=aucun » offre ainsi aux organisations un moyen simple et gratuit de dire aux fournisseurs de messagerie de signaler tout courrier prétendant être envoyé par le domaine en question. Forte de ces informations, l’organisation peut ensuite définir des politiques globales strictes concernant les e-mails à rejeter ou à mettre en quarantaine à l’avenir.
« Cela dépend vraiment de la taille de l’infrastructure ou de la complexité de l’entreprise », a déclaré Draegen. « La partie technique de DMARC est assez simple, mais ce que nous avons tendance à voir dans les grandes entreprises, c’est qu’il y a un domaine qui a traditionnellement été partagé par tout le monde dans l’organisation, et cela implique souvent beaucoup de travail acharné pour trouver toutes les sources légitimes. de courrier électronique pour l’organisation.
Alexandre García-TobarPDG et co-fondateur d’une société de sécurité de messagerie ValimailD’accord.
« La réponse est qu’il est extrêmement difficile de bien faire », a-t-il déclaré, d’identifier toutes les activités légitimes d’envoi d’e-mails d’une entreprise. « La plupart des organisations sont beaucoup plus soucieuses de bloquer la sortie de bonnes choses, jusqu’à ce qu’elles soient hameçonnées. »
Alors, combien de temps faut-il aux organisations pour rassembler suffisamment d’informations avec l’option « p=none » de DMARC afin de créer une politique de « quarantaine » ou de « rejet » efficace (mais pas trop restrictive) ? Pour les grandes organisations, cela peut souvent représenter un processus long et laborieux, a déclaré Draegen. Pour les petites entreprises, telles que les campagnes présidentielles, il ne devrait pas falloir longtemps pour collecter suffisamment de données avec l’option « p = none » de DMARC pour élaborer des règles ciblées qui bloquent les attaques de phishing et d’usurpation d’identité sans mettre en danger les e-mails sortants légitimes.
J’ai demandé à Draegen s’il pensait que la campagne Trump était en quelque sorte abandonnée en n’adoptant pas pleinement le DMARC, étant donné les déclarations du candidat sur le fait que quiconque est laxiste avec la sécurité des e-mails ne mérite pas d’être le prochain commandant en chef des États-Unis. Draegen a admis qu’il « ne supporte pas » Trump, et qu’il a trouvé le scandale des e-mails de Clinton également nauséabond compte tenu de sa longue expérience en tant qu’administrateur de messagerie et des défis liés à la protection d’un serveur de messagerie privé contre des cyber-adversaires déterminés.
Mais Draegen a déclaré que la conformité DMARC est l’un des moyens les plus simples et les moins chers que toute organisation puisse utiliser pour mieux se protéger et protéger ses clients contre les attaques de phishing et de logiciels malveillants par e-mail.
« Si vous allez investir dans des technologies de suivi des clics ou des produits de sécurité d’entreprise de n’importe quelle saveur et que vous n’avez pas encore fait DMARC, vous perdez votre temps », a déclaré Draegen, notant que l’activation de DMARC peut souvent aider les organisations à augmenter la livraison. taux jusqu’à cinq ou dix pour cent. Et pour les campagnes qui n’adoptent pas le DMARC, cela peut signifier que de nombreux appels par e-mail aux électeurs (et, plus important encore, aux donateurs potentiels) ne sont pas livrés.
« Faites d’abord les choses techniques faciles et gratuites, car vous en aurez pour votre argent en déployant DMARC », a-t-il déclaré. « Et si vous êtes candidat à la présidentielle, quelqu’un de votre campagne devrait reconnaître que la première chose que vous faites est d’activer DMARC. »
D’ailleurs, étant donné le nouvelles de dernière minute aujourd’hui sur les pirates russes qui auraient piraté les réseaux au Comité national démocrate (DNC) — prétendument pour faire de M. Trump un candidat plus sympathique – il convient de noter que si hillaryclinton.com tire pleinement parti du DMARC, on ne peut pas en dire autant des sites Web du DNC (dnc.org/democrats.org) ou la Comité national républicain (gop.com/rnc.org).
Lecture complémentaire : dmarc.org.