DMARC, le protocole d'authentification des e-mails a 10 ans : à quel point est-il répandu aujourd'hui ?

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 31 janvier 2022 à 15h31

Créé pour combattre les spam, phishing et autres fraudes par e-mail, le protocole DMARC, qui fête ses 10 ans, assure une vraie protection contre l'usurpation de noms de domaine.

Il y a dix ans désormais, le 30 janvier 2012, des acteurs du numérique s'étaient réunis pour offrir une portée digne de ce nom au protocole DMARC, alors adopté pour détecter et empêcher l'usurpation d'identité. Le Domain-based Message Authentification Reporting and Conformance reste, une décennie plus tard, l'une des armes les plus efficaces pour se prémunir contre les différentes attaques basées sur le courrier électronique. Son adoption s'est même accélérée en France ces dernières années.

Le protocole DMARC, une protection contre l'usurpation des e-mails efficace mais qui ne freine pas suffisamment la propagation des cyberattaques

Le DMARC est donc un protocole ouvert d'authentification de courrier électronique qui vise à empêcher un hacker d'usurper l'identité d'une organisation et de son domaine, en écartant purement et simplement des messages qui ne seraient pas authentifiés. Il s'agit encore à ce jour de l'unique technologie massivement déployée permettant de rendre l'en-tête d'un e-mail fiable.

Les exemples d'utilisation du DMARC ne manquent pas. Le protocole combat l'usurpation de domaine (lorsqu'un cybercriminel usurpe le domaine d'une entreprise pour faire croire que l'e-mail est légitime), l'usurpation d'adresse électronique, l'e-mail d'imposteur, le courriel de phishing, le hameçonnage de consommateur, l'usurpation de partenaire, l'escroquerie par e-mail et le Business email compromise (BEC), qui consiste en un courrier électronique semblant provenir d'un collaborateur de haut niveau d'une entreprise ou d'une société, et qui demande à son destinataire de lui envoyer de l'argent ou des informations sensibles (une technique souvent utilisée dans le cadre de l'ingénierie sociale).

Malgré l'adoption et l'efficacité du protocole, l'e-mail demeure le vecteur majeur de propagation de cyberattaques dans le monde, avec plus de 9 menaces sur 10 initiées par la messagerie. Chaque mois, des centaines de marques restent détournées par des hameçonneurs.

Une pédagogie nécessaire, pour exploiter au mieux les propriétés du protocole DMARC

Ces quatre dernières années, l'adoption du protocole DMARC s'est accélérée en France. De plus en plus de RSSI font adopter le standard, et en janvier 2022, ce sont pas moins de 30 entreprises du CAC40 qui ont un enregistrement DMARC. Elles n'étaient que 23 en 2020, 18 en 2019. Lorsque nous parlons d'un « enregistrement », il s'agit de la procédure effectuée par le propriétaire du domaine, qui peut publier un enregistrement DMARC dans le système de noms de domaine (DNS), pour ensuite créer une politique expliquant aux destinataires ce qu'ils ont à faire dans le cas où ils reçoivent un e-mail dont l'authentification échoue.

Et pourtant, derrière cet enthousiasme certain, il y a une réalité qui ne trompe pas. Car sur les 31 entreprises du CAC40 ayant un enregistrement DMARC, elles ne sont que six à bloquer de façon proactive les emails frauduleux et à être donc conformes au protocole DMARC, nous indique Proofpoint. Il existe par ailleurs un vrai décalage aussi entre les secteurs privé et public. Cinq ministères français sur 14 ont mis en œuvre DMARC. Avouons que c'est bien peu.

Du côté français toujours, l'Agence nationale de la sécurité des systèmes d'information (ANSSI), encourage fortement l'adoption du protocole DMARC. De même, le gouvernement propose un outil de diagnostic d'un domaine (par exemple gmail.com) dont il est bon de se servir notamment dans le monde professionnel. « Sans DMARC, les cybercriminels disposent d'un outil puissant pour inciter les employés à commettre une erreur et donner des informations confidentielles qui peuvent avoir de graves conséquences », explique Loïc Guézo, directeur stratégie cybersécurité EMEA chez Proofpoint.

Le standard DMARC est aujourd'hui complété par le BIMI (Brand Indicators for Message Identification), qui facilite l'identification de l'expéditeur d'un courrier électronique. BIMI possède la particularité de n'être ouvert qu'aux noms de domaine protégés par DMARC, et vient renforcer le protocole d'authentification au global.

^{_{Source : Proofpoint}}

A découvrir

Les meilleures boîtes mail gratuites en 2024

31 octobre 2024 à 11h43

Comparatifs services

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Messagerie mail

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (5)

xryl

La réalité, c’est que lorsque l’on consulte la majorité des entrée DNS des « grands » sites web, beh le DMARC, c’est principalement « gmail a le droit d’envoyer nos emails ».
Ce qui signifie, au final, que la majorité de ces boites font transiter tous leurs messages par un serveur américain qui peut lire tous leurs courriers (et ne me parlez pas de cryptage, type SMIME ou PGP).

Le pire, c’est que les prestataires qui font une vérification DMARC/SPF, du coup, ils ont tendance à monter le niveau de suspicion d’un email qui respecte DMARC (oui, je sais, c’est le monde à l’envers, vu que les spammeurs configurent leur serveurs mail correctement, eux, leur DMARC est nickel et passe pas par googlemail). Au final, pour en citer qu’un, Free.fr, avec un mail qui arrive d’un serveur DMARC/SPF/DKIM nickel, il passe souvent en spam alors que le même mail qui provient de gmail (DMAC/SPF/DKIM), lui n’est pas flaggé spam. Et vu que Free rejette les mails sans laisser une trace au client, beaucoup de mails légitimes sont complètement virés sans que les clients n’en soient informés. (Err 550: Spam detected)

Bref, c’est l’enfer pavé de bonnes intentions, comme on dit.

sirifa

Configurer un serveur mail est un enfer !
Il faut rentrer dans les withlist de spam, comme ca même si mal configuré on s’en tape.
J’ai un serveur perso et Free c’est vraiment de branque ils savent faire du reverse DNS uniquement sur les adresses en ADSL IPV4. Depuis que je suis passer en fibre (et IPV6) ca marche plus. Résultat je me suis fait black list par pas mal de list de spam, sauf Gmail.
Et je ne fait pas les DMARC/SPF/DKIM nikel parce que c’est relou !
Free n’est décidément pas tant technique que cela…

nemo2023

Bhen non c’est vraiment simple à faire 10 minutes max.
Pour l’ensemble DMARC/SPF/DKIM

Maintenant quand on gère son email, oui c’est relou car cela demande du travail et personne ne le sait. Toutes les entreprises pensent bhen quoi ça marche …

talex

le champ spf n’est pas suffisant?

anthony_don

SPF n’est pas suffisant, il faut ajouter DKIM et DMARC pour authentifier correctement et filtrer ce qui est suspect : solidnames.info/email-securise-anti-spoofing-avec-spf-dkim-et-dmarc pour un schéma exhaustif.