search

🛡️Protection phishing

La défense contre le phishing ne repose pas sur un seul mécanisme magique, mais sur plusieurs couches complémentaires : configuration du domaine (SPF, DKIM, DMARC), filtrage des e-mails et des pièces jointes, sandboxing, sensibilisation des utilisateurs, et un processus de réponse rapide en cas d’incident.

hashtag
Marquage des e-mails externes (Marking External Emails)

Une mesure simple mais très efficace consiste à marquer systématiquement tous les e-mails provenant de l’extérieur de l’organisation.

Par exemple, on peut configurer la passerelle de messagerie pour ajouter un préfixe au sujet de chaque message externe :

  • [EXTERNAL] Sujet de l’e-mail

  • [EXT] Sujet de l’e-mail

Ce marquage permet aux utilisateurs de voir immédiatement qu’un message ne vient pas d’un collègue ou d’un système interne, même si l’expéditeur est usurpé. C’est particulièrement utile pour les attaques d’impersonation (faux dirigeant, faux fournisseur, etc.) : si l’utilisateur voit un faux “Directeur Général” mais avec [EXTERNAL] devant, il a déjà un signal d’alerte.

hashtag
Technologies de sécurité e-mail : SPF, DKIM, DMARC

Trois types d’enregistrements DNS peuvent être utilisés ensemble pour renforcer la sécurité des e-mails d’un domaine :

  • SPF (Sender Policy Framework)

  • DKIM (DomainKeys Identified Mail)

  • DMARC (Domain-based Message Authentication, Reporting and Conformance)

Ces mécanismes ne bloquent pas tout le phishing, mais ils rendent beaucoup plus difficile l’usurpation de ton domaine.

hashtag
1. SPF – Sender Policy Framework

Un enregistrement SPF est un enregistrement DNS (type TXT) qui indique quels serveurs ont le droit d’envoyer des e-mails pour ton domaine.

  • But : empêcher qu’un attaquant envoie un e-mail avec un From: @tondomaine.fr depuis n’importe quel serveur Internet.

  • L’enregistrement SPF liste les IP ou noms d’hôtes autorisés et se termine par une règle d’application (softfail, fail, etc.).

Syntaxe de base :

Exemple simplifié :

Ici, on autorise une IP spécifique + les serveurs Google, et on indique que tout le reste doit échouer (-all).

hashtag
2. DKIM – DomainKeys Identified Mail

DKIM ajoute une signature cryptographique aux e-mails sortants pour garantir

  • que l’e-mail a bien été envoyé par un serveur autorisé du domaine

  • que le contenu du message n’a pas été modifié en transit.

Fonctionnement simplifié :

  1. Le serveur d’envoi calcule un hachage du contenu du message et le signe avec une clé privée.

  2. La signature est ajoutée dans l’en-tête (DKIM-Signature:).

  3. Le serveur receveur récupère la clé publique dans le DNS du domaine (selector._domainkey.domaine.fr).

  4. Il vérifie que la signature correspond au contenu reçu → intégrité + authenticité.

Syntaxe de base dans le DNS :

Grâce à DKIM, il devient beaucoup plus difficile pour un attaquant de modifier le contenu d’un e-mail sans que cela soit détecté.

hashtag
3. DMARC – Policy, reporting et cohérence SPF/DKIM

DMARC vient se placer au-dessus de SPF et DKIM :

  • il définit ce qu’un serveur receveur doit faire si un e-mail échoue aux vérifications SPF et/ou DKIM

  • il permet aussi au propriétaire du domaine de recevoir des rapports sur les e-mails envoyés au nom de son domaine.

Un enregistrement DMARC permet de choisir une politique :

  • none : observer, mais ne pas bloquer

  • quarantine : mettre en quarantaine (souvent en spam)

  • reject : refuser le message.

Syntaxe de base :

Exemple :

DMARC s’appuie sur SPF et DKIM, mais ajoute une politique claire et un retour d’information via les rapports, ce qui est crucial pour durcir progressivement la configuration.

hashtag
Filtres anti-spam

Les filtres anti-spam sont la première barrière automatique entre Internet et les boîtes aux lettres internes. On peut les classer selon ils sont déployés et comment ils détectent le spam.

1. Où sont installés les filtres ?

  • Filtres anti-spam de passerelle (Gateway) Placés derrière le pare-feu, sur le réseau de l’entreprise. Souvent utilisés dans les grandes organisations (ex : passerelles Barracuda, appliances dédiées).

  • Filtres anti-spam hébergés (Cloud / Hosted) Solutions dans le cloud, en mode service (ex : SpamTitan, filtrage O365, etc.). Avantage : mises à jour rapides, peu d’infrastructure à gérer en interne.

  • Filtres anti-spam de poste (Desktop) Logiciels installés sur le poste utilisateur (souvent SOHO / petites structures). Inconvénients : qualité variable, parfois des “freeware” peu maîtrisés, difficulté à centraliser la politique de sécurité et la supervision.

2. Comment détectent-ils le spam ?

  • Filtres de contenu Analysent l’en-tête et le corps du message :

    • comparaison avec des listes noires (blacklists) ;

    • détection de mots-clés (contenu adulte, escroqueries, phishing…) ;

    • scoring basé sur la structure, les liens, les pièces jointes, etc.

  • Filtres basés sur des règles (rule-based) Utilisent des règles prédéfinies ou personnalisées. Exemple :

    Si l’objet contient “OFFRE GRATUITE” ET que l’expéditeur vient de l’extérieur ALORS augmenter fortement le score de spam.

    C’est le principe des règles de flux de courrier dans Exchange / M365, par exemple.

  • Filtres bayésiens / apprentissage S’appuient sur des techniques de type machine learning :

    • l’utilisateur marque certains messages comme spam / non spam ;

    • le filtre apprend les caractéristiques (mots, structures, expéditeurs, etc.) ;

    • il adapte son comportement au fil du temps.

    Ces filtres peuvent être très efficaces, mais demandent souvent un volume suffisant de messages pour apprendre correctement.

hashtag
Filtrage des pièces jointes

Les pièces jointes sont un vecteur majeur pour :

  • la distribution de malwares,

  • les ransomwares,

  • les trojans bancaires, etc.

Deux questions à se poser :

  1. Quels types de fichiers sont fréquemment utilisés à des fins malveillantes ?

  2. Les utilisateurs ont-ils réellement besoin de recevoir ce type de fichier par e-mail ?

1. Types de fichiers souvent malveillants

Exemples de formats très sensibles (à bloquer ou restreindre fortement) :

  • .exe : exécutable Windows

  • .vbs : script Visual Basic

  • .js : JavaScript

  • .iso : image ISO (souvent utilisée pour embarquer des exécutables)

  • .bat : script batch Windows

  • .ps / .ps1 : scripts PowerShell

  • .htm / .html : pages web (potentiel de contenu actif)

2. Formats légitimes mais risqués

Formats couramment utilisés en entreprise, mais pouvant aussi servir de vecteur :

  • .zip : archives (qui peuvent contenir n’importe quoi)

  • .doc / .docx / .docm : documents Word (macros possibles)

  • .pdf : documents PDF (exploits PDF connus)

  • .xls / .xlsx / .xlsm : feuilles Excel (macros possibles)

L’objectif est de définir une politique claire :

  • ce qui est bloqué par défaut ;

  • ce qui est autorisé mais surveillé / sandboxé ;

  • ce qui est autorisé sans restriction (si réellement nécessaire).

hashtag
Sandboxing des pièces jointes

Le sandboxing consiste à exécuter une pièce jointe dans un environnement virtuel isolé pour observer son comportement :

  1. La passerelle extrait la pièce jointe d’un e-mail suspect.

  2. La pièce est exécutée dans une VM ou sandbox dédiée.

  3. On surveille :

    • les processus créés ;

    • les fichiers modifiés ;

    • les connexions réseau (tentatives vers un C2, téléchargements supplémentaires, etc.).

Si des comportements malveillants sont observés, la pièce jointe est classée comme malware et l’e-mail ne sera pas délivré à l’utilisateur.

Les solutions avancées de sandboxing proposent souvent :

  • des modèles d’apprentissage automatique alimentés par des millions d’échantillons ;

  • des environnements virtuels adaptatifs (pour s’adapter aux nouvelles techniques d’évasion) ;

  • des rapports détaillés pour les équipes de sécurité, permettant d’enrichir les IOC et de renforcer les défenses (SIEM, EDR, règles proxy, etc.).

hashtag
Formation et sensibilisation

Même avec les meilleurs outils, un utilisateur qui clique sur tout reste un point faible. La sensibilisation est donc une mesure défensive centrale.

  • Lors de l’onboarding (arrivée d’un nouvel employé), une formation doit expliquer :

    • comment reconnaître un e-mail de phishing ;

    • les réflexes à adopter (ne pas cliquer, ne pas répondre, signaler au SOC / équipe sécurité).

Les critères de base pour repérer un e-mail suspect :

  • expéditeur inconnu ou incohérent ;

  • fautes de grammaire/orthographe, style approximatif ;

  • ton alarmiste, urgence, menace de sanctions ;

  • incitation forte à cliquer sur un lien ou ouvrir une pièce jointe ;

  • URL suspectes, pièces jointes inattendues.

Attaques de phishing simulées

Des campagnes de phishing simulées doivent être organisées régulièrement (tous les quelques mois) :

  • pour tester le niveau de vigilance des employés ;

  • pour identifier les personnes / services les plus vulnérables ;

  • pour déclencher des formations complémentaires ciblées.

Il existe de nombreuses plateformes pour cela (solutions commerciales ou open source), que tu peux citer dans une liste de références.

hashtag
Processus de réponse immédiate

Quand un e-mail malveillant est livré à des boîtes aux lettres internes, il faut une réponse rapide et structurée :

  1. Récupérer une copie originale de l’e-mail (format .eml / .msg).

  2. Collecter les artefacts : expéditeur, IP d’envoi, domaine, URL, pièces jointes, hash, etc.

  3. Identifier et informer tous les destinataires qui ont reçu le message.

  4. Analyser les artefacts malveillants pour extraire des IOC réutilisables.

  5. Prendre des mesures défensives (blocages e-mail, web, fichiers, sensibilisation ciblée).

  6. Documenter l’enquête dans un rapport (traçabilité, preuve, amélioration continue).

Ce processus peut être formalisé dans une procédure SOC ou un playbook IR.

hashtag
Blocage des artefacts (Email / Web / Fichiers)

Enfin, la mise en place de contre-mesures passe par le blocage des artefacts identifiés.

1. Artefacts e-mail

  • Expéditeur (adresse complète)

    • Bloquer les e-mails entrants depuis mailbox@domaine[.]com.

    • Optionnellement, empêcher aussi les e-mails sortants vers cet expéditeur (pour éviter les réponses vers l’attaquant).

  • Domaine d’expéditeur (@domaine)

    • Bloquer tout e-mail provenant d’un domaine dédié au phishing.

    • Attention : on évite de bloquer des domaines globaux légitimes (@gmail[.]com, @outlook[.]com) sauf cas très particulier.

  • IP du serveur d’envoi

    • Blocage très impactant : peut toucher de nombreux domaines / services légitimes.

    • À n’utiliser que de manière exceptionnelle, après analyse.

  • Ligne d’objet

    • Les campagnes de phishing utilisent souvent une même ligne d’objet ou des variantes proches.

    • Bloquer une ligne d’objet très spécifique (et peu probable dans un contexte légitime) est souvent une bonne option, avec peu de risque métier.

2. Artefacts web

  • Proxy Web – blocage d’URL / de domaine

    • Blocage d’une URL précise (fine) ou d’un domaine entier (plus large) sur le proxy.

  • DNS Blackholing

    • Pour certains domaines malveillants, on peut renvoyer l’IP vers une adresse “trou noir” (sinkhole), empêchant toute résolution valide.

  • Firewall

    • Blocage au niveau firewall (IP / ports) : mesure plus lourde, réservée aux cas où l’IP est clairement dédiée à l’attaque.

3. Artefacts fichiers

  • Blocage par hash

    • Blocage des fichiers malveillants via leur hash SHA256 sur la passerelle e-mail, l’EDR, etc.

    • Permet de stopper ce fichier précis, où qu’il soit vu.

  • Blocage par type de fichier

    • Selon la politique de l’entreprise, certains types de fichiers peuvent être bloqués ou sandboxés systématiquement (exécutables, scripts, archives suspectes, etc.).

PrécédentPhishing / Ingénierie sociale

Mis à jour