Ignorer le contenu principal

Qu'est-ce que la contrebande SMTP ?

Image présentant le fonctionnement du protocole SMTP dans un réseau informatique.

La cybersécurité est un paysage dynamique dans lequel les anciennes menaces évoluent et de nouvelles apparaissent. Une menace comme la contrebande SMTP nous rappelle avec force l'importance de rester à jour sur les menaces de la cybermenace et les méthodes de défense contre les cyberattaques. Mais qu'est-ce que la contrebande SMTP et en quoi consiste-t-elle ?

Qu'est-ce que le SMTP ?

Le Simple Mail Transfer Protocol (SMTP) est un protocole de réseau TCP/IP qui facilite la transmission d'emails entre différents ordinateurs et serveurs. L'utilisation de ce protocole est si répandue que les clients de messagerie SMTP comprennent Gmail, Outlook, Yahoo et Apple.

Qu'est-ce que le SMTP dans le domaine des messageries ? Une fois qu'un email est écrit dans un client comme Microsoft Outlook, il est transmis à un serveur SMTP, qui recherche le domaine du destinataire pour trouver le serveur de messagerie approprié auquel transmettre l'email. Si le processus se déroule sans problème, le serveur SMTP du domaine du destinataire traite l'email et délivre le message ou utilise le protocole SMTP pour le faire transiter par un autre réseau avant sa livraison.

Il est important de noter que la capacité d'authentification du protocole SMTP a toujours été limitée. C'est pourquoi l'usurpation d'adresse email est devenue un sujet de préoccupation majeur. Les pirates informatiques pourraient simplement choisir le bon outil (il peut s'agir d'un autre client de messagerie, d'un script ou d'un utilitaire) qui leur permettrait de choisir le nom de l'expéditeur. Ils commettent ensuite des attaques ciblées à l'aide d'emails qui usurpent l'identité d'un expéditeur de confiance et les convainquent d'effectuer une action précise, comme cliquer sur des liens de phishing ou télécharger des fichiers infectés par des programmes malveillants.

Plusieurs mesures de protection ont été conçues pour corriger cette vulnérabilité inhérente (CVE-2023-51766), notamment :

  • Sender Policy Framework (SPF) : Ce système utilise des enregistrements DNS pour indiquer aux serveurs de messagerie destinataires les adresses IP autorisées à envoyer des emails à partir d'un domaine spécifique.
  • Domain Key Identified Mail (DKIM) : Cette méthode utilise une clé privée stockée sur le serveur de l'expéditeur pour signer numériquement les emails sortants, ce qui permet aux serveurs destinataires de valider les expéditeurs à l'aide de la clé publique du serveur d'envoi.
  • Domain-based Message Authentication, Reporting, and Conformance (DMARC) : Ce protocole vérifie le domaine d'envoi de l'email dans l'en-tête « From » par rapport à SPF et/ou DKIM. En cas de non-concordance, la vérification DMARC échoue. Toutefois, ce protocole n'est pas couramment utilisé.

Qu'est-ce qu'un serveur SMTP ?

Dans les réseaux informatiques, un serveur SMTP est un serveur de messagerie qui peut envoyer et recevoir des emails à l'aide du protocole SMTP. En général, ces serveurs utilisent le protocole TCP sur le port 25 ou 587 – les numéros indiquent au serveur les processus particuliers à utiliser pour les messages. Les clients de messagerie se connectent directement au serveur SMTP du fournisseur d'accès pour envoyer un email. Un serveur SMTP exécute plusieurs logiciels différents :

  • Mail Submission Agent (MSA) : Reçoit les messages du client de messagerie
  • Mail Transfer Agent (MTA) : Transfère les emails au serveur suivant le cas échéant. À ce stade, le serveur peut lancer une requête DNS pour l'enregistrement DNS d'échange d'emails (MX) du domaine du destinataire.
  • Mail delivery agent (MDA) : Reçoit les emails pour les stocker dans la boîte de réception du destinataire.

Qu'est-ce que la contrebande SMTP ?

La contrebande SMTP fait référence aux cyberattaques qui usurpent des adresses email afin que leurs messages semblent avoir été envoyés par des sources légitimes. Le but ultime de ces cyberattaques est d'exécuter une forme de phishing et d'encourager la cible à agir en cliquant sur des liens malveillants, en ouvrant des pièces jointes infectées, voire en envoyant des informations sensibles ou de l'argent.

Ces attaques tirent parti des différences entre la manière dont les serveurs de messagerie sortants et entrants traitent les séquences de code de fin de données. L'objectif est de tromper le serveur du destinataire en lui faisant interpréter différemment la fin d'un message à l'aide de commandes SMTP « clandestines », de sorte que l'email apparaisse comme deux messages distincts.

En quoi consiste la contrebande SMTP ?

Pour mener à bien ces attaques, les cybercriminels « font passer clandestinement » des commandes SMTP ambiguës afin de compromettre l'intégrité des communications du serveur de messagerie. Cette méthode s'inspire du fonctionnement des attaques par contrebande de requêtes HTTP. Plus particulièrement, les serveurs SMTP indiquent traditionnellement la fin des données d'un message avec les codes <CR><LF>.<CR><LF> ou \r\n.\r\n. Ceux-ci signifient respectivement « Carriage Return » (retour chariot) et « Line Feed » (saut de ligne) et sont des délimiteurs de texte standard.

En modifiant cette séquence de codes, les pirates peuvent faire comprendre au serveur où se terminent les données du message. S'ils peuvent indiquer au serveur sortant que le message se termine à un moment donné tout en annonçant au serveur entrant que le message se termine plus tard, ils créent une poche permettant d'introduire clandestinement des données supplémentaires.

Normalement, ces emails usurpés font partie d'attaques de phishing ciblées. Les entreprises sont particulièrement vulnérables à la contrebande SMTP, car il peut être plus facile d'usurper leur domaine et d'utiliser l'ingénierie sociale pour créer des emails de phishing ou des attaques de phishing ciblé.

Comment éviter les emails de contrebande SMTP ?

Bien que les fabricants des serveurs de messagerie les plus populaires et les plus connus, comme Postfix, Exim et Sendmail, aient publié des versions et des solutions de contournement pour lutter contre la contrebande, plusieurs autres mesures peuvent être prises pour tenter de minimiser ce risque :

  1. Effectuez des contrôles de sécurité réguliers au sein de l'infrastructure de l'organisation afin de surveiller les vecteurs d'attaque et les vulnérabilités possibles.
  2. Vérifiez le logiciel de routage d'emails utilisé. Si le logiciel est connu pour être vulnérable, installez la dernière version et utilisez des paramètres qui excluent spécifiquement le pipelining non autorisé.
  3. Il est conseillé aux utilisateurs des produits de messagerie de Cisco de mettre à jour manuellement leur configuration par défaut pour « CR and LF Handling » à « Allow », plutôt que « Clean », afin que le serveur n'interprète et ne délivre que les emails avec <CR><LF>.<CR><LF> comme code de séquence de fin de données.
  4. Interdisez les <LF> sans <CR> dans le code.
  5. Déconnectez les clients SMTP distants qui envoient des nouvelles lignes vides.
  6. Mettez en place des formations régulières de sensibilisation à la sécurité pour les employés, qui peuvent inclure, par exemple, la vérification de l'adresse email de l'expéditeur avant de prendre toute autre mesure.

À quoi ressemble une usurpation d'adresse email par SMTP ?

Pour être conscient des dangers liés à la contrebande SMTP, il est utile de comprendre à quoi peut ressembler un email frauduleux. Un email frauduleux peut prendre plusieurs formes :

  1. Usurpation de domaine légitime : Cette pratique consiste simplement à usurper le domaine d'une entreprise en l'insérant dans l'en-tête « From » de l'email. C'est ce à quoi tentent de remédier les méthodes d'authentification SPF, DKM et DMARC. Les entreprises doivent configurer leur système d'authentification de messagerie de manière appropriée afin de minimiser la capacité des attaquants à usurper leur domaine.
  2. Usurpation du nom d'affichage : Dans ce cas, le nom de l'expéditeur, qui apparaît avant l'adresse email dans l'en-tête « From », est usurpé, bien souvent au moyen du nom réel d'un employé de l'entreprise. La plupart des clients de messagerie masquent automatiquement l'adresse email de l'expéditeur et affichent simplement son nom. C'est pourquoi les utilisateurs doivent vérifier l'adresse si l'email semble suspect. Il existe plusieurs formes de ce phénomène, notamment le « Ghost Spoofing » et l'« AD Spoofing ». Kaspersky Secure Mail Gateway (KSMG) offre une protection efficace contre les attaques AD Spoofing en vérifiant l'authenticité de l'expéditeur et en s'assurant que les messages sont conformes aux normes d'authentification de messagerie établies.
  3. Usurpation de domaine : Cette méthode plus compliquée exige que le pirate informatique enregistre un domaine semblable à celui de l'organisation cible et configure l'email, les signatures DKIM/SPF et l'authentification DMARC. Là encore, il existe plusieurs types d'usurpation, dont le « Primary Lookalike » (par exemple, une mauvaise orthographe du domaine d'une entreprise légitime) et l'« Unicode Spoofing » (remplacement d'un caractère ASCII du nom de domaine par un caractère Unicode d'apparence similaire). KSMG peut aider les organisations à se protéger contre l'usurpation de domaine en vérifiant l'identité des expéditeurs et en réduisant le risque d'emails frauduleux.

Kaspersky Endpoint Security a reçu le prix du « Produit de l'année » décerné par AV Comparatives https://www.av-comparatives.org/tests/summary-report-2023/.

Autres articles et liens connexes :

Produits et services connexes :

Qu'est-ce que la contrebande SMTP ?

La contrebande SMTP (ou « SMTP smuggling ») est une menace de cybersécurité apparue ces derniers mois. Découvrez en quoi consiste la menace, son mode de fonctionnement et comment minimiser les menaces qu'elle représente.
Kaspersky logo

Articles connexes