Protection anti-usurpation de bercy.gouv.fr, un peu de vigilance...

Cinq années après la normalisation du protocole DMARC les domaines en .gouv.fr commencent enfin à l'utiliser comme arme défensive. Notamment bercy.gouv.fr a mis en place (en urgence ?) une politique d'authentification stricte en publiant un enregistrement DMARC en mode p=reject. Il faut les féliciter de protéger ainsi leurs destinataires des nombreuses usurpations dont ils sont victimes, mais aussi les encourager à surveiller comment il se fait que les attaques en cours sur leurs lettres d'information ne sont pas impactées par cette mesure.

Par défaut tous les sous-domaines héritent du niveau de protection du domaine racine, sauf si ceux-ci possèdent une déclaration spécifique. C'est malheureusement le cas du domaine d'envoi de la newsletter de Bercy, si précieuse en ce moment :

[copie d'écran du diagnostic sur mxtoolbox en date du 26/03]

Concrètement, Bercy demande aux serveurs qui reçoivent de faux emails émis en son nom de les rejeter sauf s'ils usurpent précisément le sous-domaine qu'il utilise lui-même pour émettre ses propres newsletters : lettres-infos.bercy.gouv.fr

On en voit la conséquence dans les en têtes des fausses newsletters qui usurpent la vraie adresse d'émetteur habituel :

Traduction : le contrôleur DMARC du serveur de réception (ici Google) voit que l'authentification DMARC a échoué (dmarc=fail), mais que le sous-domaine lettres-infos.bercy.gouv.fr demande explicitement de ne rien faire (p=NONE), il laisse donc passer l'usurpation (dis=NONE).

De plus l'alerte ci-dessous :

montre que personne ne se préoccupe de superviser l'effet de la politique DMARC et notamment de corriger ses erreurs. Concrètement Bercy (ou son prestataire emailing) a confié la supervision du déploiement DMARC à un outil géré hub-score.com mais ce dernier n'a pas déclaré qu'il accepte de recevoir les rapports émis pour le compte de Bercy. Or cette déclaration est absolument nécessaire, en son absence les rapports ne sont pas émis. Il semble que personne ne s'inquiète de ne pas recevoir les rapports qui sont pourtant clés dans la réussite d'un déploiement DMARC.

On peut qualifier les protocoles d'authentification de défenses primaires essentielles car ils agissent (normalement) en amont des anti-spams selon des règles simples, universelles et reproductibles. DMARC apporte une protection systématique contre un type d'attaque précis (l'usurpation exacte du domaine émetteur). Ici nous sommes dans cette circonstance mais la protection est malencontreusement désactivée.

Plus qu'une erreur il s'agit d'une faute d'inattention qui sera j'espère vite réparée. J'encourage les équipes de Bercy à s'assurer qu'ils reçoivent bien les rapports de tous leurs sous-domaines et à en exploiter tout le potentiel. Le protocole DMARC procure une formidable capacité de veille et porte la promesse d'un écosystème email plus sûr, sachons l'utiliser pleinement.