Pourquoi votre antispam/antivirus ne vous protège pas des usurpations ?

En cas d'usurpation de votre identité vous n'avez le contrôle sur rien. Le pirate qui se fait passer pour vous n'utilise généralement pas un de vos serveurs et vous ne contrôlez évidemment pas non plus les serveurs qui reçoivent les courriels frauduleux chez vos correspondants. Vos clients reçoivent des fausses factures, vos collaborateurs reçoivent des fausses instructions et vous êtes impuissant à y mettre fin. Malheureusement l'expérience montre qu'il existe une sorte de cercle vicieux : si vous avez été usurpé vous figurez sur des listes et le serez à nouveau.

Comment ne plus être victime d'usurpation ?

Le seul point depuis lequel vous pouvez et devez agir est votre nom de domaine. Vous devez y déclarer, à l'intention des serveurs de messagerie du monde entier, la conduite à tenir en cas d'usurpation. Vous devez pour cela utiliser les protocoles standards d'authentification car il est fondamental que vos instructions soient comprises universellement. Vous ne pouvez tout de même pas espérer que toutes les personnes qui recevront des messages usurpant votre identité partagent avec vous une même solution propriétaire, n'est ce pas ?

Les étapes de la lutte anti-usurpation

• la première chose à faire est de cartographier toutes vos sources d'émission légitimes à l'aide du protocole DMARC
• vous devez ensuite authentifier correctement toutes ces sources légitimes à l'aide des protocoles SPF et DKIM
• une fois toutes les sources légitimes authentifiées, vous donnerez instruction aux serveurs d'internet de rejeter tous les messages illégitimes.

Est-ce simple ?

C'est très simple en théorie et le restera en pratique si vous avez peu de sources d'émission. Cependant j'ai souvent observé que même des entreprises de taille relativement modeste peuvent avoir de très nombreuses sources légitimes. Le travail d'inventaire et d'authentification peut alors se révéler assez complexe. De plus, on constate souvent que des utilisations approximatives des protocoles par des personnes non entraînées conduisent à des échecs de déploiement de politique d'authentification. Pire, de très nombreux domaines (dont beaucoup appartiennent à des entreprises très connues) possèdent des déclarations erronées qui au lieu de les protéger augmentent leur vulnérabilité et compromettent leur capacité de communication.

Est-ce efficace ?

Votre politique DMARC sera efficace si vos correspondants utilisent des serveurs qui en tiennent compte. C'est souvent le cas et cela le deviendra de plus en plus car les risques liés à l'usurpation sont en pleine expansion et parce que DMARC est la seule solution universellement normalisée. Ce protocole a été conçu spécifiquement pour vous protéger des usurpations, vous auriez tort de ne pas vous y intéresser.

Le protocole DMARC n'est pas seulement la seule façon de protéger votre nom de domaine contre les usurpations, c'est aussi un excellent moyen de surveiller quels serveurs émettent en votre nom, enfin c'est un gage de sérieux et fiabilité de votre entreprise vis à vis de ses clients et partenaires. Pour toutes ces raisons, vous devriez vous en servir.