Usurpation en cours de fnac.fr, attaquants : 1, défenseurs : 0
Christophe Dary
I help organisations understand and use email protocols to secure their messaging architecture
Des attaques par phishing du domaine fnac.fr sont en cours. Les attaquants exploitent une vulnérabilité dans la défense de la FNAC : fnac.com est relativement surveillé et protégé mais fnac.fr (qui n'émet normalement aucun courriel) ne fait l'objet d'aucune vigilance. Il n'est pourtant pas moins efficace pour abuser les victimes. Une aubaine pour les attaquants.
L'attaque de fnac.fr
Voici quelques en-têtes de courriels montrant l'attaque. Les emails ciblent systématiquement les adresses postmaster et webmaster des noms de domaines figurant sur la liste de l'attaquant :
en provenance de arubacloud.de
en provenance de arubacloud.fr
en provenance de arubacloud.fr encore
Les courbes d'émission de cette dernière adresse vue par SenderScore sont caractéristiques d'un début d'attaque : quasi muette auparavant, elle s'est mise à émettre brutalement et exclusivement au nom de fnac.fr. Elle fait déjà l'objet de nombreuses plaintes pour spam. A l'opposé, l'adresse postmaster étant (en principe) obligatoirement existante et l'adresse webmaster fréquemment utilisée, le taux d'adresses inconnues est donc faible et le taux de spam traps est nul. L'attaque via cette IP est suffisamment récente pour ne pas encore être bien répertoriée dans les black-lists. Elle franchit, à ce stade, relativement bien les lignes de défense antispam comme le montre son score de réputation de 66/100.
La défense de fnac.fr
Contrairement à fnac.com qui bénéficie d'une protection par le protocole SPF et d'une surveillance par le protocole DMARC, la défense de fnac.fr est totalement inexistante. En quelque sorte, la porte principale est relativement bien cadenassée et surveillée mais la porte de derrière est grande ouverte et sans surveillance.
Pourquoi fnac.fr a-t-il été laissé sans aucune surveillance ni défense ?
Il semble que ce domaine n'émette de façon légitime ni ne reçoive aucun courriel. Les responsables de la sécurité informatique pensent trop souvent qu'ils n'ont pas besoin de protéger ni veiller sur un domaine qui n'émet pas. C'est probablement ce qui s'est passé dans le cas présent. Les équipes de lutte contre l'usurpation ne doivent pas oublier ces deux points :
- les pirates peuvent faire émettre par usurpation n'importe quel domaine,
- les personnes qui reçoivent des attaques par phishing ignorent complètement que fnac.fr n'est pas un domaine d'émission légitime.
Aux yeux du public, une adresse d'expéditeur @fnac.fr n'est pas moins authentique qu'une adresse @fnac.com.
En l'occurrence, la notoriété de l'identité fnac.fr couplée à sa totale absence de protection contre l'usurpation est une aubaine pour les pirates.
Cet exemple doit nous faire réfléchir à une règle élémentaire en matière de lutte contre l'usurpation :
Ce n'est pas le point de vue du propriétaire du nom de domaine qu'il convient d'adopter mais celui des internautes qui seront victimes des attaques par usurpation. Tous les noms de domaines qui appartiennent à une marque et qui produisent un effet d'autorité légitime en son nom doivent de ce point de vue être systématiquement protégés et surveillés.