Vous recevez un email d’une adresse free.fr ? PRUDENCE ! Deux semaines après le vol de données de Free, l’opérateur n’a toujours pas sécurisé ses domaines avec une politique DMARC digne de ce nom ! Il va être temps de penser à la sécurisation de vox flux de données.
DMARC pour sécuriser vos flux email : c’est la base
DMARC n’est pas la panacée. Ce n’est pas la solution miracle à l’usurpation d’identité et à la sécurisation de flux d’envoi email. Mais ça rend tout de même le travail bien plus compliqué pour les pirates. Et à ce petit jeu, une semaine après avoir « perdu » les données de 19 millions de clients, on ne peut pas dire que Free ait agi.
Alors on peut le comprendre. Déployer DMARC dans une grande structure ça prend du temps (plein de flux email dans tous les sens). Mettre en place une politique « reject » ne se fait pas au hasard. Mais il y a des étapes intermédiaires qui auraient pu être mises en place dans l’urgence (en vrai, ça fait quelques années que ces actions auraient dû être prises).
Rappelons tout de même que l’écrasante majorité des tentatives d’arnaques utilisant des données volées passent par 3 canaux : appels téléphoniques, SMS et Email. Avec souvent une conjonction des 3 canaux en même temps. Il faut donc sécuriser l’email pour réduire les risques.
Comment sont sécurisés les flux email de Free ? Êtat des lieux.
Faisons le point sur les domaines utilisés par Free et que j’ai vus passer dans ma boîte email ces dernières semaines :
- freetelecom.fr : Utilisé pour la communication sur les abonnements Freebox (et pour envoyer la notification du vol de données)
- free-mobile.fr : Utilisé pour la communication sur les abonnements Free Mobile (et pour envoyer la notification du vol de données)
- news.oqee.net : Utilisé pour la communication des offres TV
- free.fr : Pas utilisé pour des envois d’email (de ce que j’en ai vu), mais domaine de destination de la plupart des liens contenus dans les emails de Free.
Remarque importante, il ne faut pas limiter la sécurisation des domaines à ceux expédiant de manière légitime des emails. Les pirates s’en fichent ! Il faut sécuriser tous les domaines racines et les sous-domaines.
Need help?
Reading content isn't everything. The best way is to talk to us.
Analysons les enregistrements DMARC des domaines présentés ci-dessus :
- freetelecom.fr : Pas d’enregistrement DMARC
- free-mobile.fr :
v=DMARC1; p=none; sp=none; adkim=s; aspf=s; rua=mailto:postmaster@free-mobile.fr; ruf=mailto:postmaster@free-mobile.fr; rf=afrf; pct=100; ri=86400
- news.oqee.net :
v=DMARC1; p=none; rua=mailto:spam-report@oqee.tv; ruf=mailto:spam-report@oqee.tv; fo=1
- oqee.net : Pas d’enregistrement DMARC
- free.fr :
v=DMARC1;p=none;adkim=r;aspf=r;sp=none
Conclusions sur les enregistrements DMARC :
- Aucune politique restrictive (p=) appliquée
- 2 domaines sur 5 sans enregistrements DMARC
- 3 domaines sur 5 sans monitoring DMARC
- Les deux domaines qui possèdent des adresses permettant de recevoir les feedbacks DMARC ne monitorent probablement rien vu la tête des adresses email utilisées.
J’en ai aussi profité pour aller jeter un coup d’œil aux enregistrements SPF, et la conclusion n’est pas plus glorieuse. Aucun SPF registration n’a un qualifier strict (sauf free-mobile.fr), certains domaines ont des listes d’adresses IP autorisées à émettre des emails gigantesques (freetelecom.fr ou free-mobile.fr par exemple). Il faut rationaliser de toute urgence.
Quelles actions prioritaires pour sécuriser les emails de Free ?
Quelles sont les actions prioritaires qui devraient être mises en place par Free :
- Rationaliser l’usage des domaines pouvant légitimement expédier des emails. Bloquer tous les autres avec des politiques DMARC et SPF ultra restrictives.
- Brancher une solution de monitoring DMARC à tous les domaines racines et sous-domaines existants (qu’ils soient connus pour expédier des emails légitimes de Free ou non)
- Mettre en place des politiques DMARC restrictives sur les domaines n’ayant qu’une source d’émission d’email bien identifiée
- Sur le moyen terme, régulariser toutes les sources d’émission d’email légitimes afin de pouvoir déployer une politique DMARC à « reject ».
Et pour ceux qui liraient cette info et n’ont pas l’impression d’avoir réalisé ces tâches, n’attendez pas le premier incident pour vous y mettre ! Prenez contact avec un consultant délivrabilité.