Les cybercriminels qui ne connaissent pas votre nom d’utilisateur et votre mot de passe ne peuvent pas accéder au backend de votre site. Ils ont cependant trouvé des moyens d’obtenir les informations dont ils ont besoin, par exemple via des campagnes d’hameçonnage. À quoi ressemblent ces dernières ?
« Votre CMS nécessite un changement de mot de passe. Connectez-vous pour le changer immédiatement. » Ces appels à une action rapide font parfois partie de campagnes d’hameçonnage. Lorsque les administrateurs d’un site web divulguent leurs identifiants de connexion, les cybercriminels sont en mesure de prendre le contrôle du site. « Les pirates informatiques exploitent nos émotions humaines telles que notre tendance à agir de façon spontanée. Si vous voulez minimiser les risques liés au piratage de votre site web, vous devez miser sur la formation des collaborateurs, » suggère Martin Cambal, Global Web Development Manager chez ESET. « Lancez par exemple une fausse campagne d’hameçonnage pour détecter si vos employés sont en mesure d’identifier correctement les risques. Formez ensuite ceux qui sont tombés dans le piège en les éduquant aux techniques d’hameçonnage. Les PME peuvent externaliser la formation de leurs collaborateurs. »
Les employés devraient prêter attention à l’orthographe : par exemple si l’email a été envoyé à partir du domaine exemples.com au lieu de exemple.com. « Il faut également se méfier du caractère d’urgence. Un attaquant se faisant passer pour le prestataire de votre système de gestion de contenu peut vous demander de télécharger une mise à jour de sécurité apparemment urgente. Mais une fois le téléchargement effectué, votre appareil peut être infecté par un malware, » ajoute M. Cambal.
Les attaquants peuvent essayer d’analyser votre site web à l’aide d’outils automatisés de recherche de vulnérabilités. C’est pourquoi vous devez cacher les aspects permettant l’identification de votre système. Vous devez par exemple faire en sorte que les attaquants ne sachent pas quel système de gestion de contenu (CMS) est utilisé. « Les éléments du CMS peuvent être cachés et le code source édité de manière à ce que les cybercriminels ne puissent pas déterminer la plateforme que vous utilisez, » explique M. Cambal.
Comment le domaine de votre entreprise peut-il être utilisé à des fins d’hameçonnage et de spam ?
Les cybercriminels peuvent également utiliser le domaine de votre entreprise pour des campagnes d’hameçonnage et de spam. C’est là que la mise en œuvre d’un système de validation d’emails (SPF, Sender Policy Framework) s’avère utile. « Créez des enregistrements SPF bien conçus qui répertorient les adresses IP autorisées à envoyer des emails via le domaine de votre site web. Sans de tels enregistrements en place, n’importe qui peut envoyer un email via votre nom de domaine. L’autorisation d’un ensemble d’adresses IP de confiance devrait être l’une des mesures de base de la sécurité de la messagerie, » estime M. Cambal. En somme, la gestion des enregistrements de votre système de nom de domaine (DNS) et leur accès est essentielle, car c’est ce qui permet une configuration plus sûre de la messagerie, par exemple pour permettre l’utilisation autorisée de votre domaine pour l’envoi d’emails et permettre la création de sous-domaines.
La responsabilité de vérifier l’utilisation des domaines incombe au serveur de messagerie destinataire. « Si le serveur découvre que l’email a été envoyé à partir d’une adresse IP qui n’est pas répertoriée dans les enregistrements SPF du domaine figurant dans l’adresse de retour de l’enveloppe, il peut décider d’en refuser la transmission, » explique M. Cambal. « De nombreux administrateurs informatiques oublient que les noms de domaine peuvent également être utilisés à mauvais escient par des concurrents. Imaginez qu’une entreprise rivale envoie des emails nuisibles via le domaine de votre société. Dans de telles situations, la réputation de votre entreprise est en jeu. » Mais si le serveur destinataire estime que l’adresse IP de l’expéditeur n’est pas autorisée, il peut la traiter comme du spam.
En général, il est recommandé aux petites et moyennes entreprises de faire appel à un prestataire de services de messagerie externe pour s’occuper des serveurs de messagerie au lieu de les gérer elles-mêmes. « L’externalisation est bénéfique tant que les communications par email de votre entreprise ne sont pas très confidentielles, » suggère M. Cambal.
Méfiez-vous des envois d’emails en volume et surveillez l’utilisation de votre domaine
Pourquoi les messages envoyés par le serveur de messagerie de votre entreprise atterrissent parfois dans les dossiers de spam, alors qu’ils ont été créés par vous et non par un acteur malveillant ? « Lorsqu’un grand nombre d’emails sont envoyés depuis une adresse IP en peu de temps et qu’un utilisateur les signale comme du spam, le serveur de messagerie peut pénaliser le domaine de messagerie et placer le message dans le dossier de spam ou ne pas le livrer du tout, » explique M. Cambal.
De nombreuses entreprises utilisent également un seul domaine pour toutes les communications par email, y compris les bulletins d’information. Une meilleure solution consiste à séparer les communications par email de type « un à un » des communications de type « un à plusieurs », par exemple en utilisant un sous-domaine comme merci.exemple.com pour les conversations transactionnelles au lieu de exemple.com. « De cette façon, si un domaine est bloqué, vous pouvez en utiliser d’autres,» précise M. Cambal.
Comment pouvez-vous déterminer si le domaine de messagerie de votre entreprise a été utilisé à mauvais escient ? Si le reporting DMARC est activé et qu’un attaquant envoie un message via votre domaine, vous devriez en être informé par le serveur de messagerie entrant. Cela vous permet de contrôler l’efficacité de votre configuration SPF et de vous informer éventuellement que quelqu’un a essayé de détourner le domaine de votre entreprise. En faisant cela, vous pouvez protéger la réputation de votre entreprise.