DMARC, le protocole d'authentification des e-mails a 10 ans : à quel point est-il répandu aujourd'hui ?

Alexandre Boero
Chargé de l'actualité de Clubic
31 janvier 2022 à 15h31
7
© Pixabay
© Pixabay

Créé pour combattre les spam, phishing et autres fraudes par e-mail, le protocole DMARC, qui fête ses 10 ans, assure une vraie protection contre l'usurpation de noms de domaine.

Il y a dix ans désormais, le 30 janvier 2012, des acteurs du numérique s'étaient réunis pour offrir une portée digne de ce nom au protocole DMARC, alors adopté pour détecter et empêcher l'usurpation d'identité. Le Domain-based Message Authentification Reporting and Conformance reste, une décennie plus tard, l'une des armes les plus efficaces pour se prémunir contre les différentes attaques basées sur le courrier électronique. Son adoption s'est même accélérée en France ces dernières années.

Le protocole DMARC, une protection contre l'usurpation des e-mails efficace mais qui ne freine pas suffisamment la propagation des cyberattaques

Le DMARC est donc un protocole ouvert d'authentification de courrier électronique qui vise à empêcher un hacker d'usurper l'identité d'une organisation et de son domaine, en écartant purement et simplement des messages qui ne seraient pas authentifiés. Il s'agit encore à ce jour de l'unique technologie massivement déployée permettant de rendre l'en-tête d'un e-mail fiable.

Les exemples d'utilisation du DMARC ne manquent pas. Le protocole combat l'usurpation de domaine (lorsqu'un cybercriminel usurpe le domaine d'une entreprise pour faire croire que l'e-mail est légitime), l'usurpation d'adresse électronique, l'e-mail d'imposteur, le courriel de phishing, le hameçonnage de consommateur, l'usurpation de partenaire, l'escroquerie par e-mail et le Business email compromise (BEC), qui consiste en un courrier électronique semblant provenir d'un collaborateur de haut niveau d'une entreprise ou d'une société, et qui demande à son destinataire de lui envoyer de l'argent ou des informations sensibles (une technique souvent utilisée dans le cadre de l'ingénierie sociale).

Malgré l'adoption et l'efficacité du protocole, l'e-mail demeure le vecteur majeur de propagation de cyberattaques dans le monde, avec plus de 9 menaces sur 10 initiées par la messagerie. Chaque mois, des centaines de marques restent détournées par des hameçonneurs.

Une pédagogie nécessaire, pour exploiter au mieux les propriétés du protocole DMARC

Ces quatre dernières années, l'adoption du protocole DMARC s'est accélérée en France. De plus en plus de RSSI font adopter le standard, et en janvier 2022, ce sont pas moins de 30 entreprises du CAC40 qui ont un enregistrement DMARC. Elles n'étaient que 23 en 2020, 18 en 2019. Lorsque nous parlons d'un « enregistrement », il s'agit de la procédure effectuée par le propriétaire du domaine, qui peut publier un enregistrement DMARC dans le système de noms de domaine (DNS), pour ensuite créer une politique expliquant aux destinataires ce qu'ils ont à faire dans le cas où ils reçoivent un e-mail dont l'authentification échoue.

Et pourtant, derrière cet enthousiasme certain, il y a une réalité qui ne trompe pas. Car sur les 31 entreprises du CAC40 ayant un enregistrement DMARC, elles ne sont que six à bloquer de façon proactive les emails frauduleux et à être donc conformes au protocole DMARC, nous indique Proofpoint. Il existe par ailleurs un vrai décalage aussi entre les secteurs privé et public. Cinq ministères français sur 14 ont mis en œuvre DMARC. Avouons que c'est bien peu.

© Taryn Elliott / Pexels
© Taryn Elliott / Pexels

Du côté français toujours, l'Agence nationale de la sécurité des systèmes d'information (ANSSI), encourage fortement l'adoption du protocole DMARC. De même, le gouvernement propose un outil de diagnostic d'un domaine (par exemple gmail.com) dont il est bon de se servir notamment dans le monde professionnel. « Sans DMARC, les cybercriminels disposent d'un outil puissant pour inciter les employés à commettre une erreur et donner des informations confidentielles qui peuvent avoir de graves conséquences », explique Loïc Guézo, directeur stratégie cybersécurité EMEA chez Proofpoint.

Le standard DMARC est aujourd'hui complété par le BIMI (Brand Indicators for Message Identification), qui facilite l'identification de l'expéditeur d'un courrier électronique. BIMI possède la particularité de n'être ouvert qu'aux noms de domaine protégés par DMARC, et vient renforcer le protocole d'authentification au global.

Sur le même sujet :
L'Europe veut sa propre infra DNS, en quête d'indépendance face aux géants américains

Source : Proofpoint

Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM, école reconnue par la profession), pour écrire, interviewer, filmer, monter et produire du contenu écrit, audio ou vidéo au quotidien. Quelques atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la production vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et la musique :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (7)

xryl
La réalité, c’est que lorsque l’on consulte la majorité des entrée DNS des «&nbsp;grands&nbsp;» sites web, beh le DMARC, c’est principalement «&nbsp;gmail a le droit d’envoyer nos emails&nbsp;».<br /> Ce qui signifie, au final, que la majorité de ces boites font transiter tous leurs messages par un serveur américain qui peut lire tous leurs courriers (et ne me parlez pas de cryptage, type SMIME ou PGP).<br /> Le pire, c’est que les prestataires qui font une vérification DMARC/SPF, du coup, ils ont tendance à monter le niveau de suspicion d’un email qui respecte DMARC (oui, je sais, c’est le monde à l’envers, vu que les spammeurs configurent leur serveurs mail correctement, eux, leur DMARC est nickel et passe pas par googlemail). Au final, pour en citer qu’un, Free.fr, avec un mail qui arrive d’un serveur DMARC/SPF/DKIM nickel, il passe souvent en spam alors que le même mail qui provient de gmail (DMAC/SPF/DKIM), lui n’est pas flaggé spam. Et vu que Free rejette les mails sans laisser une trace au client, beaucoup de mails légitimes sont complètement virés sans que les clients n’en soient informés. (Err 550: Spam detected)<br /> Bref, c’est l’enfer pavé de bonnes intentions, comme on dit.
sirifa
Configurer un serveur mail est un enfer !<br /> Il faut rentrer dans les withlist de spam, comme ca même si mal configuré on s’en tape.<br /> J’ai un serveur perso et Free c’est vraiment de branque ils savent faire du reverse DNS uniquement sur les adresses en ADSL IPV4. Depuis que je suis passer en fibre (et IPV6) ca marche plus. Résultat je me suis fait black list par pas mal de list de spam, sauf Gmail.<br /> Et je ne fait pas les DMARC/SPF/DKIM nikel parce que c’est relou !<br /> Free n’est décidément pas tant technique que cela…
nemo2023
Bhen non c’est vraiment simple à faire 10 minutes max.<br /> Pour l’ensemble DMARC/SPF/DKIM<br /> Maintenant quand on gère son email, oui c’est relou car cela demande du travail et personne ne le sait. Toutes les entreprises pensent bhen quoi ça marche …
talex
le champ spf n’est pas suffisant?
anthony_don
SPF n’est pas suffisant, il faut ajouter DKIM et DMARC pour authentifier correctement et filtrer ce qui est suspect : solidnames.info/email-securise-anti-spoofing-avec-spf-dkim-et-dmarc pour un schéma exhaustif.
Voir tous les messages sur le forum

Top meilleures messageries

Gmail
Gmail Voir l'offre
Proton Mail
Proton Mail Voir l'offre
Infomaniak Mail
Infomaniak Mail Voir l'offre

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

DMARC, le protocole d'authentification des e-mails a 10 ans : à quel point est-il répandu aujourd'hui ? DMARC, le protocole d'authentification des e-mails a 10 ans : à quel point est-il répandu aujourd'hui ?
L'Europe veut sa propre infra DNS, en quête d'indépendance face aux géants américains L'Europe veut sa propre infra DNS, en quête d'indépendance face aux géants américains
La France reste l'un des rares pays à privilégier (encore) le SMS à l'e-mail ! La France reste l'un des rares pays à privilégier (encore) le SMS à l'e-mail !
Google Domains sort de bêta, mais qu'est-ce que c'est ? Google Domains sort de bêta, mais qu'est-ce que c'est ?
RED by SFR augmente une nouvelle fois ses tarifs de 3 euros, mais il est possible d'y remédier ! RED by SFR augmente une nouvelle fois ses tarifs de 3 euros, mais il est possible d'y remédier !