L’email, un pilier de nos communications numériques, est souvent perçu comme une technologie simple et bien comprise. Pourtant, derrière son apparente simplicité se cache une architecture complexe, régie par des standards qui, bien que pratiques, peuvent être exploités à des fins malveillantes.

Récemment, une recherche menée par l'éditeur de la suite Burp, PortSwigger, intitulée “Splitting the email atom", révèle comment des techniques de manipulation des adresses email peuvent contourner les systèmes de sécurité les plus avancés. Ces attaques, bien que discrètes, représentent un risque majeur pour les entreprises et les personnes.

Qu'est-ce l’atomisation des adresses email ?

Pour comprendre l'atomisation, il faut plonger dans les entrailles de la structure des adresses email. Selon le standard RFC 5322, une adresse email est formée de deux parties principales :

• La partie locale (avant le @), qui peut inclure des points, des guillemets, des caractères spéciaux ou des sous-adresses (ex. : prenom.nom+projet@domaine.com).

• Le domaine (après le @), qui identifie le serveur de messagerie (ex. : domaine.com).

Les attaquants exploitent cette flexibilité syntaxique pour manipuler la manière dont les adresses email sont interprétées par différents systèmes. Voici les techniques utilisées :

1. La variation de la partie locale

Certains fournisseurs de messagerie, comme Gmail, traitent prenom.nom@gmail.com et prenomnom@gmail.com comme la même adresse, alors que d’autres systèmes les interprètent comme différentes. Cela permet aux attaquants :

• De contourner les filtres anti-spam : En envoyant des emails avec des variations de la partie locale, ils évitent ainsi d’être détectés.

• D’usurper une identité : Ils peuvent se faire passer pour un expéditeur légitime en exploitant ces variations.

2. L’utilisation des sous-adresses

Avec le symbole “+” (exemple : prenom.nom+arnaque@domaine.com), il est possible de créer des variations infinies d’une même adresse. Ces sous-adresses peuvent être utilisées :

• Pour contourner les restrictions d’unicité sur les formulaires en ligne.

• Pour piéger les systèmes qui valident uniquement la syntaxe de l’email, mais pas son authenticité.

3. Des collisions inter-systèmes

Certains systèmes traitent les adresses email différemment. Par exemple, un service peut considérer prenom.nom@domaine.com comme valide, tandis qu’un autre va le rejeter. Cela ouvre la porte à des attaques exploitant ces incohérences pour :

• Contourner des mécanismes d’authentification comme SPF, DKIM ou DMARC.

• Créer des conflits d’identité : Une adresse peut être enregistrée avec plusieurs variations sur différentes plateformes, permettant des détournements de compte.

4. La manipulation des domaines

Les attaquants peuvent également jouer sur des domaines ressemblants (ex. : d0maine.com au lieu de domaine.com) pour passer sous le radar des systèmes de détection. Combinée aux techniques ci-dessus, cette approche amplifie leur efficacité.

Quels sont les risques ?

Les techniques d’atomisation des emails ne sont pas de simples curiosités pour chercheurs : elles représentent une menace réelle. Voici les principaux risques associés :

• Vol d’identité : Les variations d’adresses peuvent être utilisées pour usurper l’identité d’un utilisateur ou contourner des vérifications d’authenticité.

• Phishing ciblé : Les filtres anti-spam peuvent être contournés, permettant aux attaquants d’envoyer des emails frauduleux qui paraissent légitimes.

• Détournement de comptes : En exploitant les incohérences entre systèmes, un attaquant peut accéder à des comptes sans déclencher d’alerte.

• Violation des données : Des campagnes de phishing sophistiquées peuvent compromettre des informations sensibles, tant pour les individus que pour les entreprises.

Comment se protéger ?

Face à ces menaces, il est essentiel de renforcer nos pratiques de cybersécurité, tant au niveau individuel que pour les entreprises. Voici quelques mesures clés :

Pour les utilisateurs

1️⃣ Vérifiez toujours l’expéditeur : Même si l’adresse semble familière, examinez-la attentivement pour détecter des variations subtiles.

2️⃣ Méfiez-vous des sous-adresses : Si un email contient un “+” ou des caractères inhabituels, soyez particulièrement vigilant.

3️⃣ Activez l’authentification multi-facteurs (MFA) : Cela réduit les risques en cas de compromission d’un compte.

Pour les entreprises

1️⃣ Renforcez les systèmes de validation : Assurez-vous que vos filtres anti-phishing et anti-spam peuvent détecter les variations d’email.

2️⃣ Testez vos systèmes : Simulez des attaques utilisant ces techniques pour identifier les éventuelles failles.

3️⃣ Adoptez des standards robustes : Implémentez des mécanismes comme le DMARC et surveillez les incohérences entre systèmes.

4️⃣ Sensibilisez vos équipes : La formation des collaborateurs est essentielle pour les aider à identifier et reporter les emails suspects.

Un appel à la vigilance

Le papier de recherche de PortSwigger montre que même les technologies les plus éprouvées peuvent receler des vulnérabilités insoupçonnées. Si ces techniques sont complexes, leur utilisation par des attaquants est simple et redoutable.

Le défi de la cybersécurité n’est pas seulement technique : c’est une question de prise de conscience. En comprenant les risques associés à l’atomisation des emails, nous pouvons mieux nous protéger et anticiper les menaces de demain.

Et vous, quelles actions mettez-vous en place pour sécuriser vos emails ? Partagez vos bonnes pratiques ou vos réflexions en commentaires !

#Cybersécurité #EmailSecurity #Phishing #SécuritéNumérique #PortSwigger