Expert | « Replay attack » : une menace informatique courante qui met en péril vos emails

Publié par Mathieu Bourdin dans Délivrabilité & Réputation, Déontologie & Législation 19 janvier 2021 Temps de lecture : < 1 min

Attaque par rejeu : définition

Une « replay attack » (en anglais) consiste à modifier quelques liens sur le contenu d’un email légitime (en général le CTA principal) afin de procéder à une cyberattaque (piratage de compte, phishing…). En utilisant comme base initiale ces emails, les criminels tentent de tromper les filtres anti-spam mais également les utilisateurs.

Les messages utilisés lors de l’attaque ne sont pas envoyés depuis votre infrastructure classique (ou celle de vos prestataires) mais souvent depuis d’autres boites de messagerie piratées sous le contrôle de la ou les personnes menant cette attaque.

Comment les pirates informatiques font-ils pour récupérer mes emails ?

 Les emails originaux sont le plus souvent récupérés sur des boites de messagerie piratées. En effet en sélectionnant des emailings présents sur les boites de réception d’utilisateurs réels, les pirates savent qu’ils disposent d’un contenu capable de passer sans encombre le filtrage.

Quels sont les impacts d’une cyberattaque sur mon activité emailing ?

Les dégâts potentiels pour votre activité se trouvent sur 2 niveaux :

  • Ces messages vont souvent, et à raison, susciter de nombreuses plaintes et signalements d’utilisateurs (lorsqu’ils ne sont pas envoyés également sur des spamtraps). Ils vont donc très rapidement être repérés par les filtres et FAI (ou blacklistes dans le cas de spamtraps) comme néfastes et méritant un blocage. Malheureusement, il y a un risque que les éléments qui composent votre email légitime (liens, images hébergées, identifiants du footer légal…) soient désormais considérés comme des marqueurs de campagnes à risque et que tous les emails les contenant (y compris vos communications légitimes) soient filtrées. Attendez-vous donc à subir des impacts conséquents sur la réputation de vos envois.
  • Il ne faut pas non plus sous-estimer l’impact sur votre image de marque, surtout auprès d’utilisateurs qui seraient également inscrits sur la base de données de vos envois légitimes. Ces derniers sont plus vulnérables à ces tentatives d’attaque car ils ont une opinion positive de vos envois et de votre marque, et ont donc un niveau de méfiance plus faible. Votre marque, votre identité, seront donc facilement associés par les utilisateurs à un risque, voir à une mauvaise expérience s’ils sont victimes d’une attaque menée à son terme.

Comment puis-je me protéger d’une « Replay Attack » ?

La première étape est d’utiliser les moyens techniques à votre disposition avec la mise en place des authentificateurs SPF et DKIM, si possible complétés par une politique DMARC stricte. Ces éléments vous permettent d’une part d’indiquer les infrastructures autorisées à communiquer au nom de votre marque (SPF) et d’autre part, de vérifier si le contenu d’un message a été modifié entre le moment de son envoi initial et celui où il atteint le destinataire final (DKIM).

Ces deux techniques peuvent donc en grande partie permettre de lutter contre ce type d’attaques. Les envois gérés par vos prestataires spécialisés en envoi d’emailing disposent en général automatiquement de ces protections. Bien sûr, ces protections ne sont totalement efficaces que si les domaines destinataires (FAI, Webmails) les prennent en considération dans leur filtrage. Ce qui n’est malheureusement pas encore le cas de tous. Même si l’adoption de ces normes anti-phishing se généralise de plus en plus, certains ne sont pas encore en mesure de vérifier ces éléments, et restent donc vulnérables.

Il faut avant tout vous protéger d’une « fuite » de vos contenus lorsque ceux-ci sont envoyés à des destinataires piratés. Une population d’internautes particulièrement vulnérable est constituée de boites emails abandonnées par leurs utilisateurs. N’étant plus « monitorées », les personnes mal intentionnées peuvent y accéder et avoir le loisir de les utiliser, à la fois pour collecter les messages originaux qu’ils vont réutiliser pour leurs entreprises néfastes, mais aussi pour procéder à tout ou partie des envois eux-mêmes. Il est donc important de nettoyer régulièrement votre base de données des contacts non réactifs puisqu’en plus d’impacter votre réputation négativement chez les fournisseurs de messagerie qui analysent les réactions de leurs utilisateurs, vous risquez en plus de donner ainsi à des acteurs mal intentionnés des outils qui vont vous nuire.

Enfin, être à l’écoute des internautes est également primordial pour au moins limiter l’impact de ces attaques lorsqu’elles ont lieu. Ils peuvent essayer d’attirer votre attention par des sources variées : emails, twitter, forums de défense des consommateurs… Être capable de garder un œil sur toutes ces sources d’alerte potentielles est toujours utile !

Sur le même sujet...