Adoption du DMARC par les détaillants de la région Asie-Pacifique
Conformément aux tendances mondiales, les attaques de phishing dans la région Asie-Pacifique (APAC) sont incessantes et ont augmenté de manière exponentielle depuis la pandémie. Dans cette optique, nous examinons l'adoption de DMARC dans le secteur de la vente au détail en établissant des statistiques d'adoption pour les 500 premiers domaines de vente au détail de l'APAC, ainsi que pour les 100 premiers domaines de vente au détail de Nouvelle-Zélande et d'Australie, sur la base des revenus estimés.
Comme nous l'avons indiqué dans notre précédente étude sur l'adoption de DMARC, les détaillants ne sont pas à l'abri des cyberattaques ; bien au contraire, ils sont des cibles fréquentes pour les criminels.
Dans son rapport annuel 2023-24 sur les cybermenaces, l'Australian Signals Directorate indique que "la plupart des escroqueries sont liées à des crimes cybernétiques, tels que l'hameçonnage. L'hameçonnage représente 55 % de toutes les pertes et 74 % de tous les rapports. Au total, il y a eu un peu plus de 150 000 rapports avec plus de 33 millions de dollars de pertes."
Parce que les organisations continuent de subir des pertes financières, des atteintes à leur image de marque et une perte de confiance à cause des attaques de phishing, les grands acteurs de l'écosystème du courrier électronique commencent à s'autoréguler. En février 2024, Google et Yahoo ont commencé à appliquer l'exigence DMARC pour les expéditeurs de messages en nombre, qui avait été annoncée en octobre 2023 et qui a entraîné une ruée vers DMARC pour les expéditeurs de messages en nombre.
Statut DMARC des 500 premiers détaillants de la région Asie-Pacifique
Notre recherche sur les domaines révèle que 46 % des 500 premiers domaines de l'APAC ont publié un enregistrement DMARC conforme aux meilleures pratiques, ce qui constitue la première étape de la protection des domaines contre les exploits.
Vingt-quatre pour cent ont avancé leurs politiques DMARC à des niveaux d'application de p=quarantine ou p=reject. Enfin, 76 % des domaines de vente au détail de l'APAC que nous avons étudiés sont sujets au phishing et aux intrusions d'ingénierie sociale parce qu'ils n'ont pas d'enregistrement, qu'ils ont des problèmes avec leur enregistrement ou qu'ils ont une politique p=none , la phase de surveillance DMARC qui allume les lumières pour que vous puissiez voir qui envoie des courriels à partir de vos domaines, mais qui n'offre aucune protection.
Les détaillants sont très dépendants du marketing par courrier électronique. Il est souvent question de "réputation" en relation avec les scores de spam, mais pas dans le contexte de la réputation de votre "marque". Le phishing a un impact sur votre réputation du point de vue du spam, mais il est tout aussi important qu'il ait un impact sur votre réputation auprès du grand public. Peut-on faire confiance aux courriels provenant de votre organisation ?
Tass Kalfoglou, directeur de l'unité commerciale dmarcian APAC
Absence d'adresse de notification de l'EFU
Nous avons découvert que 19 % des 500 premiers domaines de vente au détail de la région APAC comportaient des erreurs ou n'étaient pas conformes aux normes du secteur de la sécurité du courrier électronique. La majorité de ces problèmes (12 %) étaient dus à l'absence d'une adresse de rapport RUA, qui détermine l'adresse électronique pour l'envoi des rapports DMARC. L'inclusion d'une adresse RUA est une bonne pratique ; sans elle, il n'y a aucun moyen de rester en contact avec votre stratégie de sécurité du courrier électronique.
Les rapports RUA, ou agrégés, offrent une vue du trafic d'un domaine, y compris le statut d'authentification pour SPF, DKIM et DMARC. Les rapporteurs d'e-mails émettent des rapports RUA et RUF au format XML, qui n'est pas convivial. Sans adresse RUA dans l'enregistrement DMARC, le propriétaire du domaine ne profite pas de l'une des principales fonctionnalités de DMARC : la visibilité sur l'utilisation d'un domaine.
Lorsque vous pointez votre adresse RUA vers notre plateforme, celle-ci traite les rapports DMARC bruts et les transforme en un tableau de bord facile à lire qui affiche l'état de votre domaine.
Le nombre important de domaines sans adresse RUA pourrait indiquer une tendance des détaillants à mettre en œuvre le strict minimum d'enregistrements DMARC afin de satisfaire aux exigences d'authentification du courrier électronique définies par Google et Yahoo au début de l'année.
Un enregistrement DMARC avec une politique de sécurité p=none sans adresse de notification n'est pas différent d'un enregistrement DMARC sans adresse de notification. L'ajout d'une adresse de notification (RUA) permet de débloquer un point crucial de DMARC - le retour d'information de l'internet sur la manière dont votre domaine est utilisé (à des fins bonnes ou mauvaises). Ce feedback contient des informations sur la manière dont ces courriels ont été authentifiés - des informations vitales pour s'assurer que vos courriels sont correctement configurés, qui peuvent à leur tour être utilisées pour commencer à renforcer votre politique de sécurité en toute confiance.
Notre étude a également révélé un grand nombre de domaines qui ne respectent pas les meilleures pratiques générales. Il s'agit notamment d'un trop grand nombre de consultations SPF, d'erreurs de vérification DMARC externe ou d'une autorisation excessive des enregistrements SPF. Tous ces problèmes augmentent le risque, sous la forme d'une surface d'attaque ou de problèmes de délivrabilité s'ils ne sont pas corrigés. Notre plateforme de gestion DMARC examine de manière globale vos pratiques en matière d'authentification des courriers électroniques et de DNS, et fournit des conseils pour résoudre les problèmes éventuels.
Statut DMARC des 100 premiers détaillants australiens
Par rapport aux 500 premiers domaines de l'APAC, les 100 premiers domaines de vente au détail d'Australie sont plus nombreux à disposer d'un enregistrement DMARC et à appliquer une politique DMARC de p=quarantine ou p=reject et moins de domaines sont laissés à l'abandon sans protection.
Cela dit, 68 % des domaines de ce groupe ne sont pas totalement protégés par DMARC - 13 % n'ont pas d'enregistrement DMARC, et 31 % ont une p=none politique. Par ailleurs, 24 % des domaines présentent des erreurs techniques ou ne respectent pas les meilleures pratiques.
Il en reste donc 32 % dont les politiques d'application envoient les messages non authentifiés par SPF et/ou DKIM dans les spams (p=quarantine) ou ne les délivrent pas du tout (p=reject), ce dernier point étant l'objectif ultime du déploiement de DMARC.
Reconnaissant l'importance du DMARC dans la prévention de l'usurpation d'adresse électronique, le Centre australien de cybersécurité (ACSC) a publié des lignes directrices, Malicious Email Mitigation Strategies and How to Combat Fake Emails, qui comprennent des recommandations spécifiques sur la mise en œuvre du DMARC.
Mettre en œuvre DMARC pour améliorer SPF et/ou DKIM : Domain-based Message Authentication, Reporting and Conformance (DMARC) permet au propriétaire d'un domaine de spécifier une politique indiquant l'action que le serveur de courrier électronique du destinataire doit entreprendre s'il a échoué à un contrôle SPF (Sender Policy Framework) et/ou à un contrôle DKIM (Domain Keys Identified Mail).
Stratégies d'atténuation des courriels malveillants
Statut DMARC des 100 premiers détaillants néo-zélandais
Du 30 août 2023 au 30 août 2024, les Néo-Zélandais ont perdu environ 2,3 milliards de dollars à cause d'escroqueries en ligne, selon le rapport State of Scams in New Zealand. Le rapport indique également que les fraudes liées aux achats en ligne ont supplanté l'usurpation d'identité en tant que principale cause de pertes financières et attribue à l'intelligence artificielle le mérite de permettre aux criminels d'être plus productifs et plus insaisissables.
De même, le site néo-zélandais eCommerceNews signale une augmentation du nombre de faux détaillants en ligne "avec près de 80 000 sites web contrefaits détectés en 2024 à l'approche des fêtes de fin d'année". Ces sites illégitimes ciblent les acheteurs néo-zélandais en se faisant passer pour des marques telles que Pandora, Swatch, H&M, Princess Polly et Zara. Ils ont l'apparence et le comportement de boutiques en ligne authentiques et incitent les internautes à remplir leur panier d'achat en ligne et à saisir les données de leur carte de paiement.
Les 100 premiers domaines de vente au détail de Nouvelle-Zélande s'alignent étroitement sur les 500 premiers domaines de vente au détail de l'APAC, 72 % des domaines ne bénéficiant pas de la protection totale offerte par DMARC. Vingt-huit pour cent des domaines sont couverts par une protection de type p=quarantine ou p=reject DMARC, mais 22 % présentent des erreurs techniques ou ne respectent pas les meilleures pratiques.
Rédigé et mis à jour par le Bureau de sécurité des communications du gouvernement néo-zélandais, le manuel de sécurité de l'information (NZISM) décrit les meilleures pratiques en matière de cybersécurité, y compris DMARC dans la section 15.2 Infrastructure de messagerie.
Ils conseillent donc de mettre en œuvre DKIM, SPF et DMARC avec un p=quarantine ou p=reject afin de protéger les personnes contre les attaques de phishing et de distribution de logiciels malveillants. Bien que le NZIM soit destiné aux domaines gouvernementaux, "les entités publiques, les gouvernements locaux et les organisations du secteur privé sont également encouragés à utiliser ce manuel".
Le courrier électronique est un outil de communication essentiel et il est souvent la cible de cyber-attaques. Il est difficile de le protéger parce qu'il est historiquement peu sûr et sujet à l'ingénierie sociale. L'authentification du courrier électronique le protège contre les attaques par usurpation d'identité telles que le spoofing et le phishing ; les attaques par phishing et distribution de logiciels malveillants sont des menaces courantes pour la sécurité de l'internet. Pour éviter que les domaines de l'agence ne soient utilisés de manière frauduleuse (par exemple pour du spam ou du spear-phishing), il convient de mettre en œuvre les mesures suivantes : Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM), Domain-based Message Authentication, Reporting & Conformance (DMARC).
NZISM Section 15.2.5.
Comparaison de l'application de la politique DMARC
Les taux d'adoption de DMARC dans la région APAC ne sont pas uniformes d'un pays à l'autre et d'un secteur à l'autre, comme nous l'avons vu dans d'autres régions, et sont influencés par la sensibilisation à DMARC, les pressions réglementaires et la disponibilité des ressources.
Compte tenu de ce faible taux d'adoption de DMARC, on peut dire que les détaillants n'ont pas encore compris l'intérêt de DMARC. Alors que les dépenses de cybersécurité augmentent chaque année, la cybercriminalité ne cesse de croître, le principal vecteur d'attaque étant le courrier électronique. DMARC ne se contente pas d'atténuer les attaques de phishing usurpant l'identité de votre domaine qui arrivent dans votre entreprise, mais il empêche également les acteurs de la menace d'utiliser votre domaine contre vos clients et ceux de votre chaîne d'approvisionnement. J'ai vu des scénarios dans lesquels une organisation adoptant DMARC a forcé les chaînes d'approvisionnement à corriger leurs propres pratiques, ce qui a profité à l'ensemble de l'écosystème. Les grands acteurs de l'écosystème du courrier électronique ont compris et font ce qu'ils peuvent pour améliorer le monde du courrier électronique ; toutefois, la croisade n'est pas terminée. Il reste encore du travail à faire pour éduquer et promouvoir les véritables avantages de DMARC, une politique de sécurité du courrier électronique évolutive qui offre une visibilité sur la manière dont votre domaine est utilisé ou détourné sur l'internet.
Tass Kalfoglou, directeur de l'unité commerciale dmarcian APAC
Nous sommes là pour vous aider
Alors que l'adoption de DMARC avec une politique d'application est d'environ 24 %, la région APAC est à la traîne par rapport à des régions comme l'Amérique du Nord et l'Europe ; cependant, l'adoption de DMARC gagne du terrain grâce aux réglementations de l'industrie du courrier électronique et à une meilleure compréhension de la façon dont DMARC est le principal contrôle pour observer et restreindre l'utilisation des domaines de courrier électronique.
Avec une équipe d'experts en sécurité de l'email et une mission de rendre l'email et l'Internet plus fiables grâce à la sécurité du domaine, dmarcian et nos partenaires ont aidé les détaillants à atteindre l'application DMARC pour garder leurs clients et leur marque en sécurité. Nous aidons les gens à sécuriser leurs domaines contre le phishing et à gérer la sécurité de leurs emails sur le long terme.
Vous voulez continuer la conversation ? Rendez-vous sur le forum dmarcien.