Skip to main content
Adoption de DMARC par les détaillants américains et canadiens

Adoption de DMARC par les détaillants américains et canadiens

- 31 janvier 2025
Nouvelles de l'écosystèmeAperçu de la sécurité des courriels

Nous avons constaté une forte augmentation de l'adoption de DMARC depuis que Google et Yahoo ont commencé à appliquer des exigences plus strictes pour les expéditeurs en 2024. Dans cette optique, nous poursuivons nos recherches sur l'adoption de DMARC et examinons les principaux domaines de vente au détail aux États-Unis et au Canada, sur la base des revenus estimés.

Les détaillants ont toujours été une cible populaire pour les criminels en raison du volume et de la valeur des informations personnelles identifiables et des informations de paiement que les détaillants détiennent dans leurs bases de données et leurs réseaux.

Vulnérabilité des détaillants en matière de cybersécurité

"Le phishing et la collecte d'informations d'identification restent une priorité tout au long de l'année en tant que principal vecteur d'intrusion dans la plupart des opérations cybercriminelles. Nos membres signalent une prévalence constante des tentatives d'hameçonnage avec des thèmes de leurre impliquant des promotions de produits populaires ciblant les consommateurs pour la collecte d'informations personnelles. Les membres ont également signalé une augmentation des sites Web imposteurs, des tentatives d'hameçonnage axées sur les produits et des tentatives d'hameçonnage usurpant l'identité de dirigeants.

-Centre d'analyse et de partage d'informations pour le commerce de détailet l'hôtellerie

Escroqueries par hameçonnage dans le commerce de détail américain

Le rapport 2024 Data Breach Investigations Report de Verizon a révélé que le phishing et le pretexting par e-mail étaient la principale raison des incidents de cybersécurité dans le secteur de la vente au détail, 73 % des violations étant causées par l'un ou l'autre ou les deux. Les auteurs de l'étude définissent le pretexting comme "un substitut à la compromission des courriels d'entreprise, où les attaquants exploitent les chaînes de courriels existantes pour convaincre les victimes de faire quelque chose, comme mettre à jour un compte bancaire associé avec un dépôt".

Certains d'entre vous se souviennent peut-être de l'effrayante faille de Target, le géant du commerce de détail, suite à l'hameçonnage d'un de ses sous-traitants. Le sous-traitant en réfrigération de Pennsylvanie a cliqué sur un courriel d'hameçonnage conçu pour voler les informations d'identification de l'utilisateur. Lorsque les imposteurs ont eu accès au réseau de Target, ils ont installé des logiciels malveillants et ont commencé à recueillir des données sur les clients. Les dommages causés par l'attaque ont laissé à Target la responsabilité d'un nettoyage massif, y compris les amendes, les frais juridiques et la surveillance de la solvabilité des clients. Au total, les dommages s'élèvent à environ 290 millions de dollars.

Les brèches de phishing via un fournisseur tiers sont malheureusement devenues trop courantes. La position d'une organisation en matière de cybersécurité n'est aussi sûre que celle de ses partenaires. C'est pourquoi il est aujourd'hui essentiel de contrôler et de mettre en place une surveillance pour les fournisseurs tiers.

À cet égard, DMARC est un contrôle de cybersécurité de référence. Lorsqu'une organisation n'a pas d'enregistrement DMARC ou qu'elle en a un qui n'est pas dans la zone de quarantaine, le contrôle de la cybersécurité s'en trouve renforcé. p=quarantine ou p=reject c'est une invitation ouverte aux mauvais acteurs et un signe que l'organisation n'a peut-être pas mis en place un programme de cybersécurité complet.

Vous pouvez utiliser notre outil d'audit de domaine gratuit pour vérifier l'état DMARC, SPF et DKIM de n'importe quel domaine. En outre, vous pouvez utiliser notre plateforme de gestion DMARC si vous souhaitez contrôler en permanence l'état DMARC de vos fournisseurs tiers.

Statut DMARC des 500 premiers détaillants américains

Nos recherches révèlent des progrès encourageants : 74 % des 500 premiers domaines de vente au détail américains ont publié un enregistrement DMARC conforme aux meilleures pratiques, et nous ne pourrions être plus heureux ! La majorité de ces domaines, grâce à Google et Yahoo dans une certaine mesure, font progresser leurs pratiques en matière de cybersécurité en mettant en place le principal contrôle permettant d'observer et de restreindre l'utilisation des domaines de messagerie électronique : DMARC.

Adoption du DMARC par les 500 premiers détaillants - États-Unis

D'accord, nous pourrions être plus heureux. Alors que 31 % des principaux détaillants américains ont atteint l'ultime p=reject et 15 % ont atteint l'avant-dernière étape de l'application de la politique DMARC. p=quarantine 28 % en sont encore à la politique de surveillance de p=none et ne profitent pas de la puissance de DMARC.

Pas encore, du moins. De manière optimiste, supposons que l'option p=none a récemment entamé son parcours DMARC et ne se repose pas sur ses lauriers après avoir satisfait aux modestes exigences DMARC imposées par Google et Yahoo.

Les 26 % restants des principaux domaines de vente au détail américains se répartissent équitablement en deux camps : pas d'enregistrement DMARC et enregistrements DMARC malformés. Si l'on décompose les données relatives à l'adoption de DMARC, 46 % des domaines ont atteint le stade de l'application de DMARC avec des enregistrements p=reject ou p=quarantine tandis que 54 % n'ont pas d'enregistrement DMARC ou en ont un qui contient des erreurs et qui est exposé aux exploits de l'hameçonnage.

"Les clients du Fortune 100 ont souvent les mêmes problèmes qu'une petite entreprise et vice versa", déclare Fred Bianchi, directeur de l'unité commerciale américaine de dmarcian. "Les clients, les secteurs d'activité et la taille de l'organisation peuvent varier, mais les problèmes ont tendance à être similaires.

Parmi ces défis, on peut citer la mauvaise gestion des enregistrements SPF, en particulier l'autorisation excessive, les clés DKIM qui doivent être remplacées par des clés de 1024 à 2048 bits et, trop souvent (en particulier pour les petites entreprises), un enregistrement DMARC qui consiste simplement en v=DMARC1 ; p=none; sans RUA. Cela peut répondre aux exigences minimales de mise en place d'un enregistrement DMARC, mais cela n'offre aucune visibilité sur les données qui permettent d'éclairer la prise de décision et les prochaines étapes. Ces données sont primordiales pour que la politique puisse un jour être appliquée, ce qui devrait être l'objectif.

Adresse de déclaration RUA et enregistrements SPF manquants

Dans la continuité des thèmes abordés dans notre étude sur l'adoption du DMARC en Europe et dans la région APAC, les erreurs liées au DMARC et aux enregistrements SPF sont à l'origine de la plupart des problèmes d'authentification au Canada et aux États-Unis.

En ce qui concerne les enregistrements DMARC, 12 % en moyenne des domaines américains et canadiens ne comportaient pas de balise RUA. C'est un problème car sans la balise RUA, il n'y a pas d'adresse électronique pour envoyer les rapports DMARC qui alimentent notre plateforme de gestion DMARC pour vous donner de la visibilité et du contrôle sur vos domaines. Dans ce cas, les précieux rapports XML se perdent dans l'éther et vous ne pouvez pas voir ce qui se passe avec vos domaines.

Comme vous pouvez le voir ci-dessous, l'adresse RUA est le troisième composant de l'enregistrement DMARC suivant :

Exemple de balise RUA

En ce qui concerne les enregistrements SPF, 26 % en moyenne des enregistrements SPF des principaux domaines de vente au détail au Canada et aux États-Unis étaient manquants, mal formés ou ne respectaient pas les meilleures pratiques de l'industrie. Ce n'est pas une bonne chose, car les enregistrements SPF manquants ou mal formatés peuvent entraîner l'échec de l'authentification des courriels et les problèmes de délivrabilité qui en découlent pour plus d'un quart des domaines.

"L'autre problème que nous rencontrons souvent est celui des propriétaires de domaines qui essaient de contourner la limite de recherche SPF au lieu de suivre les meilleures pratiques courantes, qui consistent notamment à ne pas ajouter d'entrées si elles ne sont pas nécessaires", poursuit Fred. "Ce n'est jamais une bonne idée d'autoriser des expéditeurs par SPF s'ils n'en ont pas besoin. Mais même lorsque nous le signalons, il arrive trop souvent que le propriétaire du domaine insiste pour aller au-delà de la limite de 10 consultations."

Le problème le plus fréquent que nous avons constaté est l'absence d'enregistrements SPF, suivie par des erreurs de syntaxe SPF et le dépassement de la limite intégrée de 10 consultations DNS. Voici nos conseils pour résoudre le problème de la limite de 10 consultations sans avoir recours à l'aplatissement SPF et à d'autres solutions de contournement qui peuvent ouvrir votre domaine à davantage d'abus.

Géomètre SPF

Vérifiez que la syntaxe de votre enregistrement SPF est exempte d'erreurs. Il vous aide également à identifier les expéditeurs tiers et les adresses IP autorisées à envoyer des messages au nom de votre domaine.

Statut DMARC des 100 premiers détaillants canadiens

En interrogeant les 100 premiers domaines de vente au détail au Canada, nous avons constaté que 43 % d'entre eux ont publié un enregistrement DMARC conforme aux meilleures pratiques. Cela indique que le contrôle est bien connu comme moyen d'arrêter les courriels frauduleux émanant de leur domaine principal.

Les 100 premiers détaillants du Canada adoptent DMARC

Parmi ces domaines disposant d'un enregistrement DMARC valide, 25 % sont protégés par des politiques DMARC à des niveaux d'application, dont 14 % à des niveaux de p=quarantine et 11 % à p=reject.

Les 75 % restants n'ont pas de garde-fou DMARC et sont exposés aux intrusions par hameçonnage parce qu'ils n'ont pas d'enregistrement DMARC, qu'ils ont des problèmes avec leur enregistrement DMARC ou qu'ils ont un enregistrement DMARC qui n'a pas été modifié. p=none qui offre une visibilité sur les courriels envoyés par un domaine mais ne fournit aucune protection contre les tentatives d'hameçonnage.

"En 2023, les entreprises ont vu les coûts de récupération des cyberincidents doubler, passant de 600 millions de dollars en 2021 à 1,2 milliard de dollars, tandis que les dépenses de prévention n'ont que légèrement augmenté, passant de 9,7 milliards de dollars à 11 milliards de dollars. Compte tenu du rôle de l'e-mail en tant que principal vecteur d'attaque, l'investissement dans une solution telle que DMARC offre un retour sur investissement important en stoppant la fraude avant qu'elle ne se produise. N'attendez pas une nouvelle incitation forcée (comme les exigences DMARC de Google ou Yahoo) pour protéger votre marque et vos clients. Le déploiement proactif de DMARC est à la fois rentable et crucial."

-Asher Morin, directeur des services professionnels de dmarcian à Toronto.

Reconnaissant l'importance de DMARC dans la lutte contre l'hameçonnage et la fraude par courriel, le Centre canadien de cybersécurité a publié un document intitulé Implementation Guidance : Email Domain Protection " du Centre canadien de cybersécurité reconnaît qu'avec DMARC, " vous pouvez réduire les chances d'un acteur de la menace de mener à bien des campagnes de courriels malveillants ". Ces mesures protégeront votre organisation de la manière suivante :

  • Empêcher la diffusion de messages malveillants usurpant l'identité de vos domaines ;
  • dissuader les acteurs de la menace de tenter d'usurper des domaines protégés ;
  • l'amélioration de la sécurité des destinataires du courrier électronique
  • Protéger la réputation des organisations dont les domaines sont la cible de spoofing".

Comparaison de l'application de la politique DMARC

Comparaison de l'application de DMARC aux États-Unis et au Canada

Dans cette comparaison des politiques DMARC, on constate que les détaillants canadiens suivent les détaillants américains de 21 points de pourcentage en ayant une politique de p=quarantine ou p=reject DMARC. Bien que l'adoption du DMARC soit en hausse au Canada et aux États-Unis, plus de la moitié des détaillants de chaque région ne disposent pas des niveaux d'application de la politique DMARC nécessaires pour assurer la sécurité de leurs clients, de leurs employés et de leurs fournisseurs.

Comme nous l'avons mentionné en introduction, les exigences de Google et Yahoo en matière de DMARC ont certainement contribué à l'essor de l'adoption de DMARC ; en tant qu'organisation ayant pour mission de répandre DMARC sur Internet, nous apprécions cela. Cependant, de nombreuses organisations ne franchissent pas l'étape suivante en sécurisant leurs domaines avec les politiques DMARC, p=quarantine et p=rejectqui empêchent les courriels frauduleux d'arriver dans les boîtes de réception.

Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité de l'email et une mission qui consiste à rendre l'email et l'Internet plus dignes de confiance grâce à la sécurité des domaines, dmarcian et ses partenaires ont aidé les détaillants à appliquer la politique DMARC afin de préserver la sécurité de leurs clients et de leur marque. Nous aidons les gens à sécuriser leurs domaines contre le phishing et à gérer la sécurité de leurs emails sur le long terme.

Protégez les personnes qui dépendent de votre courrier électronique

Vous voulez continuer la conversation ? Rendez-vous sur le forum dmarcien.

DMARCTendances de l'adoption de DMARCAvantages de DMARCGoogleRechercheYahoo

Postes connexes