La mise en œuvre du protocole DMARC dans l'enseignement supérieur japonais : état des lieux et défis
Dans cette étude sur l'adoption du protocole DMARC réalisée en juin 2026, nous avons analysé près de 1 000 domaines principaux dans le secteur de l'enseignement supérieur japonais, ainsi que les défis auxquels sont confrontées les équipes informatiques pour sécuriser leurs domaines.
Bien que l'adoption du protocole DMARC dans les domaines universitaires japonais soit en hausse, elle s'inscrit principalement dans le cadre d'une politique de surveillance p=none qui assure la visibilité ; toutefois, aucune mesure coercitive n'est prise à l'encontre des e-mails qui échouent à l'authentification SPF ou DKIM.
DMARC est une technologie anti-usurpation qui permet de surveiller et de contrôler l'utilisation des domaines de messagerie.
Les défis particuliers auxquels sont confrontées les équipes informatiques de l'enseignement supérieur
Alors que les principaux fournisseurs de messagerie électronique, tels que Yahoo Japan, Yahoo, Google, Microsoft et Apple, ont rendu obligatoire la conformité de base à la norme DMARC pour les expéditeurs en masse afin de prévenir le phishing, les établissements d'enseignement supérieur japonais sont confrontés à des défis particuliers lorsqu'il s'agit de passer d'une politique de surveillance à une application stricte de cette norme.
Les universités et les établissements d'enseignement supérieur constituent des cibles de choix en raison de la quantité d'informations personnelles identifiables (PII), de données financières, de dossiers de recherche et de propriété intellectuelle qu'ils détiennent. La fragmentation de leurs services, l'informatique parallèle et la multitude de fournisseurs tiers, notamment les systèmes de gestion de l'apprentissage dans le cloud et les portails d'applications, créent une vaste surface d'attaque dont le courrier électronique est au cœur.
L'adoption du protocole DMARC, en particulier au Japon et en Asie en général, a été lente en raison des niveaux variables de préparation en matière de cybersécurité, de la transformation numérique rapide et de l'augmentation correspondante des cybermenaces.
Les récentes fuites de données dans l'enseignement supérieur japonais
L'université de Tokyo, premier établissement public de recherche du Japon, a été victime d'une violation de données sur l'un de ses serveurs de recherche après que des pirates ont obtenu un accès non autorisé à l'aide d'identifiants volés à des tiers. Une fois parvenus à accéder au serveur externe, les criminels ont tenté de se connecter aux réseaux universitaires pour étendre la portée de leur infiltration. L'université a réussi à isoler le serveur et à contenir l'attaque avant que des données ne soient volées ou qu'un logiciel malveillant ne soit installé.
Dans un autre cas, l'hôpital Musashi Kosugi de la Nippon Medical School, un important centre hospitalier universitaire régional désigné comme centre de secours en cas de catastrophe, a été victime d'une attaque par ransomware qui a affecté ses systèmes internes. Environ 10 000 dossiers de patients, comprenant noms, adresses, numéros de téléphone et dates de naissance, ont initialement fait l'objet d'une fuite ; ce chiffre est passé à environ 130 000 au fur et à mesure que l'enquête avançait.
Alors que les attaques par hameçonnage restent la principale méthode d'intrusion utilisée pour installer des ransomwares, le protocole DMARC permet aux propriétaires de domaines de lutter contre les tentatives de diffusion de ces logiciels malveillants. Dans son guide #StopRansomware, la CISA recommande aux propriétaires de domaines d'authentifier les e-mails entrants à l'aide des protocoles SPF, DKIM et DMARC afin d'empêcher l'usurpation d'adresse e-mail.
L'adoption du protocole DMARC dans le secteur de l'enseignement supérieur japonais
En analysant les enregistrements DNS publics du secteur de l'enseignement supérieur japonais, nous avons découvert que 95 % des domaines de premier niveau ne sont pas protégés contre les attaques par e-mail, soit parce qu'ils ne disposent pas d'enregistrement DMARC, soit parce que leurs enregistrements contiennent des erreurs, soit parce que leur enregistrement DMARC comporte un p=none , la phase de surveillance qui n'affecte pas la livraison des e-mails.
Seuls 2 % sont entièrement protégés par la politique d'application DMARC de p=reject, tandis que 3 % ont une p=quarantine , selon laquelle les e-mails non conformes sont envoyés dans les dossiers de spam.
Voici les résultats complets :
- 51 % ne disposent d'aucun enregistrement DMARC.
- 24 % ont un casier judiciaire p=none .
- 20 % ne respectent pas les bonnes pratiques ou comportent des erreurs, ce qui expose les domaines à des risques ou les prive de visibilité.
- 3 % ont une politique DMARC de p=quarantine, l'avant-dernière étape avant de passer à p=reject.
- 2 % se situent à p=reject, tirant ainsi pleinement parti de la protection offerte par DMARC.
Ce que révèlent les données DNS
Utilisation intensive des sous-domaines
Bien que notre étude porte principalement sur les domaines de messagerie d'entreprise, l'utilisation intensive des sous-domaines dans les établissements scolaires mérite une attention particulière. Nous avons constaté que de nombreux établissements hébergent leur site web principal sur le domaine racine de l'organisation, mais acheminent leur messagerie d'entreprise via des sous-domaines. Comme bon nombre de ces sous-domaines ne bénéficient pas d'une protection DMARC adéquate, ils constituent une cible facile pour les attaques de phishing, qui peuvent facilement tromper les utilisateurs lambda.
Problèmes liés aux enregistrements DMARC
Le problème le plus fréquent, qui concerne 197 domaines, est la présence d'un enregistrement DMARC qui, bien qu'existant, comporte des erreurs ou des lacunes qui le rendent inefficace ou incomplet. Le problème le plus courant est l'absence d'une balise RUA, c'est-à-dire l'adresse e-mail à laquelle les rapports agrégés sont envoyés.
Même si un enregistrement DMARC dépourvu de RUA reste valide, il est vulnérable aux abus. En l'absence d'une destination RUA, les propriétaires de domaine ne reçoivent aucune information leur permettant de savoir qui (ou quoi) envoie des e-mails en leur nom, si les e-mails légitimes s'authentifient correctement ou si des criminels usurpent activement leur domaine. Les organisations peuvent mettre en place DMARC en pensant avoir résolu le problème, mais ne disposent alors d'aucun mécanisme pour savoir si le système fonctionne ou s'il fait l'objet d'abus. Cette lacune expose les établissements scolaires qui envoient des communications sensibles aux familles et aux élèves à un risque sérieux.
Quinze domaines sont confrontés à un problème plus spécifique : il leur manque dans leur DNS l'enregistrement TXT requis qui autorise une destination de rapport tierce (une boîte mail extérieure à leur propre domaine) pour ces rapports. Souvent, les organisations ne se rendent pas compte que cette étape est nécessaire, et leur configuration de surveillance ne fournit que des informations limitées ; les données de rapport peuvent ainsi être ignorées sans que personne ne s'en aperçoive.
Le fait de diriger le RUA vers dmarcian permet de résoudre ce problème. Les rapports RUA natifs étant fournis sous forme de fichiers XML bruts difficiles à déchiffrer, la plateforme de gestion DMARC de dmarcian convertit ces données en visualisations claires grâce à des tableaux de bord interactifs qui fournissent aux équipes de sécurité des informations sur les failles d'authentification, les détails des sources d'envoi et les menaces émergentes.
Problèmes liés aux enregistrements SPF
Absence d'enregistrement SPF
Cinquante-trois de ces domaines ne disposent d'aucun enregistrement SPF. Le protocole SPF (Sender Policy Framework) est essentiel à l'authentification des e-mails, car il indique aux serveurs de messagerie destinataires quelles adresses IP sont autorisées à envoyer des e-mails au nom d'un domaine. Sans lui, n'importe qui peut envoyer des e-mails qui semblent provenir du domaine de l'établissement, et les serveurs destinataires ne se rendent pas compte qu'ils sont frauduleux.
Pour les établissements scolaires, un e-mail frauduleux semblant provenir d'un directeur ou d'un service administratif constitue un scénario d'hameçonnage efficace. Les parents et les élèves réagissent instinctivement et rapidement aux communications de l'établissement. L'obstacle à la mise en place d'un enregistrement SPF correct réside souvent dans le fait que les établissements ne disposent pas de l'expertise technique interne nécessaire ou ne sont pas conscients de cette nécessité.
Enregistrements SPF incorrects
Sur les 62 domaines présentant des problèmes liés au SPF, 18 ont des enregistrements SPF non valides et 6 ont publié plusieurs enregistrements SPF. Ces deux situations sont préjudiciables, mais de différentes manières.
Un enregistrement SPF non valide (présentant des erreurs de syntaxe, des mécanismes non pris en charge ou des problèmes de structure) est traité par les serveurs de messagerie destinataires comme s'il n'existait tout simplement pas, et le fait de le publier n'offre aucune protection. Cela est particulièrement préjudiciable pour les organisations qui pensent avoir résolu le problème de l'authentification des e-mails et qui ignorent que leur enregistrement échoue en silence.
La présence de plusieurs enregistrements SPF pose des problèmes à sa manière. La spécification SPF stipule explicitement qu'un domaine ne doit comporter qu'un seul enregistrement TXT SPF. Lorsqu'il y en a plusieurs, ce qui résulte souvent du fait que différentes équipes ou différents fournisseurs ont ajouté leur propre enregistrement au fil du temps sans se coordonner, la plupart des serveurs de messagerie considèrent l'authentification comme ayant échoué.
dmarcian propose une configuration guidée du protocole SPF qui élimine toute incertitude quant à l'identification des sources d'envoi légitimes et à la création d'enregistrements précis.
Au cours d’une récente discussion avec un client japonais du secteur de l’éducation, j’ai découvert un point de vue très pertinent qui va droit au cœur de la véritable valeur ajoutée de DMARC.
Ils ont souligné que la mise en place du protocole DMARC ne se résume pas à une simple mesure défensive visant à protéger son propre périmètre entrant. Il s'agit plutôt d'une « approche altruiste de la sécurité », conçue pour protéger les parties prenantes externes, les partenaires et les destinataires qui comptent sur les e-mails portant votre nom de domaine et leur font confiance.
Étant donné que les avantages immédiats et directs du protocole DMARC ne profitent pas toujours directement à l'expéditeur, il est vrai que de nombreux établissements d'enseignement au Japon n'ont pas encore pris de mesures concrètes pour l'adopter.
Cependant, la mise en œuvre de DMARC constitue un moyen efficace de démontrer publiquement l'engagement d'une organisation en matière de sécurité. Assurer la propreté et la sécurité de notre principal canal de communication n'est plus une option ; il s'agit d'une question de responsabilité sociale et de gouvernance d'entreprise. En fin de compte, cela constitue un pilier essentiel pour consolider la confiance et la réputation à long terme d'une institution.
—Masahiro Otsuka, responsable du développement commercial pour la région APAC
Nous sommes là pour aider les écoles japonaises
En tant que partenaire de confiance du secteur de l'éducation, dmarcian s'est spécialisé dans l'accompagnement des établissements d'enseignement pour les aider à surmonter les complexités liées à la mise en œuvre du protocole DMARC. Afin de répondre aux besoins spécifiques des établissements scolaires et de leurs partenaires, nous avons mis au point des offres tarifaires et des formules d'assistance adaptées, permettant de tenir compte des contraintes budgétaires sans pour autant compromettre la protection de niveau professionnel dont les établissements ont besoin pour prospérer.
Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.
