Vulnérabilité de la sécurité de Google Groups
Des discussions récentes dans l'écosystème de la sécurité du courrier électronique ont mis en évidence une faille de sécurité concernant le traitement par Google des courriels envoyés à un groupe Google. Ce problème se pose en particulier lorsque les courriels proviennent d'un domaine dont la politique DMARC est réglée sur p=quarantine ou p=reject.
Google Groups fonctionne de la même manière qu'une liste de diffusion. Lorsqu'une adresse de groupe reçoit un courrier électronique, Google en transmet une copie à chaque membre du groupe, en conservant l'en-tête From : d'origine. Cet en-tête From : est crucial, car c'est lui que les systèmes destinataires utilisent pour déterminer le domaine à vérifier pour la conformité DMARC. En substance, lorsque Google transfère ces courriers électroniques, c'est comme si Google usurpait le domaine transféré. Cela devient problématique avec des domaines comme AOL ou Yahoo, où le système de réception rejettera l'e-mail, reconnaissant que Google n'est pas autorisé à l'envoyer en leur nom.
Comment les escrocs exploitent la redirection d'e-mails de Google Groups
- Acquisition d'un domaine : Les escrocs commencent par acquérir un nouveau domaine et mettent en place une politique DMARC de p=quarantine ou p=reject.
- Envoi d'e-mails : Ils envoient ensuite des courriels à partir de ce domaine à diverses adresses du groupe Google.
- Réécriture de l'adresse Google : Lorsque ces courriels atteignent les groupes Google, Google réécrit automatiquement l'adresse "from :" pour qu'elle corresponde à celle du groupe Google.
- Adresse de réponse trompeuse : Le domaine de l'expéditeur original (l'escroc) est subrepticement inclus dans l'adresse de réponse.
- Authentification réussie : Grâce à la réécriture de Google, les courriels passent les contrôles d'authentification SPF et DKIM et semblent légitimes.
Cette méthode exploite le traitement des courriels par Google pour passer toutes les normes d'authentification des courriels en utilisant la fonction "via" pour créer un faux sentiment de légitimité dans le but de tromper les destinataires.
Ce problème est apparu pour la première fois en 2014 lorsque AOL et Yahoo ont adopté une politique DMARC à l'adresse p=reject . Google a réagi en modifiant la manière dont Google Groups traite les courriels transférés depuis des domaines protégés par DMARC. Ils ont commencé à réécrire l'adresse "from" pour qu'elle corresponde à l'adresse du groupe, en ajoutant un en-tête "reply-to" pour l'adresse de l'expéditeur d'origine. Cette approche n'est pas l'apanage de Google ; de nombreux serveurs de listes de diffusion, dont le logiciel de gestion de listes de diffusion LISTSERV de L-Soft, ont adopté des pratiques similaires.
Les inquiétudes concernant ce comportement ont été soulevées il y a près de dix ans. Qu'est-ce qui a changé depuis ? Tout d'abord, la visibilité et l'adoption de DMARC se sont accrues, en partie grâce à des initiatives telles que U.S. BOD 18-01, qui souligne l'importance de DMARC.
Qu'est-ce que cela signifie pour vous ? La responsabilité incombe en grande partie aux propriétaires de groupes Google et de listes de diffusion. Si vous gérez un groupe Google, tenez compte des éléments suivants :
- Évaluer si un groupe Google est le meilleur choix par rapport à une boîte aux lettres partagée.
- Évaluez la nécessité de rendre le groupe public. Il peut être plus sûr de limiter les messages aux membres de votre organisation.
- Sensibiliser les utilisateurs. Mettez en place un module de formation pour aider vos employés à faire preuve de prudence lorsqu'ils reçoivent des courriels "via" une autre adresse.
En fin de compte, posez-vous la question suivante : "Est-ce que j'utiliserais une liste de diffusion pour gérer les canaux de courrier électronique essentiels à mon organisation ?" Si la réponse est négative, il est probablement préférable de ne pas utiliser un groupe Google à cette fin.
Si vous avez des questions, n'hésitez pas à nous contacter.
Avec une équipe d'experts en sécurité du courrier électronique et une mission visant à rendre le courrier électronique et l'Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation et à mettre en œuvre et gérer DMARC à long terme.
Vous voulez continuer la conversation ? Rendez-vous sur le forum dmarcien.