Passer au contenu principal
Vulnérabilité de sécurité de Google Groupes

Vulnérabilité de sécurité de Google Groupes

15 décembre 2023
Nouvelles de l'écosystèmeTechnologie du courrier électroniquePerspectives sur la sécurité

De récentes discussions au sein de l'écosystème de la sécurité des e-mails ont mis en évidence une faille de sécurité concernant la gestion par Google des e-mails envoyés à un groupe Google. Ce problème survient particulièrement lorsque les e-mails proviennent d'un domaine avec une politique DMARC définie sur p=quarantine ou p=reject.

Les groupes Google fonctionnent de manière similaire à une liste de diffusion. Lorsqu'une adresse de groupe reçoit un e-mail, Google en transmet une copie à chaque membre du groupe, en conservant l'en-tête From: d'origine. Cet en-tête From: est crucial, car c'est ce que les systèmes destinataires utilisent pour déterminer le domaine à vérifier pour la conformité DMARC. En substance, lorsque Google transmet ces e-mails, c'est comme si Google usurpait le domaine en question. Cela devient problématique avec des domaines comme AOL ou Yahoo, où le système de réception rejettera l'e-mail, reconnaissant que Google n'est pas autorisé à envoyer en leur nom.

Comment les escrocs exploitent le renvoi d'e-mails des groupes Google

  1. Acquisition de domaine : Les escrocs commencent par acquérir un nouveau domaine et y configurent une politique DMARC de p=quarantine ou p=reject.
  2. Envoi d'e-mails : Ils envoient ensuite des e-mails depuis ce domaine à diverses adresses de groupes Google.
  3. Réécriture d'adresse par Google : Lorsque ces e-mails atteignent les groupes Google, Google réécrit automatiquement l'adresse d'expéditeur pour qu'elle corresponde à celle du groupe Google.
  4. Adresse Reply-To trompeuse : Le domaine de l'expéditeur original (escroc) est astucieusement inclus dans l'adresse Reply-To.
  5. Passage de l'authentification : Grâce à la réécriture de Google, les e-mails passent les vérifications d'authentification SPF et DKIM et semblent légitimes.
Exemple de fraude Google Groupes

Cette méthode exploite la gestion des e-mails par Google pour passer toutes les normes d'authentification des e-mails en utilisant la fonction « via » afin de créer un faux sentiment de légitimité dans le but de tromper les destinataires.

Ce problème est apparu pour la première fois en 2014 lorsque AOL et Yahoo ont adopté une politique DMARC p=reject. Google a réagi en modifiant la manière dont les groupes Google gèrent les e-mails transférés depuis des domaines sous protection DMARC. Ils ont commencé à réécrire l'adresse « from » pour qu'elle corresponde à l'adresse du groupe, en ajoutant un en-tête « reply-to » pour l'adresse de l'expéditeur d'origine. Cette approche n'est pas exclusive à Google ; de nombreux serveurs de listes de diffusion, y compris le logiciel de gestion de listes de diffusion LISTSERV de L-Soft, ont adopté des pratiques similaires.

Les préoccupations concernant ce comportement ont été soulevées il y a près d'une décennie. Qu'est-ce qui a changé depuis ? Pour commencer, il y a eu une visibilité et une adoption accrues de DMARC, en partie grâce à des initiatives comme le BOD 18-01 américain, qui souligne l'importance de DMARC.

Alors, qu'est-ce que cela signifie pour vous ? La responsabilité incombe en grande partie aux propriétaires de groupes Google et de listes de diffusion. Si vous gérez un groupe Google, considérez les points suivants :

  1. Évaluez si un groupe Google est le meilleur choix par rapport à une boîte aux lettres partagée.
  2. Évaluez la nécessité d'avoir le groupe public. Restreindre les publications aux membres de votre organisation pourrait être plus sûr.
  3. Sensibilisez davantage les utilisateurs. Mettez en œuvre un module de formation pour aider vos employés à faire preuve de prudence lorsqu'ils reçoivent des e-mails « via » une autre adresse.

En fin de compte, demandez-vous : « Utiliseriez-vous une liste de diffusion pour gérer les canaux d'e-mails critiques de votre organisation ? » Si la réponse est non, il est probablement préférable d'éviter d'utiliser un groupe Google à de telles fins.

Si vous avez des questions, n'hésitez pas à nous contacter.

Avec une équipe d'experts en sécurité du courrier électronique et pour mission de rendre le courrier électronique et l'internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation, et à implémenter et gérer DMARC sur le long terme.

Protégez les personnes qui dépendent de votre messagerie

Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.

cybersécuritéGoogle

Articles connexes