Usurpation d'adresse email avis?

FRANCKD 2020-05-06 19:48:38 UTC #1

Bonsoir,
J'aurai voulu un avis technique. Mon DG s'est fait usurpé son email.
Le fraudeur a présenté des factures au service compta , la compta a demandé la validation des payement a mon DG (protocole oblige au dela d'une certaine somme), l'accord a été donné pour règlement , sauf que ce n'était pas mon DG qui qui était aux manettes, mais le fraudeur qui utilisait la meme adresse email que lui, et lui n'a jamais rien reçu.
Le prejudice est important tous avis sera sera le bienvenu.
Sinceres remerciements

Gaston_Phone 2020-05-06 19:52:59 UTC #2

Bonsoir @FRANCKD

Déjà changer le mot de passe et en mettre plus compliqué et 2 fois plus long.

Il est dommage que le service comptable ne se soit pas aperçu que le MAIL était un faux.
Mettre en service une confirmation supplémentaire par téléphone ou par Skype, Whatsapp, etc.

kyodev 2020-05-06 20:47:23 UTC #3

le fraudeur qui utilisait la meme adresse email que lui

pas besoin de mot de passe........

l'expéditeur n'est en rien significatif, n'importe qui met l'expéditeur qu'il veut

après il faut authentifier un peu mieux les smtp autorisés (sftp/dkim/dmarc)
mais @Fritz2cat en dira plus

voir signer certains mails émanant de certaines personnes ou concernant certaines opérations

sans oublier un minimum de formation de TOUS les employés, cadres compris, les softs de sécurité ne pouvant rien contre le bug utilisateur

FRANCKD 2020-05-06 21:01:33 UTC #4

Merci, plus basiquement si mon DG ne recevait pas d'email sur ca propre boite, je dirai simplement que s'était pas le meme email, il doit y avoir une subtilité, un detail.....une lettre, un espace....

je comprends pas kyodev?

kyodev 2020-05-06 21:29:46 UTC #5

je dirai simplement que s'était pas le meme email,

il suffit de regarder les entêtes

je dirai simplement que s'était pas le meme email,

pourquoi?
l'expéditeur n'est pas un champ de confiance, on met ce que l'on veut dedans

pour le reste, spf, ... je passe la main

FRANCKD 2020-05-07 05:11:08 UTC #6

Pour le chat, j'ai vu l'analogie ;-)

Sich 2020-05-07 07:10:00 UTC #7

Il faut des règles stricts sur les mails d'entreprise.
C'est à dire SPF avec un -all, dmarc avec reject, signature dkim obligatoire.

Ensuite il faut des mots de passe complexe et les changer régulièrement.
Mais attention avec le mot de passe complexe à changer tout le temps...
Je me souviens encore des bureaux de cadre où tous les mots de passe sont sur un post it sur l'écran... Le gars du nettoyage passe, récupère les mots de passe et se fait plaisir...

Et pour le coup du fait que les messages ne sont pas arrivés au destinataire légitime, probablement un autre email effectivement. Là le service qui fait la confirmation doit saisir lui même l'adresse du destinataire et pas faire "répondre"... Normalement avec l'annuaire d'entreprise c'est facile d'envoyer le mail au bon destinataire...

Mais il faudrait vérifier les en-têtes (ip des serveurs relais, email réel, etc).

Fritz2cat 2020-05-07 07:28:07 UTC #8

Bonjour @FRANCKD @kyodev
J'ai écrit un petit article, pièces à l'appui, sur une grossière tentative de fraude dont j'ai fait l'objet. Je suis trésorier d'un club associatif de plongée sous-marine.
Vois ici: https://blog.demees.net/la-fraude-au-president-cest-quoi/
Dans cet exemple, le pirate opérait depuis une adresse qui n'était pas celle du président du club (mais affichait son nom et prénom, qui est une information publique sur notre site)
Ne pas détecter ce genre de fraude ce serait quand même un peu bibiche.
Dans l'environnement où je travaille, on a été confrontés à deux types de fraude plus pernicieuses:
- le pirate a les accès sur la messagerie du président, lit ses e-mails, y répond avec la vraie identité du président. Impossible à détecter avec des moyens techniques de non-falsification du mail.
- le pirate a enregistré un nouveau nom de domaine, similaire à une lettre près avec la société avec laquelle on traite, et utilisant le nom d'une personne réelle (trouvée sur leur site évidemment).

On peut donc revenir sur les moyens d'enrayer une falsification du mail:
SPF: on indique quelles adresses IP sont autorisées à envoyer du mail dont l'adresse d'expéditeur se termine par @mondomaine.com
DKIM: chaque message sortant du serveur mail de @mondomaine.com est signé digitalement avec une clé privée, et la clé publique correspondante est annoncée dans la zone DNS de mondomaine.com . C'est une preuve positive d'authenticité et de non-falsification mais l'absence de signature DKIM ne témoigne pas d' une falsification.
OVH n'offre pas de signer DKIM les mails sortants.
DMARC: à n'utiliser que lorsque SPF et DKIM sont implémentés sur le domaine. DMARC est une façon de donner des ordres aux serveurs en réception. Le propriétaire de @mondomaine.com donne instruction d'accepter ou de refuser les mails qui échouent à SPF et DKIM.
https://blog.demees.net/?s=dkim
https://www.virusbulletin.com/virusbulletin/2014/11/paper-using-dmarc-improve-your-email-reputation

Moralité, en cas de suspicion, une seule possibilité, contacter votre DG ou votre comptable par un autre moyen, whatsapp, signal, telegram ...

Fritz2cat 2020-05-07 07:36:47 UTC #9

J'ajouterais une possibilité.
En Belgique on a une puce sur notre carte d'identité. Celle-ci permet de signer électroniquement un document par exemple un PDF.
Envoyer un ordre de paiement via un document signé, c'est 10000 fois plus robuste qu'un papier signé à l'encre bleue puis scanné.

FRANCKD 2020-05-08 07:41:13 UTC #10

Bonjour à tous les deux,
Merci pour vos réponses , je n'ai pas encore pu voir mon DG et récupérer le premier email pour analyser le header, il a d'autres chiens a fouetter ...
Ok pour les SPF, DKIM, DMARK je vais creuser ces points, mais comme il a été dit aussi, cela passe par de la formation, du protocole , et une "hygiène " d'utilisation de la messagerie .
Des que j'aurai accès au mail concerné , je vous ferais un retour.

Les guerres d'aujourd'hui et de demain ne se feront plus avec un fusil, mais avec du code et des virus......il faut si preparer. Portez vous bien en tous cas.

Fritz2cat 2020-05-08 10:58:55 UTC #11

Tu sais même dans le courrier postal, on a vu des gangs opérer quelque part (peut-être en centre de tri) subtiliser les courriers des notaires, on sait bien qu'ils interviennent pour la liquidation des successions.
Les truands font une copie conforme en changeant les n° de comptes bénéficiaires et remettent à la poste dans une nouvelle enveloppe.
Comme les notaires ne sont pas nécessairement pressés, c'est souvent plusieurs semaines plus tard que les héritiers commencent à s'inquiéter que rien n'arrive ... et que les mules ont évidemment disparu avec l'argent viré.

Propulsé par Discourse, le rendu est meilleur avec le JavaScript activé

OVH Community

Bienvenue sur votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres OVH Community.