Les cybercriminels ne se contentent plus de recourir à des techniques de phishing évidentes ou à des e-mails mal ficelés. Au contraire, ils exploitent de plus en plus souvent des plateformes de confiance, des processus opérationnels légitimes et les petites failles des contrôles de sécurité couramment utilisés. En manipulant les processus métier quotidiens auxquels les utilisateurs font déjà confiance, les auteurs de menaces transforment des infrastructures réputées en vecteurs involontaires d'escroqueries, rendant ainsi les messages malveillants bien plus difficiles à repérer et bien plus susceptibles d'atteindre leur but.
Kaseya INKY a détecté des attaques dans lesquelles des cybercriminels se font passer pour des fournisseurs connus, tels que PayPal, Apple, DocuSign et HelloSign, en utilisant de fausses factures et des notifications de litige.
Protégez-vous contre les e-mails malveillants avec Kaseya Inky
Bloquez les attaques de phishing sophistiquées et les menaces par e-mail avant qu'elles n'atteignent les utilisateurs grâce à INKY
CommencerCes plateformes permettent souvent aux utilisateurs de saisir un « nom de vendeur » ou d'ajouter une note personnalisée lors de la création d'une facture ou d'une notification. Les pirates exploitent cette fonctionnalité en insérant des instructions frauduleuses et un numéro de téléphone dans ces champs gérés par l'utilisateur. Ils envoient ensuite la facture ou l'avis de litige ainsi généré à une adresse e-mail qu'ils contrôlent, s'assurant ainsi que le contenu malveillant est intégré dans un message légitime généré par le fournisseur.
Comme le message provient directement du fournisseur, tel que PayPal, et qu'il est signé cryptographiquement, il passe sans difficulté les contrôles DKIM (DomainKeys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting & Conformance). Après avoir reçu l'e-mail légitime, le pirate se contente de le transférer à ses cibles. Il en résulte un message qui semble authentique, qui passe les contrôles d'authentification et qui arrive dans les boîtes de réception sans susciter le moindre soupçon.
Cette technique, connue sous le nom d'attaque par rejeu DKIM, est de plus en plus utilisée par les pirates pour tromper les utilisateurs finaux et contourner les contrôles de sécurité traditionnels des e-mails.
Comment fonctionnent les attaques par rejeu DKIM — et pourquoi elles sont si efficaces
Une attaque par re-envoi DKIM se produit lorsqu'un acteur malveillant intercepte un e-mail légitime signé DKIM, puis « renvoie » ce même message à d'autres destinataires. Comme les en-têtes et le corps du message d'origine restent inchangés, la signature DKIM continue d'être valide. Par conséquent, l'e-mail passe l'authentification DMARC même s'il est redistribué par un attaquant plutôt que livré par l'expéditeur d'origine. Pour ne pas compromettre le DKIM, les attaquants s'abstiennent délibérément de modifier le message après sa signature.
Pour comprendre pourquoi cela fonctionne, il est utile d'examiner le fonctionnement de l'authentification des e-mails :
- Le protocole DKIM appose une signature cryptographique aux en-têtes et au corps d'un e-mail. Le serveur de messagerie destinataire utilise la clé publique du domaine expéditeur pour vérifier que le contenu signé n'a pas été altéré pendant le transfert. Le protocole DKIM vérifie l'intégrité du message, mais ne permet pas de confirmer l'identité de l'expéditeur.
- DMARC s'appuie sur DKIM ou le Sender Policy Framework (SPF) en vérifiant la cohérence entre le domaine authentifié et l'adresse « De: » visible. Si DKIM est validé et correspond au domaine « De: », DMARC est également validé.
Les pirates exploitent ce comportement pour diffuser des contenus de phishing ou d'escroquerie à partir de domaines réputés auxquels les destinataires font déjà confiance. Même si les vérifications SPF échouent lors du transfert, une signature DKIM valide et cohérente permet souvent à DMARC de passer. Cela rend les attaques par rejeu DKIM particulièrement difficiles à détecter pour les outils traditionnels de sécurité des e-mails et les rend de plus en plus attrayantes pour les cybercriminels qui ciblent les utilisateurs finaux.
Les attaques par rejeu DKIM en action : utilisation frauduleuse des factures d'Apple et de PayPal
Kaseya INKY a constaté que des cybercriminels utilisaient de manière abusive des e-mails légitimes provenant d'Apple et de PayPal pour mener des escroqueries qui passent les contrôles d'authentification et semblent dignes de confiance aux yeux des destinataires.
Une facture de l'App Store d'Apple exploitée dans le cadre d'attaques par rejeu DKIM
| Champ d'en-tête | Valeur |
| De | [email protected] |
| À | [email protected] (boîte aux lettres de l'attaquant) |
| Objet | Confirmation d'abonnement |
| DKIM‑Signature | d=email.apple.com |
Voici une description détaillée, étape par étape, de l'attaque :
- Obtenir un e-mail valide signé DKIM: le pirate crée un identifiant Apple et s'abonne à l'application VPN Surfshark (dans le cas présent) sur l'App Store d'Apple. Au cours du processus d'inscription, il insère un contenu malveillant — « Pour annuler, appelez le +1 (803) 745-3821 » — dans le champ du nom de compte. Le système automatisé d'Apple génère alors un e-mail de confirmation d'abonnement contenant cette valeur et le signe à l'aide de la clé DKIM du domaine.
- Signature DKIM valide: l'en-tête DKIM de l'e-mail indique qu'Apple a signé les en-têtes clés et l'intégralité du corps du message. Les serveurs de messagerie destinataires vérifient cette signature à l'aide de la clé publique DKIM d'Apple et attribuent donc au message les statuts « dkim=pass » et « dmarc=pass ».
- Récapitulatif: après avoir reçu l'e-mail légitime, le pirate le transfère à une liste de victimes, par exemple à l'aide d'Outlook ou d'un autre client SMTP (Simple Mail Transfer Protocol). Le transfert ne modifie ni les en-têtes signés ni le corps du message, de sorte que la signature DKIM reste valide. Bien que les adresses des destinataires de l'enveloppe changent, DMARC évalue le domaine de l'en-tête « From: » et la signature DKIM, et non la valeur « RCPT TO » de l'enveloppe.
- Envoi aux victimes: comme le message provient d’un domaine réputé (email.apple.com) et qu’il satisfait à tous les contrôles d’authentification (DKIM et DMARC), de nombreux filtres de messagerie le considèrent comme légitime. La formule d’appel inhabituelle — « Cher/Chère, pour annuler, appelez le +1 (803) 745-3821 » — peut constituer le seul signe d’alerte évident. Des destinataires peu méfiants peuvent appeler le numéro de téléphone indiqué, permettant ainsi aux cybercriminels de récupérer des informations de paiement ou des données personnelles identifiables (PII). Ils peuvent également demander aux victimes de se rendre sur des sites malveillants pour installer des logiciels malveillants ou des logiciels d’accès à distance, ou de soumettre des informations via des formulaires frauduleux.
Une facture contestée via PayPal exploitée dans le cadre d'attaques par rejeu DKIM
| Champ d'en-tête | Valeur |
| De | [email protected] |
| À | Kenji Smith [email protected] (la boîte mail de l'agresseur) |
| Objet | Nous avons bien reçu votre demande auprès de PayPal |
| DKIM‑Signature | d=paypal.com |
Voici une description détaillée, étape par étape, de l'attaque :
- Créer un litige ou une facture PayPal contenant du contenu malveillant: le pirate utilise son compte PayPal pour ouvrir un litige ou émettre une facture, puis indique comme « nom du vendeur » un message frauduleux comprenant un numéro de téléphone. Le système PayPal enregistre cette valeur fournie par l'utilisateur sans la valider.
- Envoyer l'e-mail à une boîte de réception contrôlée par le pirate: le pirate envoie la facture ou la notification de dossier à une adresse e-mail qu'il contrôle. PayPal génère un e-mail de confirmation depuis [email protected] et le signe à l'aide de la clé DKIM du domaine. Le message contient le « nom du vendeur » malveillant.
- Signature DKIM valide: l'en-tête DKIM de l'e-mail indique que PayPal a signé les en-têtes clés et l'intégralité du corps du message. Les serveurs de messagerie destinataires vérifient cette signature à l'aide de la clé publique DKIM de PayPal et attribuent donc au message les statuts « dkim=pass » et « dmarc=pass ».
- Réacheminement vers les victimes: l'attaquant transfère l'e-mail intact aux victimes visées en utilisant son propre service SMTP. Bien que le destinataire de l'enveloppe change, le champ « À : » de l'en-tête reste l'adresse de l'attaquant, de sorte que la signature DKIM reste valide. Comme l'e-mail provient d'un domaine PayPal légitime et passe les contrôles d'authentification, la plupart des filtres anti-spam et anti-hameçonnage le acheminent vers la boîte de réception de la victime.
- La victime appelle le numéro indiqué: après avoir reçu une notification PayPal apparemment authentique et un message urgent concernant une transaction contestée, la victime est susceptible d'appeler le numéro de téléphone indiqué. Une fois en ligne, les escrocs tentent généralement de récupérer des informations financières ou des données à caractère personnel, ou de persuader la victime d'installer un logiciel d'accès à distance.
Pourquoi les solutions traditionnelles de sécurité des e-mails ne parviennent souvent pas à bloquer les attaques par rejeu DKIM
Les mesures de sécurité traditionnelles pour les e-mails sont conçues pour détecter les expéditeurs usurpés et les messages altérés. Dans le cas des attaques par rejeu DKIM, cependant, les pirates s'appuient sur des e-mails tout à fait légitimes et authentifiés, ce qui permet à ces messages de passer à travers les mailles du filet des défenses qui reposent largement sur les signaux d'authentification.
Parmi les points de défaillance courants, on peut citer :
- DKIM et DMARC valides: le message provient d'Apple ou de PayPal et est signé à l'aide des clés DKIM légitimes de l'organisation. Par conséquent, la signature est validée et le test DMARC est réussi, même si l'e-mail a été transféré par un pirate.
- Non-conformité SPF: le serveur de transfert de l'attaquant n'est pas autorisé par les enregistrements SPF d'Apple ou de PayPal, ce qui entraîne un échec de la validation SPF. Cependant, la validation DMARC est toujours réussie, car l'authentification DKIM conforme suffit à elle seule pour garantir la conformité DMARC.
- Contenu fourni par l'utilisateur: Apple et PayPal permettent aux utilisateurs de saisir du texte libre dans les champs « Nom du vendeur » ou « Remarque ». Ce contenu est intégré au corps du message signé par DKIM, ce qui permet aux pirates d'insérer des instructions frauduleuses ou des numéros de téléphone lors de l'inscription sans invalider la signature.
Kaseya INKY les menaces telles que les attaques par rejeu DKIM grâce à l'IA générative
Bonnes pratiques : conseils et recommandations
Les attaques par réutilisation de DKIM exploitent la confiance accordée aux marques renommées et aux e-mails authentifiés, ce qui rend la sensibilisation et la vigilance indispensables tant pour les utilisateurs que pour les équipes de sécurité.
- Vérifiez l'en-tête « À »: assurez-vous que l'adresse indiquée dans l'en-tête du message correspond bien au destinataire prévu. Une divergence entre les en-têtes visibles et le destinataire de l'enveloppe peut indiquer que l'e-mail a été transféré ou réutilisé par un pirate.
- Méfiez-vous des numéros de téléphone: les notifications légitimes d'Apple et de PayPal invitent les utilisateurs à se connecter à leurs sites web officiels, et non à appeler des numéros de téléphone non sollicités. Les utilisateurs doivent éviter d'appeler les numéros figurant dans des e-mails inattendus, en particulier ceux qui font état de problèmes urgents liés au compte ou au paiement.
En associant la vérification des en-têtes à la sensibilisation des utilisateurs aux techniques d'escroquerie courantes, les entreprises peuvent réduire le risque que des attaques par rejeu DKIM atteignent et trompent les utilisateurs finaux.
