Barracuda full logo

Comment les groupes APT nord-coréens exploitent les erreurs de configuration de DMARC et ce que vous pouvez faire à ce sujet

Thèmes:
2 oct. 2024
|

Dans le domaine de la sécurité des e-mails, rien n'est infaillible, surtout lorsque des erreurs de configuration ouvrent la voie aux attaques. Récemment, le groupe de cybercriminels nord-coréens Kimsuky a démontré à quel point ces vulnérabilités peuvent être dangereuses, en exploitant des politiques DMARC (Domain-based Message Authentication, Reporting & Conformance) mal configurées pour mener des campagnes de spear-phishing. Ce n'est pas seulement une préoccupation géopolitique, c'est un rappel que les failles de sécurité des e-mails, même minimes, peuvent être exploitées par quiconque a des intentions malveillantes.

Que s'est-il passé ?          

Kimsuky est un groupe de menaces persistantes avancées (APT) agissant sous l'égide du Bureau général de reconnaissance de la Corée du Nord. Cet acteur de la menace a ciblé des experts dans les groupes de réflexion, les médias et les universités afin de collecter des renseignements. Leur stratégie ? Le spoofing de domaines légitimes en contournant des protocoles DMARC faibles ou mal configurés. Le FBI et la NSA ont publié un avis conjoint mettant en garde contre ces campagnes, qui visent à obtenir des informations sensibles, en particulier sur la politique étrangère et les questions nucléaires.

Pourquoi DMARC est important

DMARC est censé protéger contre ce type d'attaques par e-mail. Il vérifie l'authenticité des e-mails à l'aide des contrôles SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail). Si un e-mail échoue à ces vérifications, DMARC indique au serveur de messagerie la marche à suivre : soit le mettre en quarantaine, soit le rejeter, soit le transmettre conformément à la politique définie.

Exemple d'attaque des e-mails à Kimsuki (Source : Joint Cybersecurity Advisory)

Exemple d'attaque des e-mails à Kimsuki (Source : Joint Cybersecurity Advisory)

Malheureusement, DMARC ne peut remplir sa mission que s'il est configuré correctement. De nombreuses organisations définissent des politiques DMARC faibles ou incomplètes, permettant aux e-mails malveillants de passer inaperçus. Dans le cas de Kimsuky, les pirates ont utilisé des e-mails falsifiés d'apparence réelle qui ont passé les vérifications initiales, mais DMARC n'a pas été configuré pour filtrer ou bloquer ces tentatives. Le résultat ? Les e-mails malveillants arrivent directement dans la boîte de réception.

L'attaque en action

Fonctionnement : Kimsuky commence par envoyer un courriel provenant d'une source apparemment crédible, telle qu'une université ou un institut de recherche. Le premier e-mail peut sembler inoffensif, conçu pour établir la confiance. Une fois cette confiance établie, un deuxième e-mail arrive avec une pièce jointe ou un lien malveillant. Dans certains cas, les pirates parviennent même à accéder à des systèmes de messagerie légitimes, rendant ainsi leurs tentatives d'hameçonnage encore plus convaincantes.

Un exemple ? Un e-mail de spear-phishing invitant une cible à prendre la parole lors d'une conférence politique sur la Corée du Nord. L'e-mail a passé les contrôles SPF et DKIM, car les pirates avaient accès au système légitime. Mais DMARC n'était pas configuré correctement, donc malgré quelques signaux d'alerte, l'e-mail a été envoyé.

Les erreurs de configuration sont courantes et dangereuses

Ce qui rend cela particulièrement troublant, c'est que les erreurs de configuration de DMARC sont plus courantes qu'on ne le pense. De nombreuses organisations ne mettent pas à jour ou ne surveillent pas régulièrement leurs paramètres DMARC. Certains n'en ont même pas, ce qui les expose à des attaques. Même lorsqu'ils le font, une politique de « surveillance » (qui enregistre les menaces sans prendre de mesures) est beaucoup trop courante. Cela donne aux organisations un faux sentiment de sécurité et permet aux e-mails malveillants de passer inaperçus.

Comment se défendre contre cela ?

Vous avez besoin d'une stratégie de défense à plusieurs niveaux. Voici trois étapes clés à suivre :

  1. Adoptez le bon DMARC : définissez votre politique DMARC sur « mettre en quarantaine » ou « rejeter » les e-mails qui ne passent pas les contrôles SPF et DKIM. Une politique de « surveillance » peut sembler être une première étape sûre, mais si rien n'est fait, vous êtes toujours exposé.
  2. Investissez dans des solutions pilotées par l'IA : les menaces par e-mail sont de plus en plus sophistiquées et le DMARC seul peut ne pas suffire. Les solutions de protection des e-mails pilotées par l'IA de Barracuda, par exemple, peuvent détecter des modèles d'e-mails inhabituels et des comportements suspects, même lorsqu'ils semblent passer les contrôles traditionnels.
  3. Formez votre équipe : les humains sont souvent le maillon faible de la chaîne de sécurité. Des simulations et des formations régulières au hameçonnage peuvent réduire de manière significative le risque que quelqu'un clique sur un e-mail malveillant. La protection Barracuda contre le phishing et l'usurpation d'identité peut aider vos employés à reconnaître les signaux d'alarme avant qu'il ne soit trop tard.

Conclusion

Des groupes de cyberespionnage tels que Kimsuky cherchent constamment des moyens d'exploiter les points faibles de la sécurité des e-mails. Les mauvaises configurations DMARC offrent une entrée facile. Mais avec les bons outils, les bonnes configurations et la bonne formation, vous pouvez combler ces lacunes et assurer la sécurité de votre organisation. Que vous vous inquiétiez pour les acteurs de l'État-nation ou pour les cybercriminels les plus courants, il n'est pas négociable de garantir la sécurité des e-mails. Et pour des entreprises comme la vôtre, chaque niveau de sécurité est important.

Découvrez comment vous pouvez protéger votre marque contre les cybercriminels
Billets associés :
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 BarracudaONE: Benefits for one early adopter
BarracudaONE: Benefits for one early adopter
 Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.