Noms de domaine : Les risques de l’e-mail spoofing

Par Laetitia Cardi,

Cet anglicisme, que l'on peut traduire par « usurpation », fait partie des nombreuses tentatives de fraudes numériques, parmi lesquelles nous pouvons citer, entre autres, le cybersquatting, le phishing ou le spamming.

La loi LOPPSI II de 2011, qui comprend un chapitre dédié à la lutte contre la cybercriminalité, a créé une nouvelle infraction spécifique et autonome : l’usurpation d’identité numérique.

La première condamnation sur le fondement de cette infraction a été prononcée par le Tribunal de grande instance de Paris le 18 décembre 2014.

En quoi consiste l’email spoofing ?

Il s’agit d’une technique d’usurpation d’identité qui consiste à envoyer des messages en se faisant passer pour quelqu’un d’autre. L’objectif des fraudeurs est de tromper le destinataire de l’e-mail en lui faisant croire que l’expéditeur est quelqu’un de confiance.
En effet, le protocole SMTP créé en 1982 et actuellement utilisé pour l’envoi des messages électroniques sur Internet n’a pas été conçu pour garantir l’identité (nom et adresse électronique) indiquée par l’expéditeur d’un message. Sans mesure préventive de votre part, un spammeur peut donc sans contrainte utiliser votre propre adresse mail dans le champ “Expéditeur” de ses messages.
Un email usurpé reprend ainsi la véritable adresse email d’un expéditeur sans que ce dernier ait envoyé l’email.

Cela ouvre bien sûr la porte à de nombreux risques :

  • la mise en place d’attaques contre la sécurité du réseau
  • la diffusion de fausses informations
  • les détournements financiers
  • le paiement de factures indues

Il existe également un risque technique car votre boîte mail peut se retrouver envahie de messages d’erreurs si une attaque de spam est menée avec votre adresse. Ce type d’attaque est particulièrement difficile à bloquer car les e-mails parviennent souvent d’un grand nombre de serveurs différents et cela peut entrainer la panne d’un serveur de messagerie.

Soyez vigilant, si vous recevez des notifications de messages rejetés relatives à des e-mails semblant provenir de votre compte, ou une réponse à un message que vous n'avez jamais envoyé, il se peut que votre compte fasse l'objet d’une usurpation d’adresse.

Le groupe cinématographique français Pathé a ainsi été la cible d’une fraude considérable en 2018 via le procédé bien connu de la fraude au Président. Des personnes se sont fait passer pour des dirigeants de l’entreprise et ont obtenu plusieurs virements pour un montant supérieur à 19 millions d’euros.

De même le groupe Vinci a été victime d’une usurpation d’identité en 2016 qui a entrainé la chute du cours de l’action Vinci de 18%.

Moyens de protection techniques

Pour éviter que des messages frauduleux ne soient envoyés depuis votre nom de domaine ou votre adresse e-mail, plusieurs systèmes d’authentification du nom de domaine de l’expéditeur d’un message ont été créés.
Il convient de protéger le nom de domaine qui héberge toutes les adresses e-mail et non les adresses emails individuellement. Votre gestionnaire de système d’e-mails doit créer des enregistrements SPF, DKIM et DMARC qui approuvent que l’e-mail est bel et bien envoyé depuis un serveur e-mail légitime.

1.    Création d’un enregistrement SPF « Sender Policy Framework » qui est un système de validation des e-mails conçu spécifiquement à cette fin.

2.    Utilisation de la technique DKIM (Domain Keys Identified Mail): une clé de sécurisation permettra de lier une signature électronique aux e-mails envoyés.

3.    L’enregistrement DMARC permet de déterminer vous-même les actions à entreprendre avec les e-mails qui ne passent pas les contrôles DKIM et SPF.

Le premier réflexe à avoir si vous êtes victime d’une usurpation de votre compte email est d’identifier le nom de domaine détenu et utilisé par le fraudeur, nom visible dans l’en-tête de l’email, et d’adresser ensuite une demande au Registrar ou à l’hébergeur des serveurs emails de ce nom.
N’hésitez pas à contacter votre conseil en propriété industrielle pour mettre en place ces protections sur vos noms de domaine ou pour engager les actions nécessaires en cas de fraude avérée d’usurpation d’identité.

Laetitia Cardi, Conseil en Propriété Industrielle – Marques, Dessins et Modèles, Paris.

Insights liés

Actualités et avis

Une marque déposée sans réelle intention d’usage peut-elle être annulée ?

La Cour, saisie d’une question préjudicielle portant sur l’interprétation du droit de l’Union européenne en matière de marques de l’Union Européenne, s’est prononcée dans un arrêt en date du 29 janvier 2020, sur la question de la validité d’une marque pouvant être affectée par la mauvaise foi du déposant en ce qu’elle aurait été déposée sans intention de l’exploiter.

Par Marianne Tissot,
Une marque déposée sans réelle intention d’usage peut-elle être annulée ?

Pour plus d'informations ou de conseils contactez-nous

Confidentialité et cookies

Pour fournir la meilleure expérience possible aux visiteurs du site Web, Novagraaf utilise des cookies. En cliquant sur "Accepter" ou en continuant d’utiliser le site, vous acceptez notre politique de confidentialité, y compris la politique en matière de cookies.