Selon une analyse Proofpoint, 98 % des universités françaises n’auraient pas de protection efficace contre le risque de fraude par email, pourtant premier vecteur de cyberattaques.
Pour la rentrée 2020, si les consignes sanitaires liées au Covid-19 restent de privilégier le présentiel, Frédérique Vidal, Ministre de l'Enseignement supérieur, de la Recherche et de l'Innovation demande aussi aux universités d’être prêtes à assurer la « continuité pédagogique » en cas de rebond épidémique. Ainsi, les universités proposent désormais des cours hybrides, mêlant le présentiel et le distanciel, et privilégiant la communication par email. Une nouvelle occasion pour les cybercriminels de diffuser des campagnes email frauduleuses visant à dérober des données personnelles.
Dans ce contexte, Proofpoint dévoile les résultats d’une étude inédite révélant que 98 % des 40 premières universités françaises n’ont pas de protection efficace contre le risque de fraude par email, et notamment d’usurpation de nom de domaine.
Appliquer le standard DMARC pour se protéger contre la fraude email
L’email étant à ce jour le principal vecteur utilisé pour propager une cyberattaque tous secteurs confondus, vérifier le niveau de sécurité de ce canal est un bon indicateur du risque encouru par les universités françaises. Et l’un des moyens les plus efficaces pour contrôler ce niveau de sécurité consiste à vérifier l’adoption du protocole DMARC (Domain-based Message Authentication, Reporting & Conformance) au niveau de la messagerie électronique.
Largement recommandé par L’Agence Nationale de la Sécurité des Systèmes d’Informations (ANSSI) dans ses guides de sécurité les plus récents, DMARC est devenu un véritable standard en matière de protection contre la fraude par email. Complémentaire aux autres protocoles de sécurité des emails SPF (Sender Policy Framework) et DKIM (Domain Keys Identified Mail), il permet d’authentifier de manière fiable les expéditeurs d’emails et de bloquer les messages frauduleux. Il s’agit donc d’une arme redoutable pour lutter contre le phishing (hameçonnage) et le spoofing (usurpation d’identité).
Mettre en œuvre le protocole DMARC permet à une université (ou une organisation en général) de définir quel traitement doit être appliqué sur les messages électroniques utilisant son nom de domaine, ainsi que la politique à appliquer en cas d’échec lors de la vérification : accepter le message électronique (p=none, où p signifie ici policy – politique en anglais), le catégoriser comme indésirable (p=quarantine), ou le supprimer (p=reject).
Les universités françaises face à la fraude email
Proofpoint a analysé l’application du protocole DMARC par les 40 premières universités françaises pour évaluer le cyber risque encouru dans le contexte de poursuite de l’enseignement à distance. Les résultats sont sans appel :
- 57% des universités françaises n'ont pas du tout publié d’enregistrement DMARC, se retrouvant exposées à l’usurpation de nom de domaine et aux attaques de phishing.
- 43% des universités françaises ont publié un enregistrement DMARC, mais incomplet.
- 1 seule université a mis en œuvre le niveau de protection DMARC le plus strict (p=reject).
- Ainsi, 98% des universités ne se protègent pas de manière proactive contre les emails frauduleux usurpant leur nom de domaine.
En laissant de côté les bonnes pratiques, pourtant simples et efficaces, pour authentifier les emails, les universités s’exposent sans le savoir, ainsi que leurs étudiants, à des cybercriminels à la recherche de données personnelles. Les institutions et les organisations de tous les secteurs devraient chercher à déployer des protocoles d'authentification tels que DMARC pour renforcer leurs défenses contre la fraude par email. Les cybercriminels profitent de l’actualité pour lancer des attaques ciblées en utilisant des techniques d'ingénierie sociale telles que l'usurpation d'identité, et les universités ne font pas exception à la règle.
Guide des bonnes pratiques à destination des étudiants
- Il est important de vérifier la validité de toutes les communications par email et être conscients des éventuels risques d’emails frauduleux se faisant passer pour des établissements scolaires.
- Les étudiants doivent être prudents face aux tentatives de communication qui demandent des identifiants de connexion ou menacent de suspendre un service ou un compte si un lien n'est pas cliqué.
- Enfin, il est nécessaire de suivre les meilleures pratiques en matière d'hygiène des mots de passe, notamment en utilisant des mots de passe forts, en les changeant fréquemment et en ne les réutilisant jamais sur plusieurs comptes.
Pour en savoir plus sur DMARC : https://www.proofpoint.com/uk/products/email-fraud-defence.