Vulnérabilité DKIM :

Comment s'en prémunir ?

M365,phishing,DKIM

 

Les analystes de zone.eu ont récemment mis en évidence une implémentation non sécurisée du protocole de signature des e-mails « DKIM » : l’utilisation du tag « l= » dans les paramètres de la signature DKIM apposée sur un e-mail (vérifiable dans les headers d’un e-mails):

broken image

Cette implémentation non sécurisée peut permettre à des pirates d’émettre des e-mails usurpant l’identité d’un émetteur tout en passant les tests anti-spam permettant de vérifier l’authenticité d’un message :

broken image

Ci-dessus, les analystes ont récupéré un e-mail émis par DHL et contenant le tag DKIM « l= » et ont pu le transférer avec un contenu différent tout en réussissant les tests d’authenticité des e-mails DKIM/DMARC/BIMI.

Comment se prémunir contre ces attaques si vous êtes émetteur ?

1. Vérifiez les en-têtes des e-mails que vous émettez et assurez-vous que le tag « l= » n’est pas présent dans le header « DKIM-Signature »

  • Si cela est le cas, contactez l’administrateur de la solution émettrice et demander lui de ne pas utiliser l’option « Body Length Limits » de DKIM lors de la signature des e-mails. En effet, cette option n’est pas recommandée par les concepteurs du protocole DKIM :
broken image
  • Si l’émetteur insiste sur la nécessité d’utiliser ce tag « l= », demandez-lui s’il est possible de protéger le champ « content-type » dans la signature DKIM avec le tag DKIM « h= » afin de rendre inopérante la signature DKIM si le pirate modifie l’e-mail :
broken image

Comment se prémunir contre ces attaques si vous êtes récepteur ?

En tant que destinataire d’e-mails, il est important de rester vigilant lorsque vous recevez un e-mail contenant le tag DKIM « l= ».

Dans Exchange Online, il est possible de configurer une règle de transport permettant d’ajouter un message de vigilance à l’attention de vos utilisateurs lorsque ces derniers reçoivent ce type de message :

broken image