Les analystes de zone.eu ont récemment mis en évidence une implémentation non sécurisée du protocole de signature des e-mails « DKIM » : l’utilisation du tag « l= » dans les paramètres de la signature DKIM apposée sur un e-mail (vérifiable dans les headers d’un e-mails):
Cette implémentation non sécurisée peut permettre à des pirates d’émettre des e-mails usurpant l’identité d’un émetteur tout en passant les tests anti-spam permettant de vérifier l’authenticité d’un message :
Ci-dessus, les analystes ont récupéré un e-mail émis par DHL et contenant le tag DKIM « l= » et ont pu le transférer avec un contenu différent tout en réussissant les tests d’authenticité des e-mails DKIM/DMARC/BIMI.
Comment se prémunir contre ces attaques si vous êtes émetteur ?
1. Vérifiez les en-têtes des e-mails que vous émettez et assurez-vous que le tag « l= » n’est pas présent dans le header « DKIM-Signature »
- Si cela est le cas, contactez l’administrateur de la solution émettrice et demander lui de ne pas utiliser l’option « Body Length Limits » de DKIM lors de la signature des e-mails. En effet, cette option n’est pas recommandée par les concepteurs du protocole DKIM :
- Si l’émetteur insiste sur la nécessité d’utiliser ce tag « l= », demandez-lui s’il est possible de protéger le champ « content-type » dans la signature DKIM avec le tag DKIM « h= » afin de rendre inopérante la signature DKIM si le pirate modifie l’e-mail :
Comment se prémunir contre ces attaques si vous êtes récepteur ?
En tant que destinataire d’e-mails, il est important de rester vigilant lorsque vous recevez un e-mail contenant le tag DKIM « l= ».
Dans Exchange Online, il est possible de configurer une règle de transport permettant d’ajouter un message de vigilance à l’attention de vos utilisateurs lorsque ces derniers reçoivent ce type de message :