Voici une croissance mondiale spectaculaire : l’adoption de DMARC (Domain-based Message Authentication, Reporting, and Conformance) parmi les principaux domaines est passée de 27,2 % à 47,7 % entre 2023 et 2025, soit une augmentation de 75 % des domaines protégés, avec des politiques d’application (quarantaine + rejet) qui ont augmenté de 50 % au cours de cette période.
Les pays où ce protocole ouvert d’authentification (reposant sur SPF— « Sender Policy Framework » et DKIM— « DomainKeys Identified Mail ») pour vérifier l’authenticité des messages électroniques envoyés à partir de votre domaine) est obligatoire présentent des schémas d’attaque par hameçonnage très différents.
Les États-Unis ont réduit le nombre d’attaques de phishing réussies de 69 % à 14 %, tandis que les pays qui n’ont pas d’obligation de mise en œuvre, comme les Pays-Bas, ont vu leur vulnérabilité augmenter jusqu’à 97 %.
Extraites de la nouvelle étude menée par EasyDMARC, spécialisée dans l’authentification des emails, ces quelques statistiques notent avec effroi que plus de 90 % des principaux domaines de messagerie électronique au monde sont vulnérables à l’usurpation d’identité.
La Corée du Nord et les faux journalistes
De quoi favoriser les attaques de phishing sophistiquées. Cette entreprise a constaté que seuls 7,7 % des 1,8 million de domaines de messagerie électronique les plus importants au monde ont mis en œuvre la politique DMARC la plus stricte (mise en quarantaine/rejet).L’équipe d’EasyDMARC a mis en évidence un certain nombre de campagnes d’hameçonnage très médiatisées qui exploitent les faiblesses des politiques en matière de courrier électronique pour usurper des domaines légitimes. Le courriel semble ainsi provenir d’une source légitime.
En mai 2024, un avis du gouvernement américain a averti que le groupe Kimsuky, lié à la Corée du Nord, exploitait des protocoles DMARC mal configurés pour se faire passer pour des journalistes légitimes, des universitaires ou d’autres experts des affaires de l’Asie de l’Est ayant des liens crédibles avec les cercles politiques nord-coréens.
Les chercheurs de Guardio Labs ont signalé en juillet 2024 que des pirates informatiques avaient profité d’une faille dans le service de protection du courrier électronique de Proofpoint pour usurper l’identité de marques telles que Disney, Nike et Coca-Cola dans des attaques d’hameçonnage. L’analyse comparative des entreprises Fortune 500 et Inc. 5000 révèle en effet d’importantes disparités dans la mise en œuvre du protocole et les politiques d’application.
Le rapport EasyDMARC a révélé que les pays ayant les mandats DMARC les plus stricts, tels que les États-Unis, le Royaume-Uni et la République tchèque, ont enregistré les plus fortes réductions du nombre de courriels de phishing arrivant dans les boîtes de réception.
Le rapport note que l’adoption de DMARC s’est accélérée depuis 2023, sous l’effet de pressions réglementaires, telles que la version 4.0.1 de la norme de sécurité des données PCI (PCI DSS). L’adoption a également été stimulée par les mandats des principaux fournisseurs de messagerie électronique, tels que Google, Yahoo et Microsoft.
Cependant, dans de nombreux cas, cette adoption s’arrête à un paramètre de surveillance passive connu sous le nom de « p=none », qui ne bloque pas les courriels frauduleux et n’offre pas une visibilité totale sur les échecs d’authentification.
En outre, plus de la moitié (52,2 %) des domaines analysés n’ont toujours pas d’enregistrement DMARC de base.
Parmi les domaines dotés d’une politique DMARC, plus de 40 % n’ont pas inclus de mécanismes de signalement, tel que les balises RUA (Reporting URI for Aggregate data), qui permettent aux organisations de savoir qui envoie des courriels en leur nom et si les contrôles d’authentification échouent. Cela démontre un manque important de visibilité sur l’application de la politique DMARC.
Au final, les mauvaises configurations, les rapports manquants et les politiques DMARC passives reviennent à installer un système de sécurité sans jamais l’allumer.
Le phishing reste l’une des formes les plus anciennes et les plus efficaces de cyberattaque, et sans une mise en œuvre appropriée, les organisations remettent effectivement aux attaquants les clés de leur entreprise.
Alors que les menaces deviennent de plus en plus sophistiquées et que les pressions en matière de conformité augmentent, s’arrêter à mi-chemin avec l’application de DMARC n’est plus une option.
