Lors des discussions avec les équipes de sécurité de nombreux clients entreprises, les experts de Retarus constatent souvent un risque fréquemment négligé. Le problème est que certaines solutions de sécurité de messagerie activent par défaut la balise DKIM “l=” (balise de longueur). Bien que cette option avait effectivement lieu d’être par le passé, elle présente désormais des risques importants en matière de sécurité.
Why does the “l=” tag pose a security risk?
Au même temps, ce mécanisme expose une surface d’attaque importante, par exemple via des liens d’hameçonnage ou du contenu indésirable, sans que la vérification DKIM ne soit déclenchée. Étant donné que la signature reste formellement valide, les contrôles DMARC deviennent également moins efficaces. De plus, cela donne l’opportunité à des attaques par transfert de courriel, chose qui a conduit certains grands fournisseurs de messagerie à réagir par des avertissements ou des rejets.
Ce qui rend ceci particulièrement dangereux, c’est que certaines solutions de sécurité activent la balise “l=” par défaut, sans même que les utilisateurs en soient conscients. Pendant tout ce temps, nos clients ont supposé que leurs courriels étaient entièrement signés et sécurisés. Il ne s’agit pas seulement d’un problème théorique. Les audits menés par nos experts montrent que les signatures DKIM utilisant la balise “l=” sont encore utilisées dans certaines organisations, exposant potentiellement leurs e-mails à des manipulations sans aucun impact sur la vérification DKIM.
Recommendations pour les e-mails entrants
Il est fortement conseillé aux destinataires d’examiner attentivement les e-mails comportant la balise “l=”. Une option consisterait pour les entreprises à mettre initialement ces messages en quarantaine par défaut à l’aide de leurs propres solutions de sécurité de messagerie, ou bien elles pourraient ignorer la signature DKIM afin que l’e-mail reste soumis à d’autres mécanismes de sécurité tels que SPF ou DMARC.
Recommendations pour les e-mails sortants/h2>
Les expéditeurs doivent éviter d’utiliser la balise “l=” et signer numériquement l’intégralité du contenu du message à la place. La sécurité peut également être renforcée par la rotation périodique des clés DKIM, l’utilisation de sélecteurs distincts pour différents flux de courriers et, le cas échéant, la définition de dates d’expiration pour les signatures.
