Les cybercriminels cherchent régulièrement à profiter des grands événements sportifs ou culturels pour tromper les spectateurs et les faire tomber dans le piège de l’ingénierie sociale, en se faisant passer pour un partenaire officiel, une infrastructure, une plateforme de billetterie ou un site de réservation de voyages en ligne. À l’approche des Jeux de Paris à l’été 2024, l’ensemble de l’écosystème doit être renforcé pour faire face à la menace déjà omniprésente de fraude par courrier électronique, premier vecteur d’attaque.
Afin d’établir l’état actuel des défenses contre le risque d’usurpation d’identité, Proofpoint a analysé les niveaux d’adoption du protocole DMARC (Domain-based Message Authentication, Reporting and Conformance), mesure fondamentale de protection des courriels, par l’ensemble des partenaires officiels des Jeux, les collectivités locales, et les plateformes de billetterie et de réservation de voyages en ligne, et les résultats sont inquiétants.

DMARC, la première ligne de défense contre la fraude par e-mail
Depuis quelques années, Proofpoint a pu observer que les cybercriminels utilisent bien plus de tactiques visant à usurper l’identité d’organismes légitimes pour atteindre leur cible, plutôt que de pirater et infiltrer les réseaux et infrastructures techniques de leurs victimes.
DMARC est un protocole d’authentification des messages électroniques conçu pour protéger les noms de domaine contre une utilisation abusive par les cybercriminels. Il authentifie l’identité de l’expéditeur avant de permettre à un message d’atteindre sa destination. DMARC comporte trois niveaux de protection  : surveillance, quarantaine et rejet ; le rejet étant le plus sûr pour empêcher les messages suspects d’atteindre la boîte de réception du destinataire.
Mettre en œuvre le protocole DMARC permet à une organisation de définir quel traitement doit être appliqué sur les messages électroniques utilisant son nom de domaine, ainsi que la politique à appliquer en cas d’échec lors de la vérification  : accepter le message électronique (p=none, où p signifie ici policy — politique en anglais), le catégoriser comme indésirable (p=quarantine), ou le supprimer (p=reject).

Principales conclusions de la recherche
Au total, Proofpoint a analysé les noms de domaine de l’ensemble des entités qui composent l’écosystème des Jeux de Paris :
–  Sur les 77 partenaires officiels des Jeux Olympiques, alors que 66 d’entre eux (86 %) ont adopté DMARC à son niveau de base, seuls 26 (34 %) protègent activement leur nom de domaine avec l’enregistrement DMARC « rejet » le plus élevé, ce qui signifie que les deux tiers (66 %) des partenaires officiels exposent le public au risque de fraude par courriel ;
–  Parmi les 20 villes qui accueilleront les Jeux, seules 6 d’entre elles (30 %) protègent activement le nom de domaine de leur site internet officiel avec l’enregistrement DMARC « rejet » le plus fort, tandis que 5 (25 %) n’ont pas du tout le protocole DMARC en place ;
–  Sur les 10 plateformes de revente de billets analysées, 8 (80 %) disposent d’un enregistrement DMARC et une seule (10 %) protège activement son nom de domaine en mode « rejet » ;
–  Enfin, les 10 plateformes de voyage analysées sont les plus matures en termes de défenses contre le risque d’usurpation d’identité : 6 (60 %) protègent activement leur nom de domaine en mode « rejet » et 90 % ont mis en place un enregistrement DMARC de base.
Pour Loïc Guézo, directeur de la stratégie cybersécurité SEMEA chez Proofpoint, « Il est préoccupant de constater qu’une majorité des acteurs de l’écosystème des Jeux Olympiques sont encore à la traîne en ce qui concerne la protection de leurs courriers électroniques, quelques mois avant le début de la cérémonie d’ouverture. Le protocole DMARC est une mesure simple à mettre en place et très efficace contre l’usurpation de noms de domaine qui sous-tend la fraude par courriel ; constater que de nombreuses organisations ne l’ont toujours pas mis en place fait craindre l’avènement d’une menace cyber d’ampleur sans précédent. »

« De plus, il est important que les spectateurs potentiels se souviennent que les billets pour les Jeux ne peuvent être achetés que sur le site officiel des Jeux, qui est entièrement conforme à DMARC et bloque de manière proactive les courriels frauduleux qui parviennent au public », poursuit Loïc Guézo.

Si les organisations doivent mettre en place des mesures fortes pour protéger le public, les utilisateurs doivent aussi être extrêmement vigilants, particulièrement à l’approche des Jeux, et garder à l’esprit les recommandations suivantes  : 
• Méfiez-vous des courriels, textes ou appels non sollicités, en particulier s’ils vous suggèrent d’entreprendre une action « urgente » ou de demander un paiement.
• Ne communiquez jamais de données financières ou de mots de passe par courrier électronique ou par SMS. Appelez toujours votre banque directement si une demande vous semble suspecte.
• Il est important de créer un mot de passe unique pour chaque compte en ligne que vous utilisez. Utilisez trois mots aléatoires pour créer un mot de passe fort et mémorable et activez l’authentification multifactorielle (MFA) lorsque c’est possible.