Messagerie électronique : le cas complexe des comptes non-nominatifs

Les adresses e-mail non nominatives sont courantes, pour les points de contact, les services de support, les DPO, etc. Bref, pour toute adresse correspondant à une fonction de l’organisation concernée, fonction gérée par plusieurs individus.

Les objectifs peuvent être variés : simplifier la mise en relation, préserver l’identité des personnes concernées, assurer une continuité opérationnelle lors d’un changement dans les effectifs, etc.  

Ce type d’adresse peut être géré, suivant les cas, avec un mécanisme d’alias, de boîte partagée, voire de compte utilisateur non-nominatif, et potentiellement partagé.

Les alias suffisent lorsqu’il s’agit de diriger le courriel envoyé à plusieurs adresses différentes vers une même boîte mail. C’est en outre quelque d’assez simple à faire évoluer dans le temps au rythme des changements internes de l’entreprise.

Associer des adresses mail non nominatives à de véritables boîtes de messagerie ne manque pas d’avantages. Cela aide à assurer la conformité pour les rôles sensibles (RH, finances, juridique, gestion des incidents) pour lesquels il est souhaitable de disposer d'identifiants distincts, d'un contrôle d'accès et de journaux vérifiables par utilisateur ou par fonction.

En outre, les boîtes aux lettres véritablement partagées permettent à plusieurs membres du personnel de lire et de répondre, par exemple à l'adresse support, tout en conservant leurs identifiants et autorisations individuels.

Idéalement, aucun véritable compte n’est créé pour une boîte mail partagée : les personnes devant y accéder y sont autorisées par un mécanisme de délégation/permission. Ainsi, leurs accès individuels peuvent être effectivement tracés et protégés par une authentification à facteurs multiples.

Microsoft 365 et Exchange supportent ce mode de fonctionnement, ainsi que Google Workspace ou même Dovecot et Cyrus, en autres. Mais encore faut-il que cela ait été mis en place.

La dernière façon de procéder consiste à créer un compte dédié à l’adresse générique et d’en partage les identifiants avec tous les individus susceptibles de gérer cette adresse… ce qui réduit considérablement la traçabilité des opérations menée au nom de cette adresse générique et rend hautement difficile l’implémentation de la MFA pour sécuriser le compte correspondant à cette adresse.

Loïc Guezo, directeur sénior chez Proofpoint en charge de la stratégie de cybersécurité, observe ces trois approches adoptées chez ses prospects et clients, tout en soulignant que la dernière est clairement « la moins recommandée ». Et cela d’autant plus que les adresses non-nominatives sont bien plus critiques que l’on peut l’imaginer.

« Les adresses partagées apparaissent régulièrement en tête de liste des adresses visées par des attaques », explique-t-il. Pourquoi ? « Parce qu’elles constituent un point d’entrée facile à trouver, par essence, et privilégié : les assaillants savent qu’ils touchent là des personnes soumises à une forte pression temporelle ». Une pression qui rend vulnérable.

Le sentiment d’urgence peut, par exemple, aider à conduire un interlocuteur à poursuivre un échange sur un autre canal ne bénéficiant pas des protections de la messagerie électronique. De quoi lancer une opération de hameçonnage, ou tenter un « ClickFix », par exemple.

Et une fois une adresse partagée non-nominative compromise, l’éventail des actes de cyber-malveillance possible est extrêmement étendu : « l’assaillant peut compromettre le fil des conversations, restait là longuement sans être repéré » et, par exemple, chercher à piéger les clients d’une entreprise, en leur adressant de vraies-fausses coordonnées bancaire. Un piège d’une efficacité redoutable.