Le National Cyber Security Center (NCSC) du Royaume-Uni a annoncé un nouveau service de vérification de la sécurité des e-mails pour aider les organisations à identifier les vulnérabilités qui pourraient permettre aux attaquants d’usurper les e-mails ou de conduire à des violations de la confidentialité des e-mails.
L’agence gouvernementale, qui dirige la mission de cybersécurité du Royaume-Uni, affirme que l’outil Email Security Check ne nécessite aucune inscription ni aucune donnée personnelle.
Ce service a été développé et est maintenant fourni en ligne gratuitement en réponse directe à certains secteurs britanniques ayant une adoption superficielle des contrôles de sécurité des e-mails recommandés (aussi bas que 7 % dans certains cas), comme le souligne le NCSC. conseils sur la sécurité des e-mails et l’anti-usurpation d’identité.
L’utilisation de Email Security Check permet aux défenseurs de rechercher des informations accessibles au public sur les domaines de messagerie et de vérifier les risques d’anti-usurpation et de confidentialité des e-mails.
Cela fonctionne en vérifiant les enregistrements DNS Internet accessibles au public pour vérifier si les contrôles anti-usurpation (notamment la politique DMARC) sont correctement configurés et la configuration TLS en initiant une « prise de contact » du serveur.
« Il vérifie que les normes anti-usurpation d’identité, telles que DMARC, sont configurées correctement pour aider les organisations à empêcher les cybercriminels d’abuser de leur domaine et d’envoyer des e-mails malveillants se faisant passer pour eux », a déclaré le NCSC.
« Il vérifie également si des protocoles de confidentialité, tels que TLS, sont en place pour garantir que les e-mails sont cryptés lorsqu’ils sont en transit afin qu’ils ne soient pas accessibles et restent confidentiels entre les serveurs de messagerie. »
Il n’y a pas d’inscription ou de détails personnels requis. Et il vise à aider les équipes techniques à identifier rapidement les problèmes, puis à utiliser les conseils du NCSC pour renforcer les défenses.
– NCSC Royaume-Uni (@NCSC) 10 mai 2022
Tandis que le Vérification de la sécurité des e-mails ne pourra identifier que les vulnérabilités que les cybercriminels peuvent découvrir, son objectif est d’aider les organisations à les identifier avant qu’elles ne soient exploitées et le domaine de messagerie ciblé par les attaques.
Les organisations éligibles peuvent également accéder à des « conseils approfondis » sur la sécurisation de leur courrier électronique en s’inscrivant au programme gratuit du NCSC. Service de vérification du courrier.
Cependant, Mail Check n’est actuellement pas disponible pour le secteur privé, mais uniquement pour les organisations du gouvernement central, les autorités locales, les administrations décentralisées, les services d’urgence, les organisations du NHS, les universités et les organisations caritatives.
« Notre nouvel outil Email Security Check aide les utilisateurs à identifier où ils peuvent faire plus pour empêcher l’usurpation d’identité et protéger la confidentialité et offre des conseils pratiques sur la façon de rester en sécurité, » mentionné Paul Maddinson, directeur du NCSC pour la résilience et la stratégie nationales.
« En suivant les actions recommandées, les organisations peuvent aider à renforcer leurs défenses, démontrer qu’elles prennent la sécurité au sérieux et rendre la vie plus difficile aux cybercriminels. »
Bien que l’outil puisse vérifier la sécurité des domaines de messagerie, il ne peut pas vérifier si des e-mails ou des domaines de messagerie individuels sont malveillants. Le NCSC conseille à ceux qui reçoivent des e-mails suspects de les signaler en les transmettant à report@phishing.gov.uk.