Phishing et usurpation : comment protéger l'image de votre marque.

De ce fait, en lisant ce guide, vous allez comprendre exactement comment les fraudeurs s’y prennent pour voler l’identité de votre entreprise, mais surtout comment leur bloquer la route définitivement. Nous allons voir ensemble ce que ces attaques coûtent réellement à votre business, comment fonctionnent les trois outils techniques de protection (SPF, DKIM, DMARC) et comment l’œil de l’expert Iroquois vous aide à transformer la sécurité en un vrai argument de vente.

Dans cet article, nous allons analyser la menace en détail, chiffrer les pertes pour votre tunnel de vente, installer votre système de défense pas à pas et répondre aux questions les plus fréquentes sur la réputation de votre marque.

Le Spoofing : l’usurpation technique

Le spoofing, c’est le terme technique pour désigner la falsification d’une adresse email. Le pirate modifie le code caché du message pour faire croire que l’email vient de votre entreprise. À la naissance d’Internet, les systèmes de messagerie n’ont pas été conçus pour vérifier l’identité réelle de l’expéditeur. C’est pourquoi n’importe quel hacker peut configurer un outil pour afficher contact@votremarque.com à la place de sa vraie adresse, sans même avoir besoin de pirater vos serveurs ou vos mots de passe.

1. Exemple : Un de vos clients reçoit un email qui ressemble à s’y méprendre à vos messages habituels (mêmes couleurs, même logo). Le texte lui demande de payer une facture en retard. Quand il regarde l’expéditeur, il voit votre vrai nom de domaine, sans aucune faute d’orthographe.
2. Bénéfice métier : En comprenant que le spoofing n’est pas un piratage de vos ordinateurs mais une simple copie de votre nom, votre équipe technique peut réagir calmement et appliquer les bons filtres sans couper vos propres outils par panique.

Le Phishing : le piège psychologique

Le phishing (ou hameçonnage) utilise le spoofing pour pousser une personne à faire une erreur. Ici, les pirates ne forcent pas les coffres-forts numériques, ils s’arrangent pour que la victime leur donne les clés d’elle-même. C’est pourquoi les emails de phishing jouent toujours sur les mêmes émotions : l’urgence, la peur de voir son compte bloqué, ou une promesse d’argent.

1. Exemple : Un de vos clients reçoit un message disant que son abonnement SaaS va être coupé dans les deux heures si ses coordonnées bancaires ne sont pas mises à jour. Stressé, le client clique sur le lien, arrive sur une copie conforme de votre site et donne ses codes de carte bleue aux pirates.
2. Bénéfice métier : Si vos équipes marketing connaissent ces pièges, elles peuvent adapter leur façon d’écrire. En évitant d’utiliser un ton trop agressif ou trop urgent dans vos vraies newsletters, vous apprenez à vos clients à reconnaître les vrais messages des faux.

Quand les clients reçoivent des faux emails et s’en rendent compte, ils cliquent massivement sur le bouton « Signaler comme courrier indésirable ». Les grandes messageries comme Gmail, Outlook ou Orange surveillent ces clics en permanence. Si votre nom de domaine accumule trop de plaintes, les algorithmes décident que vous n’êtes plus un expéditeur de confiance.

Par conséquent, vos prochaines campagnes marketing (vos vraies promotions, vos newsletters, vos confirmations de commande) seront automatiquement envoyées dans le dossier spam de vos destinataires. Vos taux d’ouverture s’effondrent, vos ventes baissent, et nettoyer cette mauvaise réputation peut prendre de longs mois.

[Faux emails envoyés] ➔ [Les clients cliquent sur « Spam »] ➔ [Votre domaine est puni]

                                                                      │

[Baisse des ventes] ◄── [Vos vrais emails vont dans les spams] ◄──────┘

La perte de confiance et le départ des clients

La confiance est la base de toute vente sur Internet. Si un client perd de l’argent ou se fait voler ses données à cause d’un email qui portait votre logo, il va associer votre marque à une très mauvaise expérience.

Même si votre entreprise n’a commis aucune faute technique, le client estimera que vous n’avez pas su le protéger. C’est pourquoi de nombreuses entreprises subissent une forte hausse des désabonnements et une baisse des réachats après une vague de phishing.

Une surcharge de travail pour le service client

Dès qu’une attaque commence, les téléphones du service client se mettent à sonner en boucle et la boîte de support déborde. Les clients paniqués veulent savoir si le message est vrai, s’ils ont été piratés ou s’ils vont être remboursés. Cette surcharge de travail bloque vos équipes, augmente les délais d’attente pour les clients qui voulaient acheter, et engendre des coûts de gestion importants.

SPF : la liste des serveurs autorisés

Le protocole SPF est un petit texte à ajouter dans la configuration de votre nom de domaine (vos DNS). Ce texte fonctionne comme une liste d’invités : il indique la liste exacte des machines et des outils (comme Iroquois ou votre logiciel CRM) qui ont le droit d’envoyer des emails avec votre nom.

1. Exemple : Quand vous envoyez un email avec Iroquois, la messagerie du destinataire (Gmail par exemple) va lire votre texte SPF. Elle voit qu’Iroquois est bien sur la liste, donc elle accepte l’email. Si un pirate envoie un message depuis sa propre machine, son adresse ne sera pas sur la liste et l’email sera bloqué.
2. Bénéfice métier : Vous décidez vous-même, et de manière très stricte, qui a le droit de parler au nom de votre marque sur Internet.

DKIM : la signature invisible

DKIM fonctionne comme un sceau de sécurité sur une lettre. C’est une signature mathématique invisible intégrée dans le code de chaque email que vous envoyez. Elle utilise un système de clés d’authentification pour prouver que le message vient bien de chez vous et qu’il n’a pas été modifié pendant son voyage.

1. Exemple  : Si un pirate intercepte votre email pendant son acheminement pour modifier le lien d’un bouton et y mettre un site frauduleux, la signature DKIM est immédiatement cassée. La messagerie du destinataire comprend tout de suite que le contenu a été truqué.
2. Bénéfice métier : C’est la garantie absolue pour vos clients et pour les filtres anti-spam que le texte reçu est exactement celui que vous avez écrit, sans aucune modification.

DMARC : le chef de la sécurité

DMARC est l’outil qui pilote les deux autres. Jusqu’ici, SPF et DKIM disaient si un email était vrai ou faux, mais ils ne disaient pas quoi faire des faux emails. DMARC règle ce problème en donnant des ordres clairs aux messageries. Il propose trois niveaux d’action :

1. p=none : Vous observez la situation et vous recevez des rapports d’erreurs, mais vous laissez passer les emails.
2. p=quarantine : Vous demandez d’envoyer tous les emails suspects directement dans le dossier spam des clients.
3. p=reject : Vous demandez de détruire immédiatement les faux emails. Le message n’arrive jamais jusqu’au client.

1. Exemple : Avec DMARC configuré sur p=reject, si un pirate tente d’envoyer un faux email en votre nom, Orange ou Microsoft suppriment le message avant même que le client ne puisse le voir. La menace est éliminée en arrière-plan.
2. Bénéfice métier : Une sécurité totale et automatique qui protège vos clients sans qu’ils n’aient rien à faire de leur côté.

Étape 1 : Faites la liste de tous vos outils d’envoi

Avant de verrouiller les accès, vous devez savoir qui utilise votre nom de domaine. Faites le tour de vos équipes pour lister tous les logiciels qui envoient des emails :

• Votre outil de marketing (Iroquois).
• Votre CRM pour les commerciaux (HubSpot, Salesforce…).
• Votre outil de facturation ou de comptabilité.
• Les outils d’assistance pour le support client.
• Vos boîtes emails professionnelles de tous les jours (Outlook ou Google).

Étape 2 : Installez SPF et DKIM partout

Pour chaque outil trouvé dans l’étape 1, allez dans les options de configuration pour récupérer les codes SPF et DKIM. Vous devez ensuite copier ces codes dans l’interface de gestion de votre nom de domaine (chez OVH, Cloudflare, Gandi…).

⚠️ Attention : On ne peut avoir qu’un seul texte SPF par nom de domaine. Si vous utilisez plusieurs outils, vous devez regrouper toutes les autorisations sur une seule et même ligne de texte.

Étape 3 : Activez DMARC en mode observation (p=none)

Pour ne pas risquer de bloquer un outil important que vous auriez oublié à l’étape 1, commencez par activer DMARC en mode passif. Créez une ligne de texte appelée _dmarc.votremarque.com et écrivez ceci :

Plaintext

v=DMARC1; p=none; rua=mailto:securite@votremarque.com

Grâce à la balise rua, les grandes messageries vont vous envoyer chaque jour des rapports par email pour vous lister toutes les machines qui utilisent votre nom.

Étape 4 : Lisez les rapports et ajustez les réglages

Pendant deux ou trois semaines, étudiez ces rapports (vous pouvez utiliser des outils en ligne pour les lire facilement car ce sont des fichiers techniques complexes). Vérifiez bien que vos vrais outils marketing et internes valident les tests. Si un logiciel légitime est signalé en erreur, corrigez ses réglages SPF ou DKIM.

Étape 5 : Passez au blocage des pirates (p=reject)

Quand vous voyez que 100% de vos outils fonctionnent parfaitement et passent les tests avec succès, vous pouvez fermer la porte aux fraudeurs. Modifiez votre texte DMARC pour passer en mode strict :

Plaintext

v=DMARC1; p=reject; rua=mailto:securite@votremarque.com

À partir de ce moment précis, l’usurpation de votre nom de domaine est totalement bloquée sur Internet.

Chez Iroquois, nous expliquons à nos clients que s’occuper de ces sujets techniques permet d’améliorer directement les résultats des campagnes marketing. Protéger votre marque contre le phishing ne sert pas seulement à éviter les crises, c’est aussi un excellent moyen de vendre plus.

En effet, lorsque votre configuration DMARC est parfaite et réglée sur p=reject, vous gagnez le droit d’utiliser une nouvelle technologie appelée BIMI (Brand Indicators for Message Identification). Ce système permet d’afficher le logo officiel de votre entreprise directement à côté de vos emails dans la boîte de réception de vos clients (sur Gmail ou Apple Mail par exemple), avant même qu’ils n’ouvrent le message.

[Votre Logo Officiel]  VOTRE MARQUE  ►  Découvrez nos nouveautés de la semaine…

Ce petit logo officiel rassure immédiatement le client au milieu de tous ses autres emails. Vos concurrents qui n’ont pas fait cet effort de sécurité afficheront une simple pastille grise avec des initiales anonymes. Les résultats sur le terrain sont très clairs : l’utilisation conjointe de DMARC et de BIMI permet de faire monter vos taux d’ouverture de 10% à 15% et améliore la fidélité de vos acheteurs. La sécurité n’est plus une contrainte, elle devient un outil de performance commerciale.

Comment savoir si des pirates utilisent mon nom de domaine pour du phishing ?

Le moyen le plus simple est d’activer DMARC. Les rapports quotidiens vous diront tout de suite si des machines inconnues envoient des messages avec votre nom. Vous pouvez aussi surveiller les signaux d’alerte : une hausse soudaine des messages d’erreur dans votre boîte de réception ou des clients qui contactent votre support pour vous demander si un email bizarre vient vraiment de chez vous.

Quelle est la différence entre le spoofing et le typosquatting ?

Le spoofing est un mensonge purement technique : le pirate utilise votre nom exact (comme @votremarque.com) en profitant du fait que vos sécurités ne sont pas activées. Le typosquatting est une ruse visuelle : le pirate achète un vrai nom de domaine qui ressemble beaucoup au vôtre (comme @votre-marquue.com avec deux ‘u’) pour tromper l’œil du client. DMARC bloque le spoofing à 100%, mais pour contrer le typosquatting, il faut surveiller les dépôts de noms de domaines.

Si j’utilise un routeur d’emailing connu, est-ce que je suis protégé automatiquement ?

Non, car un routeur d’emailing n’a pas le droit de modifier la sécurité de votre nom de domaine à votre place. Le routeur vous fournit des serveurs d’envoi très puissants et très propres, mais c’est à vous d’aller dans vos configurations DNS pour déclarer que vous donnez l’autorisation à ce routeur de s’exprimer en votre nom. C’est une action obligatoire pour être protégé.