Anti-phishing : outils et techniques avancées

Ce que vous saurez faire

1. SPF/DKIM/DMARC pour protéger votre domaine
2. Analyser en-tête email suspect
3. FIDO2 anti-AiTM
4. Entraînement Gophish

Étape 1 — Vecteurs 2026

Email              70% des attaques
SMS (smishing)     +++, liens Wave/OM
Vishing            IA clone voix dirigeant
QR code            "quishing" transport/resto
LinkedIn DM         faux recruteurs
WhatsApp           groupes frauduleux
AiTM               proxy vole cookie post-MFA

Étape 2 — SPF

# Record TXT à example.sn
v=spf1 include:_spf.google.com include:mailgun.org -all

Étape 3 — DKIM

# Record TXT à selector._domainkey.example.sn
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GN...

Étape 4 — DMARC strict

# Record TXT à _dmarc.example.sn
v=DMARC1; p=reject; rua=mailto:dmarc@example.sn; 
ruf=mailto:dmarc@example.sn; pct=100

dig +short TXT example.sn
dig +short TXT _dmarc.example.sn
# Vérifier: dmarcian.com ou mxtoolbox.com

Étape 5 — Analyser un email suspect

import email

with open("suspect.eml","rb") as f:
    msg = email.message_from_bytes(f.read())

print("From:", msg["From"])
print("Return-Path:", msg["Return-Path"])
print("Reply-To:", msg["Reply-To"])
print("Auth:", msg["Authentication-Results"])

# Anomalies:
# - Return-Path ≠ From → suspect
# - Multi IPs "Received: from" inhabituelles
# - spf=fail ou dkim=fail

Étape 6 — Tester une URL

# Expansion URL raccourcie
curl -sI "https://bit.ly/XXXX" | grep -iE '^location:'

# VirusTotal
curl -s "https://www.virustotal.com/api/v3/urls/$(echo -n 'url' | base64 | tr -d '=')" \
  -H "x-apikey: $VT_KEY" | jq .data.attributes.last_analysis_stats

# Âge du domaine
whois suspect-domain.com | grep -iE '(creation|created)'

Étape 7 — FIDO2 anti-AiTM

AiTM (kit Evilginx):
  Faux site vole identifiants + OTP
  TOTP ne protège PAS

FIDO2 / WebAuthn (YubiKey, Google Titan):
  Token cryptographique vérifie domaine origine
  Impossible à phisher par design

Budget: 25-50 USD/clé × 2 par user (primaire + backup)

Étape 8 — Cloudflare Email Security

Cloudflare Email Security (ex-Area 1)
Analyse emails entrants avant livraison

MX DNS: 10 mx.cloudflare-email.com
Par défaut: bloque usurpation, BEC, phishing
Coût: 6 USD/user/mo

Étape 9 — DMARC agent parsedmarc

pip install parsedmarc
parsedmarc *.xml --output report.json

# Analyse:
# - Forwarders légitimes qui échouent DKIM
# - Domaines usurpateurs
# - Progression: p=none → p=quarantine → p=reject

Étape 10 — Entraînement Gophish

docker run -p 3333:3333 -p 80:80 gophish/gophish:latest
# Admin: https://localhost:3333 (admin/gophish)

# Campagnes mensuelles:
# - 3 niveaux de difficulté
# - Formation 3 min après clic (sans punir)
# - Cible: taux clic < 5%, signalement > 50%

Étape 11 — Deepfake audio (vishing)

Attaque: voix clonée dirigeant
"Vire 50M FCFA urgence fournisseur X"

Défense:
1. Code secret par demande financière
2. Double validation > 5M FCFA
3. JAMAIS se fier à la voix seule
4. Logs appels + vérif canal alternatif (SMS/Slack)
5. Former équipe compta EN PRIORITÉ

Étape 12 — Incident response email cliqué

Checklist 10 min:
1. Isoler le poste (déconnecter réseau)
2. Changer mot de passe (depuis AUTRE poste)
3. Révoquer sessions:
   - Workspace: Admin > User > Sign out all
   - M365: Entra > User > Revoke sessions
4. Vérifier règles de transfert mail malveillantes
5. Scanner poste (Defender / Malwarebytes)
6. Notifier CISO / CERT-SN
7. Analyser boite mail: d'autres reçu l'email?
8. Bloquer expéditeur + domaine au MX
9. Post-mortem 48h

Étape 13 — 4 questions avant clic

1. Expéditeur est-il celui qu'il prétend? (vérifier autre canal)
2. Ton inhabituel? (urgence artificielle, menace)
3. Lien mène bien où il dit? (survoler sans cliquer)
4. Demande raisonnable ici? (DG n'envoie pas virement par mail)

Doute sur UNE question → appel téléphone.
30s de téléphone >> 50M FCFA d'arnaque.

Checklist

✓ SPF, DKIM, DMARC p=reject
✓ Cloudflare Email Security ou équivalent
✓ FIDO2 pour comptes admin
✓ Gophish simulations mensuelles
✓ Code secret virements importants
✓ Bouton "Report phishing" dans email client
✓ Runbook incident email documenté