L’e-mail authentifié entre en phase de test

Par Daniel Kaplan

Face au spam et à l’usurpation d’identité dans les courriels, les grands acteurs du secteur se mobilisent et expérimentent plusieurs solutions.

Schéma DomainKeys A court terme, la piste explorée consiste a vérifier la source du courriel. Un e-mail est en effet envoyé avec une adresse d’expéditeur et une adresse de retour, qu’il est facile de modifier (spoofing) pour faire croire que le message a une origine légitime. Nous avons ainsi tous reçu des spams provenant apparemment d’entreprises ou de personnes que nous connaissons bien, et qui ne les ont jamais envoyés, même à leur insu. Les deux principales solutions en lice, Sender ID (promue par Microsoft) et DomainKeys (promue par Yahoo !) vérifient que l’adresse IP d’origine du mail, qui est plus difficile à falsifier, correspond bien à l’un des serveurs de mail « autorisés » du nom de domaine indiqué dans l’adresse de l’expéditeur. Ce qui signifie que ces serveurs soient recensés dans des bases de données. Une fois ce recensement effectué, il devient également possible d’évaluer chaque serveur d’expédition, d’en vérifier le comportement (pour déterminer, par exemple, s’il émet fréquemment des spams, ou si un comportement aberrant pourrait laisser penser que sa sécurité a été compromise) et de construire un système de « réputation » des serveurs d’e-mail.

DomainKeys ajoute également une signature électronique aux messages, attachée, non pas à l’expéditeur, mais au serveur d’expédition. Celle-ci est vérifiée avant la lacture du message. Elle permet éventuellement de vérifier l’intégrité du message.C’est le cas d’Identified Internet Mail, proposé par Cisco.

Plusieurs fournisseurs de logiciels ont commencé à mettre en oeuvre ces solutions. Les entreprises commencent à les adopter. Les différents dispositifs ont été proposés comme standards à l’IETF (Internet Engineering Task Force, en charge des standards de l’internet), même si celle -ci – notamment son « groupe de recherche anti-spam » – ne soutient encore aucune proposition.

Comme le souligne pour Cnet le patron de l’entreprise Sendmail, Dave Anderson, cette évolution marque cependant une étape importante dans l’histoire du courriel : « SMTP, le protocole aujourd’hui utilisé pour expédier les courriels de serveur en serveur, est encore un système fondé sur la confiance. (…) L’authentification des e-mails nous permet de savoir d’où provient un e-mail de manière à ce que nous puissions décider de le lire ou non. »

Il est probable que l’importance du spam rende de telles solutions indispensables, sous peine de rendre le courriel inutilisable. Mais que perdrons-nous en abandonnant un « système fondé sur la confiance » ?

À lire aussi sur internetactu.net

0 commentaires

  1. « Que risque t’on » surtout ? Peut on avoir confiance dans l’organisme qui mettrais en place ce système?
    Qui va faire le tri entre spam et mail utile?
    Si on peut trier le spam du reste ne pourrait t’on pas aussi trier les courriers politiquement correct et les autres…
    Si c’est Microsoft ou un autre qui contrôle ne verra t’on pas un jour apparaitre des emails prioritaires, il pourrait même demander une somme dérisoire par email pour qu’il soit envoyé en mode prioritaire sécurisé… On irait vers un système de mail à 2 vitesses.
    Le spam n’est pas un problème technique, c’est un problème d’éducation, il faut éduquer les internautes. Changer les protocoles du net pour résoudre ce problème n’est pas une bonne idée.