Une nouvelle norme ouverte vient d’être publiée. Elle donne le moyen de vérifier que le domaine d’origine d’un mail est bien celui qu’il prétend être. Serait-ce enfin la mort du SPAM, du phishing et autres fléaux ?
Un problème d’insécurité congénitale
Au temps de l’innocence de l’Internet tout le monde se faisait confiance. Il était inutile de vérifier qu’un message provenait bien du domaine indiqué dans l’entête. Personne n’imaginait alors les flots nauséabonds de Spam et d’escroqueries en tous genres qui inondent maintenant nos boites à lettres. Les auteurs des premiers protocoles mail n’ont donc rien prévu pour cela.
Mais aujourd’hui plus de 90% des messages qui circulent sont illégitimes et leurs auteurs ne veulent surtout pas qu’on sache d’où ils proviennent. Il était urgent de trouver un moyen sûr d’identifier l’expéditeur.
Deux solutions sont proposées
Deux solutions principales sont proposées pour rajouter la couche de sécurité qui manquait au départ du protocole SMTP. Les deux méthodes utilisent le système DNS, celui qui permet d’établir une correspondance entre les adresses IP et les noms de domaine. Les enregistrements DNS sur les serveurs de noms sont sous le contrôle du propriétaire du nom de domaine et les spammeurs n’y ont pas accès.
La première solution proposée s’appelle SPF, reprise et transformée par Microsoft dont la version s’appelle SenderID. Elle consiste à rajouter dans l’enregistrement DNS une chaîne texte qui fait savoir quelles machines ont le droit d’expédier du mail pour le compte de ce domaine.
La deuxième solution a reçu le nom de DomainKey chez Yahoo! et d’Identified Internet Mail chez Cisco. Sous l’égide de l’IETF ces protocoles ont été unifiés sous le nom de DKIM (domain key identified mail – mail identifié par clé de domaine). La norme résultante est publiée en mai 2007 sous la forme habituelle d’un appel à commentaires : RFC4871. Une signature digitale à double clé est associée au nom de domaine sous forme d’un nouveau type d’enregistrement DNS. La clé publique est liée au domaine. La clé privée est utilisée par tout agent autorisé du domaine pour signer les messages sortants. Le DKIM est une norme totalement ouverte et pourra donc être utilisée par tout un chacun sans aucune royaltie. Une ou plusieurs clés peuvent être associées au domaine (pour des sous-domaines notamment).
En quoi cela me concerne ?
Dans l’immédiat très peu. Mais maintenant que la norme est publiée elle va pouvoir être rapidement adoptée par tous les acteurs du mail : fournisseurs de logiciels ou d’accès. La signature DKIM est placée dans les entêtes des messages et reste ainsi généralement invisible pour l’utilisateur. Mais le serveur de mail destinataire a la faculté de l’utiliser pour vérifier l’origine du message et ainsi décider automatiquement s’il faut le considérer comme du SPAM, comme suspect, ou bien le laisser passer. Cette vérification ne requiert aucune décision de l’utilisateur final.
Comment ça marche ?
Une paire de clés est générée par le propriétaire du nom de domaine et ne nécessite pas une certification par un tiers. Si le propriétaire légitime d’un domaine décide de signer systématiquement ses messages, tout destinataire saura qu’un message non signé n’est pas légitime et pourra le traiter en conséquence. Par exemple, un message venant de Paypal.com qui n’est pas signé par Paypal ne sera pas légitime.
Mais, direz-vous, qu’est-ce qui empêche les spammeurs de signer leurs messages aussi? Rien ne s’y oppose, au contraire. Ils seront alors identifiés de façon certaine et les serveurs destinataires pourront désormais rejeter automatiquement tout message provenant de ce domaine. Le DKIM est lié au nom de domaine et non à l’adresse IP. Le spammeur ne peut donc pas se défendre en changeant simplement d’adresse IP.
La signature DKIM ne crypte pas le corps du message et ne le rend donc pas illisible pour un destinataire quelconque. Par contre, si le destinataire décide de vérifier la signature il est sûr en prime que le corps du message n’a pas été capté et modifié en route.
Alors quand pourra-t-on utiliser ce système ?
Tous les fournisseurs de services mail peuvent maintenant commencer à incorporer cette norme dans leurs produits. On s’attend à une adoption rapide, avec probablement Yahoo! en premier et Microsoft en dernier étant donné les efforts mis dans le développement du projet SenderID.
Tous les propriétaires de noms de domaine peuvent maintenant demander à leurs administrateurs DNS de se préparer à leur donner le moyen d’ajouter la clé DKIM dans l’enregistrement DNS. Dès que les nouvelles versions - compatibles DKIM - de logiciels mails (serveurs et clients) seront sorties nous aurons tous enfin une nouvelle arme dans notre lutte contre les spammeurs, les phisheurs et autres enquiquineurs en tous genres.
• 2 solutions de norme anti-SPAM: . 1.SenderID (Microsoft): elle consiste à rajouter dans l'enregistrement DNS une chaîne texte qui fait savoir quelles machines ont le droit d'expédier du mail pour le compte de ce domaine. • 2.Domain Key Identified Mail (Yahoo! & Cisco): Une signature digitale à double clé est associée au nom de domaine sous forme d'un nouveau type d'enregistrement DNS. La clé publique est liée au domaine. La clé privée est utilisée par tout agent autorisé du domaine pour signer les messages sortants. Il s'agit d'une norme ouverte qui pourra donc être utilisé sans débourser aucun royaltie.
Lettre gratuite
Sur votre site
RSS
Imprimer l'article
Envoyer l'article
= requiert un