Nous avons tous reçu un e-mail en provenance d'un nom de domaine sérieux, mais qui était en réalité un spam, ou un message d'origine douteuse. Cette d'attaque de type
phishing (hameçonnage en Français), qui consiste
à usurper l'identité d'un site de confiance pour obtenir des renseignements sur la personne, est un véritable fléau. Une technologie qui pourrait y mettre fin commence à se rapprocher de la standardisation.Comme le montre l'exemple du
phishing, les antispams classiques dont la technique consiste à filtrer le contenu des e-mails montrent de plus en plus leurs limites. C'est pourquoi de grands acteurs de l'informatique,
comme Yahoo!, Cisco ou Microsoft, planchent depuis quelque temps sur des techniques d'authentification ou tout au moins de certification de la provenance des e-mails.
Garantir la provenance des e-mails
Inventé par Yahoo!, la technologie DomainKeys est l'une d'elles. Elle consiste à appliquer une signature aux messages qui sont envoyés. Le domaine expéditeur publie sa clé publique dans le serveur DNS et signe les messages sortants
avec sa clé privée.Le serveur de messagerie de réception récupère alors la clé publique sur le serveur expéditeur. Celle-là lui permet de déchiffrer la signature de l'e-mail entrant, donc de le valider. La technologie permet ainsi de vérifier que les
e-mails ont bien été envoyés du domaine dont ils prétendent provenir et de s'assurer que le message n'a pas été altéré durant son transit.
De la nécessité d'un standard
Mais on l'aura compris, cette méthode de lutte contre le spam n'est vraiment efficace que si tout le monde l'utilise, en émission comme en réception. Or l'IETF, l'organisme en charge de la standardisation des technologies d'Internet, a
annoncé la publication d'un premier document
' draft ', baptisé RFC 4871, pouvant conduire à l'adoption d'un standard, basé sur la technologie DomainKeys Identified Mail, qui est en réalité issue
des travaux conjoints de Yahoo! (Domain Keys) et de Cisco (Identified Mail).
' La ratification d'un standard serait une bonne chose pour l'adoption de ce type de technologie, même si elle ne permet pas d'éradiquer complètement le spam. Il faut rester prudent, rien n'est encore fait, un
document de brouillon n'est pas systématiquement appelé à devenir un standard. Cela dit, l'initiative va dans le bon sens ', note Bruno Rasle, coauteur du livre
Halte au Spam. Domain Keys n'est en effet
pas la seule méthode d'authentification des e-mails : elle est en
compétition depuis longtemps avec la solution Sender ID, de Microsoft, qui cherche elle aussi à s'imposer.
Votre opinion