Sécurité : un nouveau système pour valider les emails

par Sébastien Delahaye

tags : pratique , pc , e-mail , spam , Google , sécurité , Yahoo ! , phishing

Tentative de « phishing » imitant Gmail - CC NiKo

La lutte contre le phishing est devenue l’une des priorités sur le net. Le phishing (ou « hameçonnage » en français), c’est cette technique d’arnaque qui permet par exemple de faire croire à l’internaute qu’il a reçu un mail de sa banque ou d’un site qu’il connaît, pour l’encourager à donner des informations bancaires confidentielles... et le dépouiller ensuite. Dans les faits, ça donne un email qui au premier coup d’œil a toutes les caractéristiques d’un mail bancaire (ou provenant d’Ebay, Paypal ou autre gros site). Les détails permettant de reconnaître un faux sont durs à trouver pour le novice, mais le plus évident est qu’aucun organisme bancaire ne réclame jamais un mot de passe par email.

Selon une étude publiée fin janvier par l’Authentication and Online Trust Alliance (l’AOTA, ou alliance pour l’identification et la confiance sur le net), jusqu’à 80% des emails bancaires sont frauduleux. Pour se prémunir contre le phishing, un conglomérat d’entreprises a créé en 2007 un nouveau standard d’authentification des emails : DKIM, pour Domain Keys Identified Mail. Le principe n’est pas tout simple, mais pourrait constituer une solide cure. En pratique, DKIM associe à chaque nom de domaine (par exemple lenomdemabanque.com) une « signature » unique et cryptée (autrement dit, une suite de caractères avec un sens caché). Seuls les emails provenant réellement de lenomdemabanque.com seront associés à cette signature électronique. Si un logiciel de mail (ou un webmail de type Gmail ou Yahoo Mail) reçoit un mail disant venir de lenomdemabanque.com, il ne l’acceptera que s’il présente la bonne signature, car lui peut en décrypter le sens, et donc valider le message. Les emails frauduleux (s’identifiant comme lenomdemabanque.com mais envoyés par des escrocs) seront eux rejetés, puisqu’ils ne peuvent présenter de signature valide. Dans ce cas, le phishing serait mis en échec. Pour que ce scénario idéal se réalise, il reste deux conditions à remplir : convertir les entreprises concernées à DKIM, et rendre compatibles les logiciels et webmails.

Alors que DKIM n’est standardisé que depuis un an par l’Internet Engineering Task Force (IETF, l’organe de standardisation d’Internet), de nombreuses entreprises ont déjà réalisé la transition. Selon l’AOTA, 50% des 500 plus grosses entreprises américaines utiliseraient déjà DKIM. Du côté des logiciels, les webmails de Google et Yahoo, deux des trois principaux (reste le Hotmail de Microsoft), sont annoncés comme compatibles. Il faut dire qu’on retrouve un grand nombre des principales grosses entreprises du web derrière DKIM : AOL, Google, Ebay/Paypal, ou encore Cisco (dont l’équipement réseau fait fonctionner une bonne partie d’Internet) et Yahoo. Ces deux derniers avaient commencé chacun de leur côté un système de type DKIM avant d’unir leurs forces en 2005.

Au delà du phishing, DKIM pourrait aussi servir à résoudre le problème du spam : aujourd’hui, une grande partie de ces courriers publicitaires non sollicités utilise une fausse adresse email d’expéditeur. L’utilisation de DKIM permettrait, dans le meilleur des cas, de diminuer grandement cette pratique.

A lire également sur Ecrans.fr :
- Faux sites, vraies arnaques, le « phishing » progresse toujours
- Cybercriminalité : phishing et escroqueries en vogue

Il y a 0 réaction à cet article.

Lire les réactions.
Réagir à cet article.

Partager cet article

Partager Tweet