Quinze sociétés liguées contre le phishing

Véritable plaie du courrier électronique, le phising (ou hameçonnage électronique) fait des ravages non seulement dans le grand public, mais également en entreprises. Celles-ci sont concernées aussi bien par l’atteinte à leur image de marque, que par les risques encourus par leurs systèmes d’informations en cas de campagne ciblées. C’était en effet des campagnes de ce types qui étaient à l’origine du piratage de RSA ou du ministère des Finances. Pour lutter à bras le corps contre ce fléau, quinze sociétés américaines - Google, Microsoft, Facebook, Paypal, Yahoo, AOL, ComCast, LinkedIN, Bank of America, Cloudmark, Comcast, Fidelity, American Greetings, Return Path et TDP – ont créé DMARC.org. Ce site promeut la spécification DMARC (Domain-based Message Authentification, Reporting and Conformance) pour authentifier la provenance des messages.

Un futur standard officiel ?

Concrètement, DMARC fonctionne en rejetant les messages qui ne sont authentifié ni par SPF (Sender Policy Framework) ni par DKIM (Domain Key Information Messaging) et en envoyant dans ce cas un message au serveur expéditeur pour lui expliquer la raison du rejet et la façon de s’authentifier correctement.

Entre ces allers-retours, les courriers en provenance d’un nom de domaine différent de celui qu’ils affichent (et donc de nombreux spams et les courriels de phising), seront éliminés, en réduisant les pertes de courriers légitimes. Pour que cela fonctionne, il faut que le prestataire de messagerie de l’envoyeur comme du destinataire supporte DMARC, ce qui ne devrait pas poser de gros soucis. En effet, si DMARC a été annoncé officiellement le 30 janvier dernier, ses membres l’ont déjà implémenté dans leurs serveurs depuis 18 mois. Ainsi, 15 % du trafic transitant par Gmail serait déjà conforme à DMARC, selon Google. A terme, les membres de DMARC.org veulent faire de leur spécification un standard de l’IETF (Internet Engeneering Task Force).