L'enjeu est d'abord de tester les différentes méthodes en conditions réelles, et d'amorcer un mouvement, car le procédé employé devra se généraliser avant de se montrer efficaces. Il vise, à terme, à rendre le spam impossible, alors que les outils de filtrage utilisés jusqu'ici se contentent de réduire le volume de spam dans les boîtes aux lettres des utilisateurs... ce qui charge les serveurs, et incite les spammeurs à augmenter leurs volumes d'envois.
AOL va utiliser, à partir de septembre, la solution Sender ID, qu'Hotmail a déjà annoncée vouloir déployer début octobre. Sender ID combine deux méthodes pour comparer expéditeur et adresse IP. D'abord SPF (pour Sender Policy Framework), qui est greffé sur le protocole SMTP. Souvent dénoncé pour sa trop grande "ouverture" au spam, il requiert de l'expéditeur qu'il indique son adresse IP dans l'en-tête du message.
Ensuite Caller ID qui se charge de contrôler la concordance du nom de domaine déclaré de l'expéditeur avec cet adresse IP, en se basant sur une base de données commune à tous les fournisseurs de serveurs de messagerie. Cette seconde technologie n'intervient que si le premier contrôle n'a pas suffi à légitimer le message - car c'est bien là l'objectif.
Quant à Yahoo, il utilisera un système de signature numérique, baptisé Domain Keys. Il devrait permettre de garantir l'identité de l'expéditeur, ainsi que l'intégrité du message. Pour cela, la méthode comprend une procédure de hachage qui génère l'empreinte du message, puis l'encode par le biais d'une clé privée. Le serveur destinataire déchiffrant ensuite l'e-mail grâce à une clé publique - lui permettant de vérifier que l'empreinte du message à l'arrivée correspond à celle annoncée.
Dans tous les cas, les messages authentifiés seront directement distribués à leur destinataire final, sans passer par le contrôle supplémentaire d'un filtre antispam traditionnel au niveau du gestionnaire de messagerie. Ce type d'outils restera néanmoins nécessaire tant que tous les serveurs de courriers électroniques n'auront pas, au minimum, adopté une méthode d'authentification des messages sortants.
En théorie, l'application générale de ces techniques devrait permettre de réduire, sinon d'éradiquer, l'utilisation d'adresses e-mail usurpées (spoofing), qui permet aux spammeurs de ne pas révéler leur identité, et surtout d'emprunter des adresses respectables.
Par Alexandre Chassignon (JDN)
|