Sender ID et Domain Keys, un pas dans la lutte contre le spam

 

F-VNS SECURITY v2.0 - Le service de veille personnalisée, destiné aux responsables sécurité des systèmes d'information (RSSI) et directeurs informatiques » Période d'essai gratuite de 15 jours


Par Alexandre Chassignon (JDN) - Le coup d'envoi de la plus grande initiative de lutte contre le spam jamais tentée sera donné à la rentrée. Yahoo, Microsoft et AOL vont déployer des solutions d'authentification des e-mails sur leur plate-forme de messagerie Web respective. Il ne sera, dans un premier temps, pas question de bloquer les courriels suspects, mais plutôt de déterminer quels sont les messages légitimes.

Les proportions considérables prises par le spam ont rendu nécessaire cette réaction : d'après Symantec, 65% du trafic de courriers électroniques en juillet 2004 relevait du spam, contre 50% un an plus tôt. Vu l'ampleur du phénomène, ces premières initiatives ne devraient cependant pas résoudre instantanément le problème.

 


L'enjeu est d'abord de tester les différentes méthodes en conditions réelles, et d'amorcer un mouvement, car le procédé employé devra se généraliser avant de se montrer efficaces. Il vise, à terme, à rendre le spam impossible, alors que les outils de filtrage utilisés jusqu'ici se contentent de réduire le volume de spam dans les boîtes aux lettres des utilisateurs... ce qui charge les serveurs, et incite les spammeurs à augmenter leurs volumes d'envois.

AOL va utiliser, à partir de septembre, la solution Sender ID, qu'Hotmail a déjà annoncée vouloir déployer début octobre. Sender ID combine deux méthodes pour comparer expéditeur et adresse IP. D'abord SPF (pour Sender Policy Framework), qui est greffé sur le protocole SMTP. Souvent dénoncé pour sa trop grande "ouverture" au spam, il requiert de l'expéditeur qu'il indique son adresse IP dans l'en-tête du message.

 Ensuite Caller ID qui se charge de contrôler la concordance du nom de domaine déclaré de l'expéditeur avec cet adresse IP, en se basant sur une base de données commune à tous les fournisseurs de serveurs de messagerie. Cette seconde technologie n'intervient que si le premier contrôle n'a pas suffi à légitimer le message - car c'est bien là l'objectif.

Quant à Yahoo, il utilisera un système de signature numérique, baptisé Domain Keys. Il devrait permettre de garantir l'identité de l'expéditeur, ainsi que l'intégrité du message. Pour cela, la méthode comprend une procédure de hachage qui génère l'empreinte du message, puis l'encode par le biais d'une clé privée. Le serveur destinataire déchiffrant ensuite l'e-mail grâce à une clé publique - lui permettant de vérifier que l'empreinte du message à l'arrivée correspond à celle annoncée.

Dans tous les cas, les messages authentifiés seront directement distribués à leur destinataire final, sans passer par le contrôle supplémentaire d'un filtre antispam traditionnel au niveau du gestionnaire de messagerie. Ce type d'outils restera néanmoins nécessaire tant que tous les serveurs de courriers électroniques n'auront pas, au minimum, adopté une méthode d'authentification des messages sortants.

 En théorie, l'application générale de ces techniques devrait permettre de réduire, sinon d'éradiquer, l'utilisation d'adresses e-mail usurpées (spoofing), qui permet aux spammeurs de ne pas révéler leur identité, et surtout d'emprunter des adresses respectables.

Par Alexandre Chassignon (JDN)
 

F-VNS Security Audits de Sécurité & Tests Intrusifs Mailing Listes Advisories Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits