Lutte anti-spam : DomainKeys en passe d’être approuvée officiellement
Conçue par Yahoo et Cisco, la norme anti-spoofing a obtenu une approbation
préliminaire de la part de l’Internet Engineering Task Force.
Le groupe Internet Engineering Task Force, du nom d’une communauté internationale d’acteurs du Net (concepteurs, opérateurs, vendeurs, rechercheurs…) qui se concentre sur l’évolution de l’architecture de l’Internet, a donné son approbation préliminaire pour la norme DomainKeys Identified Mail (DKIM).
Cette norme industrielle a vocation à mieux lutter contre le spam en empêchant le spoofing, c’est-à-dire le déguisement de l’adresse e-mail de manière à faire croire que le message provient d’une société fiable et non d’un auteur de spam.
DomainKeys ajoute à chaque e-mail envoyé une signature numérique cryptée unique pour chaque expéditeur. Si l’adresse de l’expéditeur ne correspond pas à la signature, le message est automatiquement identifié comme un spam.
Le groupe Internet Engineering Task Force, du nom d’une communauté internationale d’acteurs du Net (concepteurs, opérateurs, vendeurs, rechercheurs…) qui se concentre sur l’évolution de l’architecture de l’Internet, a donné son approbation préliminaire pour la norme DomainKeys Identified Mail (DKIM).
Cette norme industrielle a vocation à mieux lutter contre le spam en empêchant le spoofing, c’est-à-dire le déguisement de l’adresse e-mail de manière à faire croire que le message provient d’une société fiable et non d’un auteur de spam.
DomainKeys ajoute à chaque e-mail envoyé une signature numérique cryptée unique pour chaque expéditeur. Si l’adresse de l’expéditeur ne correspond pas à la signature, le message est automatiquement identifié comme un spam.
« Depuis près de 20 ans, les esprits malveillants disposaient de moyens faciles de se cacher », a indiqué Mark Delany, ingénieur chez Yahoo, dans une contribution publiée sur le blog officiel du groupe Internet. « Avec l’adoption massive de DKIM, nous pourrons corriger cet équilibre. »
Mais certains analystes du secteurs émettent des réserves quant à l’efficacité de DKIM à lutter contre le spam et le phishing.
Bien que DomainKeys ait été implémenté par les grands fournisseurs de services de messagerie, Fred Cohen, consultant en sécurité chez Fred Cohen and Associates, estime pour sa part qu’une adoption bien plus large de la technologie sera nécessaire pour endiguer véritablement le volume de spam.
« A moins que vous refusiez de lire les e-mails envoyés par tous ceux qui n’ont pas adopté DKIM, la technologie ne sera pas d’une grande utilité », a-t-il déclaré aux journalistes de Vnunet.com.
Fred Cohen pense que la marée de spam et d’attaques par phishing ne pourra pas être enrayée par une innovation technologique, mais par le changement des comportements du consommateur rendant la pratique inutile.
« Il existe certains aspects dans la nature-même de l’e-mail qui explique cette situation », ajoute-t-il. « Ni cette méthode ni aucun autre plan ne permettront d’effacer les avantages lucratifs du spam. »
DomainKeys n’est qu’une solution parmi les nombreuses normes anti-spam proposées. Microsoft soutient sa propre norme anti-spam Sender ID qui oblige les propriétaires de nom de domaine à publier une liste des adresses IP qu’ils utilisent pour envoyer leurs e-mails. On considère qu’il est pratiquement impossible de falsifier une adresse, ce qui signifie que toute incohérence entre le nom de domaine de l’expéditeur et l’adresse IP prouve de manière claire que le message est un spam.
Mais Sender ID n’a pas réussi à obtenir le soutien de l’industrie, en partie parce que la technologie est couverte par plusieurs brevets détenus par Microsoft. Pour contourner ces obstacles, l’éditeur a proposé sa technologie sous licence gratuite pour les projets développés à titre propriétaire et sous open source.
AOL a également lancé l’année dernière un programme payant offrant à ses utilisateurs un passage garanti des e-mails par ses filtres anti-spam.
Cette initiative avait recueilli de nombreuses critiques de la part des défenseurs de la liberté d’expression car elle crée un système à deux niveaux en écartant de facto les e-mails issus d’activistes individuels et d’organisations à but non lucratif.
Traduction d’un article de Vnunet.com en date du 24 mai 2007