Microsoft impose Sender ID


Par Grégory Le Bras le Dimanche 26 Juin 2005 à 15:19:36

emailmicrosoft.jpg

Microsoft vient d'annoncer qu'il activera à partir de novembre prochain sur les plateformes de messagerie électronique d'MSN et d'Hotmail, les filtres de sa solution anti-spam basée sur l'authentification Sender ID. Ainsi, les messages entrant n'utilisant pas ce système d'authentification seront automatiquement classés comme du spam potentiel.

Pour rappel, la technologie Sender ID est une norme de l'industrie créée pour lutter contre l'usurpation de noms de domaine et apporter une meilleure protection contre le détournement de sites Web (" phishing "). Cette spécification résulte non seulement de la convergence de deux technologies : Caller ID (identification de l'émetteur d'un courrier électronique) de Microsoft et SPF (Sender Policy Framework) de Meng Wong, mais est aussi le fruit d'une alliance avec une troisième spécification intitulée Submitter Optimization (Optimisation de l'expéditeur). Ces trois propositions techniques ont été récemment présentées à l'IETF (Internet Engineering Task Force) et à d'autres organismes de normalisation en vue de leur validation.

L'usurpation de noms de domaines permet à un pirate d'utiliser un autre nom de domaine que le sien lors de l'envoi d'un message électronique. Il s'agit de l'un des multiples aspects que revêt la mystification (pratique frauduleuse consistant à contrefaire l'adresse de l'expéditeur sur les messages électroniques). Certains individus malveillants usurpent des noms de domaine dans le cadre d'arnaques de type phishing. En faisant croire que le message émane d'une source de confiance (établissement bancaire, par exemple), ces escrocs induisent en erreur les destinataires et les conduisent à divulguer des informations personnelles.

Le Sender ID a pour mission de vérifier, d'après l'adresse IP du serveur expéditeur, que le message vient réellement du domaine d'où il prétend venir. L'usurpation des domaines étant éradiquée, les expéditeurs légitimes peuvent préserver leurs noms de domaines et leurs réputations. De leur côté, les destinataires sont à même d'identifier et de filtrer les courriers indésirables et les attaques de type phishing.

Pour que sa solution soit efficace, Microsoft doit la faire appliquer à l'ensemble des fournisseurs d'accès et de services à l'Internet, afin que leurs serveurs de messageries soient identifiés comme légitimes. Ils en ont l'obligation "s'ils veulent améliorer la légitimité des e-mails qu'ils envoient, tout en protégeant leur domaine et les consommateurs. C'est une chose responsable à faire", explique Craig Spiezle, directeur du département sécurité logicielle chez Microsoft.

"Microsoft essaie de faire avaler sa technologie à la communauté Internet depuis des années, sans grand succès", explique Ray Everett, cofondateur de la Coalition contre les e-mails commerciaux non sollicités aux États-Unis.

Selon lui, les premiers touchés par cette décision sont les utilisateurs qui risquent de voir certains de leurs courriels légitimes considérés comme du spam : "Sender ID n'est pas mondialement déployée, ce qui signifie que l'internaute moyen risque de voir ses e-mails légitimes considérés comme des spams lorsqu'il correspond avec des utilisateurs de Hotmail ou MSN".

Les spécialistes dénoncent d'ors et déjà l'incompatibilité de Sender ID avec des solutions concurrentes telle que "DomainKeys Identified Mail" développée par Cisco et Yahoo! (voir notre article). D'autres affirment que les sociétés n'ont pas les moyens financiers pour déployer cette technologie.

Affaire à suivre...






Ajout CommentaireAjouter vos commentaires !

La section "commentaire" est un espace de discussion portant sur le thème de l'article, la rédaction de VirusTraQ se réserve donc le droit de supprimer tout message hors-sujet ou ne respectant pas nos règles d'utilisation, en particulier en cas de propos diffamatoires ou injurieux.

Nom *:


E-Mail *:


Commentaire *:


Les éléments marqués d'une astérisque (*) sont à remplir obligatoirement.

Commentaires :

+ Ajouter votre commentaire



http://www.hackisknowledge.org/