Yahoo! annonce un système à base de signature électronique pour authentifier les noms de domaine revendiqués par des courriers électroniques. L'objectif est de forcer les spammeurs à abandonner l'usurpation d'identité et utiliser leurs propres noms de domaines. Mais pour être efficace, ce système devra être utilisé par tous, ce qui reste encore une utopie.

au sommaire

    Yahoo! veut authentifier les emails pour traquer les spammeurs

    Yahoo! veut authentifier les emails pour traquer les spammeurs

    DomainKeys est la nouvelle arme de Yahoo! contre le spam. L'idée est séduisante : chaque email envoyé par un utilisateur d'une entreprise ou d'un fournisseur d'accès équipé de DomainKeys se verra automatiquement affublé d'une pseudo-signature numérique dans ses en-têtes. Cette signature est une suite chiffrée avec la clé privée du domaine dont l'email est originaire : par exemple, tous les courriers envoyés par des utilisateurs réels du domaine Yahoo.com seront ainsi signés automatiquement avec la même clé privée au moment de quitter le serveur SMTP du fournisseur.

    A la réceptionréception, le système DomainKeys du destinataire pourra alors vérifier automatiquement l'authenticité de l'origine du message en allant chercher la clé publique du domaine émetteur. Si cette dernière est capable de déchiffrer la signature présente dans l'en-tête, c'est qu'il vient bien du domaine annoncé. Sinon, il s'agit probablement d'une fraude.

    Des spammeurs à visage masqué

    Aujourd'hui, les spammeurs utilisent massivement des techniques d'usurpation d'identité pour brouiller les pistes. Ils le font d'autant plus facilement qu'il est très simple de créer un mail semblant provenir, à première vue, de n'importe quel domaine. Récemment, un virus a utilisé la même technique pour se faire passer pour une mise à jour de Windows envoyée par MicrosoftMicrosoft. Bien entendu, les messages ne venaient pas de l'éditeur de Windows, mais bien d'une multitude de PCPC infectés à travers le monde. Pourtant, ils arboraient tous en apparence une adresse en "microsoft.com".

    Le recours à une solution telle DomainKeys permettrait d'éviter ces usurpations. Hélas, si ce système va effectivement être déployé dans l'ensemble du domaine Yahoo.com, ce n'est pas suffisant pour assurer son succès : il faut, pour vérifier l'authenticité du domaine émetteur, que le destinataire du courrier soit lui aussi équipé de DomainKeys. Pire : pour que le système soit vraiment utile, il faudra qu'une majorité de fournisseurs d'accès grand public et d'entreprises l'utilisent. A défaut, on se risque de se retrouver devant la même situation que celle du DNSDNS sécurisé : c'est élégant, c'est efficace, mais personne ne l'utilise.

    Yahoo!, mais qui d'autre ?

    L'intérêt de Yahoo! dans cette aventure est évident : une très grande partie du spam semble provenir de webmails populaires (Yahoo! et HotmailHotmail) alors que les courriers viennent en fait d'à peu près n'importe où, comme des fermes de serveurs spécialisés en Asie, par exemple. Yahoo! doit alors traiter avec des internautes furieux, et leur expliquer qu'il s'agit d'une adresse usurpée. Avec DomainKeys, il déplace tout simplement le problème vers les domaines qui ne mettront pas ce système en place.

    Pour les autres, il faudra que DomainKeys séduise.
    DomainKeys ne manque toutefois pas d'atouts pour y parvenir. Si ce système ne promet pas la fin du spam, il permettra au moins de faciliter la traque des spammeurs : un pourriel envoyé depuis un domaine authentifié permettra de savoir exactement à qui se plaindre, et cela facilitera en outre le travail de l'opérateur au moment de remonter jusqu'à l'auteur de l'envoi (si la charte d'utilisation interdit le spammingspamming !). Et si le domaine utilise DomainKeys et que la signature n'est pas vérifiable, c'est autant de temps de gagné pour le support technique qui pourra enfin répondre l'habituel "c'est pas nous", l'esprit tranquille.

    Les spammeurs quant à eux devront se tourner vers les domaines qui n'ont pas mis un tel système d'authentificationauthentification en place, ou vers ceux qui autorisent l'envoi de pourriel. Dans tous les cas, cela devrait en tout cas faciliter leur filtrage.

    DomainKeys sera offert en Open SourceOpen Source par Yahoo! et devrait être déployé sur l'ensemble des services emails de l'éditeur durant l'année prochaine.