26
Juin 05

Microsoft impose Sender ID

26 juin 2005 | Non classé

Microsoft vient d’annoncer qu’il activera à  partir de novembre prochain sur les plateformes de messagerie électronique d’MSN et d’Hotmail, les filtres de sa solution anti-spam basée sur l’authentification Sender ID. Ainsi, les messages entrant n’utilisant pas ce systême d’authentification seront automatiquement classés comme du spam potentiel.

Pour rappel, la technologie Sender ID est une norme de l’industrie créée pour lutter contre l’usurpation de noms de domaine et apporter une meilleure protection contre le détournement de sites Web ( » phishing « ). Cette spécification résulte non seulement de la convergence de deux technologies : Caller ID (identification de l’émetteur d’un courrier électronique) de Microsoft et SPF (Sender Policy Framework) de Meng Wong, mais est aussi le fruit d’une alliance avec une troisiême spécification intitulée Submitter Optimization (Optimisation de l’expéditeur). Ces trois propositions techniques ont été récemment présentées à  l’IETF (Internet Engineering Task Force) et à  d’autres organismes de normalisation en vue de leur validation.

L’usurpation de noms de domaines permet à  un pirate d’utiliser un autre nom de domaine que le sien lors de l’envoi d’un message électronique. Il s’agit de l’un des multiples aspects que revét la mystification (pratique frauduleuse consistant à  contrefaire l’adresse de l’expéditeur sur les messages électroniques). Certains individus malveillants usurpent des noms de domaine dans le cadre d’arnaques de type phishing. En faisant croire que le message émane d’une source de confiance (établissement bancaire, par exemple), ces escrocs induisent en erreur les destinataires et les conduisent à  divulguer des informations personnelles.

Le Sender ID a pour mission de vérifier, d’aprês l’adresse IP du serveur expéditeur, que le message vient réellement du domaine d’o๠il prétend venir. L’usurpation des domaines étant éradiquée, les expéditeurs légitimes peuvent préserver leurs noms de domaines et leurs réputations. De leur cà´té, les destinataires sont à  méme d’identifier et de filtrer les courriers indésirables et les attaques de type phishing.

Pour que sa solution soit efficace, Microsoft doit la faire appliquer à  l’ensemble des fournisseurs d’accês et de services à  l’Internet, afin que leurs serveurs de messageries soient identifiés comme légitimes. Ils en ont l’obligation

« s’ils veulent améliorer la légitimité des e-mails qu’ils envoient, tout en protégeant leur domaine et les consommateurs. C’est une chose responsable à  faire »

, explique Craig Spiezle, directeur du département sécurité logicielle chez Microsoft.

« Microsoft essaie de faire avaler sa technologie à  la communauté Internet depuis des années, sans grand succês »

, explique Ray Everett, cofondateur de la Coalition contre les e-mails commerciaux non sollicités aux à‰tats-Unis.

Selon lui, les premiers touchés par cette décision sont les utilisateurs qui risquent de voir certains de leurs courriels légitimes considérés comme du spam :

« Sender ID n’est pas mondialement déployée, ce qui signifie que l’internaute moyen risque de voir ses e-mails légitimes considérés comme des spams lorsqu’il correspond avec des utilisateurs de Hotmail ou MSN »

.

Les spécialistes dénoncent d’ors et déjà  l’incompatibilité de Sender ID avec des solutions concurrentes telle que « DomainKeys Identified Mail » développée par Cisco et Yahoo!. D’autres affirment que les sociétés n’ont pas les moyens financiers pour déployer cette technologie.

Affaire à  suivre…


  • SenderID et SPF contournés par des spammeurs ?!

    Les protocoles SenderID et SPF (Sender Permitted Form) sont utilisés par plusieurs Fournisseurs de Services Internet depuis un peu moins d’un an, dans le but de lutter contre l’usurpation de noms de domaine et apporter une meilleure protection contre…