L'authentification, l'arme ultime contre le spam?

La technologie DomainKeys deviendra bientôt un standard de l'Internet. Développée par Yahoo, elle doit rendre la vie beaucoup plus difficile aux spammeurs. Décryptage.

« Un petit pas pour le courriel, un grand pas pour la sécurité Internet ». Sur son blog, Mark Delany affiche sa satisfaction. La technologie anti-spam qu'il a développée chez Yahoo vient de passer avec succès l'examen de l'Internet Egineering Task Force (IETF), cet organisme tout-puissant qui décide des standards de l'Internet. Si elle est définitivement adoptée, Domain Keys Identified Mail (DKIM) rejoindra une longue liste de protocoles, comme le HTTP, le FTP ou le SMTP. De quoi accélérer nettement son adoption.

Présentée en 2004 par Yahoo, la technologie Domain Keys se veut la meilleure arme à ce jour contre le spam et le phishing. Pour cela, elle mise sur l'authentification. Lancé dans les années 1970, le protocole utilisé encore aujourd'hui pour envoyer des courriels, le SMTP, est une véritable passoire. Impossible de vérifier l'identité de l'expéditeur d'un message. Les escrocs ont compris l'astuce, et en profitent pour emprunter l'identité des banques ou d'internautes pour récupérer des mots de passe ou diffuser des virus. En toute impunité.

C'est là que Domain Keys doit intervenir. Désormais, lors de l'envoi d'un courriel, une signature unique, invisible pour l'internaute, est ajoutée dans l'en-tête (étape B du schéma ci-dessous). C'est le serveur d'envoi qui s'en charge, par exemple le fournisseur d'accès de l'internaute. Pour cela, il dispose d'une clé publique qu'il doit déclarer et d'une clé privée qui lui sert à établir cette signature unique. A l'autre bout de la chaîne, le serveur de réception vérifie la signature en allant chercher la clé publique. Si cette signature est valide, le message est accepté (étape D).

DomainKeys n'éliminera pas le spam et le phishing du jour au lendemain. En revanche, il permettra d'identifier les fraudeurs, pour mettre directement leurs messages en quarantaine ou dans la corbeille. Mais pour fonctionner, le système doit être déployé le plus largement possible. Aujourd'hui, environ la moitié des plus importants serveurs de mail seraient configurés. Celui de Yahoo, évidemment, et aussi Gmail, AOL ou EarthLink. Mais pas Microsoft, qui milite pour sa technologie alternative, Sender ID.

De fait, Domain Keys n'est pas la seule solution contre le spam. Pleine de promesses, elle ne sera probablement pas non plus la dernière, tant les fraudeurs peuvent se montrer imaginatifs. Pour contourner les filtres bayésiens, qui analysent le texte des courriels, les spammeurs ont dernièrement recouru massivement à l'envoi d'images dans les messages. De même, DomainKeys ne résoudra pas le problème des PC zombies, qui peuvent être utilisés pour relayer du spam.

Les quatre étapes de DomainKeys
A: Paramétrage
B: Signature
C: Préparation et vérification
D: Réception