Anti-spam: l'ultimatum de Microsoft

Lassé des négociations infructueuses pour établir une technologie consensuelle de lutte contre le spam, le n°1 des logiciels a décidé d'y aller seul. Au risque de pénaliser ses propres clients et l'ensemble des internautes. A charge pour les autres de prendre en compte ses standards.

Si tout le monde est d'accord pour lutter contre le spam, on se dispute encore sur la façon de mener le combat. Microsoft, pour sa part, a décidé de faire cavalier seul. Ou quasiment. Pour imposer sa technologie de lutte contre le courrier indésirable, baptisée Sender ID, il prend le risque de pénaliser ses clients mais aussi le reste des internautes. A partir de novembre, en effet, tous les messages reçus par les abonnés aux services de messageries Hotmail et MSN qui ne satisferont pas ses critères de sécurité seront considérés comme suspects. Ils pourront donc être automatiquement rejetés. 

Le but du Sender ID est louable: il vise à mettre fin à la pratique du "spoofing" qui consiste à masquer le véritable nom de domaine de l'expéditeur par un autre. Or la technologie de Microsoft authentifie l'expéditeur d'un courrier électronique en vérifiant que son nom de domaine correspond bien à l'adresse Internet enregistrée dans la base de données (SPF) de son fournisseur Internet (FAI). Sender ID devrait aussi permettre de repérer plus facilement les spammeurs et les escrocs qui s'adonnent aux arnaques par le détournement de sites Web (phishing), en faisant croire que le courrier émane d'une source de confiance (établissement bancaire, par exemple) afin notamment d'obtenir des informations confidentielles et sensibles.  

Bienqu'étonnante, la décision unilatérale de Microsoft ne surprend pas les observateurs du secteur qui divergent sur ses bienfaits. Chez Cisco, qui propose avec Yahoo une solution alternative baptisée DomainKeys, on se veut plutôt conciliant. « La décision de Microsoft d'aller de l'avant est une bonne chose. Cela aura pour effet immédiat d'habituer les utilisateurs aux alertes des solutions d'authentification des messages. Pour ma part, je considère que Sender ID et DomainKeys sont complémentaires et qu'une combinaison des deux devraient aider à résoudre le problème du spam », estime Jim Fenton, ingénieur chez Cisco.

Un avis qui n'est toutefois pas partagé par Dave Rand, le directeur technique Internet de l'éditeur d'antivirus Trend Micro. « La technologie Sender ID a déjà été rejetée quatre fois par les organismes de standardisation (le manque de transparence sur la propriété intellectuelle et les termes de la licence liée à Sender ID seraient les causes principales des refus, ndlr). Par ailleurs, si l'on combine Sender ID et DomainKeys pour authentifier un expéditeur, que se passera-t-il lorsqu'un des systèmes déclenchera une alerte et l'autre pas ? Qui croire ? Cela ne marchera pas ».  

Difficiledans ses conditions de vraiment savoir quel camp vaincra. « Même si la proposition de Cisco/Yahoo a reçu beaucoup de soutiens dans l'industrie, on choisit pour l'instant de rester à l'écart et d'attendre », reconnaît Rahul Abhyankar de Mcafee. De son côté, Microsoft prévoit d'ici la fin de l'année une mise à jour de son serveur de messagerie Exchange, omniprésent en entreprises, et qui intégrera la technologie Sender ID. Reste à savoir maintenant si l'éditeur de Redmond est véritablement prêt à jouer le jeu de la transparence en proposant Sender ID libre de tous droits. Rien n'est moins sûr.