La messagerie des grandes entreprises très mal authentifiée
Les attaques de phishing sont redoutables. Or, à peine 40% des 500 plus grosses entreprises mondiales ont muni leur messagerie d'outils d'authentification de type SPF (Sender Policy Framework) ou DKIM (DomainKeys Identified Mail), afin que les destinataires d'emails puissent vérifier la validité de l'identité de l'émetteur, affirme Secure Computing, un vendeur de solutions de sécurité. Permettre au destinataire de vérifier SPF et DKIM sont deux technologies servant à se prévenir contre l'usurpation de nom de domaine. Dans le détail, SPF permet à une entreprise de publier sur son serveur DNS public les adresses IP qui sont autorisées à émettre en son nom. Le destinataire d'un de ses messages peut ainsi vérifier lors de la réception du courrier s'il provient bien d'une adresse IP publiée par l'expéditeur. (voir plus de détails sur le site officiel : http://www.openspf.org/Introduction). Quant à DKIM, le principe est le même. Cette technologie permet de placer une signature électronique dans l'en-tête du message. L'expéditeur peut vérifier que cette signature correspond bien à une clé publique répertoriée et donc autorisée sur le DNS public de l'expéditeur. Seulement 65 entreprises fermes en matière de précautions Toujours selon Secure Computing, sur l'ensemble des 500 entreprises, seulement 202 - soit moins de la moitié - semblent n'utiliser aucune des mesures de protection (SPF, DKIM ou similaires) qui permettraient au destinataire de détecter que quelqu'un tente d'usurper leur identité lors d'envois d'emails. Le nombre d'entreprises qui utilisent les règles SPF d'authentification n'est que de 166. Et seulement 65 se montrent très fermes, puisqu'elles utilisent l'ensemble des règles qui suggèrent aux utilisateurs qu'un e-mail doit être refusé s'il provient d'expéditeurs non autorisés. Les autres entreprises (soit 111), sont plus souples. Des banques connues à la traîne Autre découverte, un petit nombre de banques qui ont pignon sur rue n'utilisent pas les outils SPF bien que la plupart des institutions financières et des organismes de cartes de crédit aient défini leur utilisation. Cela est d'autant plus surprenant que ces banques ont été la cible d'attaques de phishing. Toujours parmi les entreprises du classement Fortune 500, 44 d'entre elles seulement proposent des fonctions d'identification sur la page d'accueil de leur site. Cela rend le phishing plus difficile.
