Une nouvelle norme d'”authentification” des messages électroniques peut contribuer à réduire le nombre d’escroqueries par hameçonnage ? les messages qui passent pour des communications officielles de banques, de fournisseurs de courrier électronique, etc. mais qui ne le sont pas ? à l’avenir si vous allez de l’avant. La DMARC, soutenue par Google, Yahoo et Microsoft, a l’ambition d’unir les principaux fournisseurs de services en ligne du monde pour mieux contrôler les messages envoyés par leurs domaines.
Le fonctionnement de la DMARC semble être assez simple : tous les messages envoyés par les serveurs des entreprises participantes reçoivent une sorte de signature numérique. Lorsqu’il arrive à une autre entreprise participante, il vérifie sur les serveurs de la première si le message a effectivement été envoyé. Si c’est le cas, il arrive dans la boîte de réception de l’utilisateur. Dans le cas contraire, la société refuse de recevoir le message.
Au cœur de l’escroquerie par hameçonnage se trouve la tentative de tromper l’utilisateur en lui faisant croire qu’il est quelqu’un d’autre. Les bandits (oui, ce sont des bandits) envoient le message avec la fausse identité qu’il a quitté les serveurs de la Bank of America (par exemple). Lorsqu’il arrive dans la boîte de réception l’utilisateur profane, avec la marque de la banque américaine et tout le reste, on ne peut pas le condamner pour s’être laissé berner et avoir cliqué sur le lien, ce qui conduit probablement à une page également fausse demandant l’agence et le compte bancaire ? données qui finiront entre de mauvaises mains.
Les principales sociétés Internet font partie de l’initiative à l’origine de la DMARC : AOL, Facebook, Google, LinkedIn, Microsoft, PayPal et Yahoo. Bank of America et Fidelity Investments, du secteur bancaire, ont également décidé de participer à l’initiative, tout comme d’autres entreprises.
La DMARC n’agira que dans les domaines des entreprises participantes. Si un message est envoyé à partir d’un domaine similaire, tel que @bankof4merica.com (notez le “4”), l’initiative n’aura aucun résultat. C’est une bonne chose que dans des situations comme celle-ci, les fournisseurs de courrier électronique emploient généralement suffisamment de ressources et de technologies pour avertir que le courrier électronique ne provient apparemment pas de l’expéditeur qu’il prétend être.
Selon Google, 15% de tous les messages circulant dans Gmail proviennent d’entreprises participant à la DMARC. Un nombre considérable, surtout lorsqu’il s’agit d’informations personnelles ou financières.
