L’identification de l’expéditeur, une arme contre le spam

Cloud

Pour Microsoft, l’éradication des courriers indésirables envoyés en masse impose l’identification des expéditeurs. Une solution qui nécessite des aménagements techniques du Réseau.

A l’occasion de la conférence RSA de San Francisco, Bill Gates a présenté, mardi 24 février 2004, une nouvelle approche technique pour lutter contre les spams, les courriels non sollicités envoyés en masse. La stratégie de Microsoft a pour ambition, à terme, de réduire considérablement l’envoi des messages indésirables, à défaut d’aboutir à une éradication pure et simple. « Nous pensons que l’identification de l’expéditeur et le projet CSRI [Coordinated Spam Reduction Initiative] transformeront le modèle économique de l’envoi de spam et mettront hors-jeu les auteurs de telles pratiques », a déclaré l’architecte logiciel en chef de Microsoft. La solution prônée par la firme de Redmond repose en effet simplement sur l’identification et l’authentification des expéditeurs de courriels.

La première étape consiste à permettre aux expéditeurs de courriers électroniques ? des sociétés commerciales principalement ? de se déclarer auprès des DNS, les serveurs chargés de traduire les noms de domaine en adresses IP. Baptisée « Caller ID », cette déclaration permettra ensuite aux systèmes de réception de déterminer l’origine du message en comparant l’adresse IP contenue dans l’e-mail avec celle déclarée auprès du DNS. En cas de non-correspondance, le système considérera que l’identité de l’expéditeur a été usurpée. L’usurpation d’adresse IP est l’une des techniques employées par les auteurs de spams qui se servent d’ordinateurs ne leur appartenant pas pour envoyer chaque jour des millions de messages non désirés.

Des technologies Microsoft

Ensuite, en fonction de la taille des envois, les entreprises opteront pour un système payant de certification par un tiers de confiance ou par une preuve technologique, plus économique, que l’expéditeur n’est pas un spammer. Les sociétés susceptibles d’envoyer des e-mails en nombre opteront pour l’organisme certificateur, dont les coûts devraient décourager les spammers. Les autres s’appuieront sur une technologie de Microsoft basée sur une durée minimale de traitement par envoi, un investissement en temps et en ressources que ne peuvent se permettre les émetteurs de spams. Si la manoeuvre est a priori gratuite, elle impose de toute évidence un investissement dans des applications Microsoft exclusivement.

Cette stratégie doit s’appliquer sur le long terme car les propositions de Microsoft nécessitent des aménagement techniques du Réseau, notamment au niveau des serveurs DNS, et la coopération des fournisseurs d’accès. Le W3C, l’organisme qui gère les standards du Web, aura notamment son mot à dire. Sans parler des entreprises qui ne seront peut-être pas très disposées à payer des certificats pour envoyer leur courrier même si le spam leur cause beaucoup de tort. « C’est un travail qui se fait à plusieurs », précise Nicolas Mirail, chef des produits techniques chez Microsoft France, « nous nous contentons de faire des propositions ». En attendant, Microsoft entend appliquer dès cet été sa solution à son service de messagerie MSN Hotmail. La procédure d’authentification des expéditeurs viendrait donc compléter la technologie de filtrage SmartScreen. Des tests sont également programmés avec le commerçant en ligne Amazon.com et Brightmail, qui propose ses propres solutions antispam.