Protéger les communications électroniques contre l'usurpation d'identité est devenu une priorité pour les acteurs du .fr. La dernière étude de l'AFNIC montre que l'adoption massive de trois protocoles clés a permis d'assainir drastiquement le trafic e-mail.
Une nouvelle étude de l'AFNIC, le gestionnaire du domaine .fr, publiée le 6 novembre 2024, lève le voile sur l'adoption croissante des protocoles SPF, DKIM et DMARC. Ces trois standards techniques sont essentiels pour lutter contre le fléau de l'usurpation d'identité en ligne. Longtemps vu comme un mal nécessaire, le courrier électronique pâtissait encore il y a peu de la facilité avec laquelle il était possible de se faire passer pour quelqu'un d'autre. Mais les choses changent dans le .fr.
Une adoption des protocoles de sécurité qui explose sur le .fr
Bien que techniques, les trois protocoles jouent un rôle primordial dans la lutte contre l'usurpation d'identité sur le web. Leur utilisation connaît d'ailleurs une hausse spectaculaire sur les domaines en .fr, passant respectivement de 57,8% à 74,4% pour le SPF, de 23,1% à 33% pour le DKIM, et de 7,8% à 16,6% pour le DMARC, entre 2023 et 2024. Cela vaut pour les domaines en .fr qui publient au moins une entrée MX. Mais de quoi parle-t-on ?
En des termes simples, une entrée MX est une sorte d’adresse qui dit où les e-mails doivent être envoyés pour un domaine. C’est comme une étiquette sur une boîte aux lettres qui indique le bon serveur de réception pour les e-mails destinés à un site ou une entreprise.
Pour clarifier encore plus simplement : lorsqu'un e-mail est envoyé à une adresse (par exemple, vers [email protected]), les entrées MX du domaine exemple.com indiquent au serveur expéditeur où (vers quel serveur) cet e-mail doit être dirigé pour atteindre sa boîte de réception. L'entrée MX joue donc le rôle d'un panneau d'orientation pour les e-mails, pointant vers le serveur qui gère le courrier pour ce domaine. Et pour aller plus loin ?
SPF, DKIM et DMARC, de quoi parle-t-on ?
Le Sender Policy Framework (SPF) permet de définir les serveurs autorisés à envoyer des e-mails depuis un domaine. Cela empêche les pirates de se faire passer pour votre entreprise. DomainKeys Identified Mail (DKIM) appose quant à lui une signature cryptographique sur les messages, prouvant leur origine. Enfin, Domain-based Message Authentication, Reporting and Compliance (DMARC) rassemble ces informations pour vérifier la cohérence du message reçu et recommander une action en cas de problème.
Le protocole SPF vérifie donc si le courrier électronique vient d'un serveur autorisé par le domaine, un peu comme un contrôle d'accès pour les expéditeurs. DKIM ajoute une signature unique à l'e-mail pour prouver qu'il est bien envoyé par le domaine et n'a pas été modifié. Et enfin, DMARC définit des règles pour décider quoi faire avec les messages qui échouent aux vérifications SPF et DKIM (par exemple, les rejeter) et envoie des rapports pour surveiller les tentatives d'usurpation.
Vers une protection renforcée contre les arnaques
Au-delà de la simple adoption, l'AFNIC a également analysé la qualité des politiques mises en place. Et là aussi, les résultats sont positifs, avec notamment 98,82% des politiques SPF qui respectent désormais les bonnes pratiques, contre 97,74% l'an passé. Cela signifie que les domaines .fr protègent toujours mieux leurs communications électroniques.
Cette montée en puissance de SPF, DKIM et DMARC n'est en tout cas pas anodine. Elle témoigne d'une prise de conscience grandissante des enjeux liés à la sécurisation des communications électroniques.
Dans un contexte où les arnaques par hameçonnage (phishing) se multiplient, ces protocoles offrent une meilleure protection aux utilisateurs finaux, en rendant plus difficile l'usurpation d'identité.
Les fournisseurs de messagerie, comme Gmail et Yahoo, accélèrent le mouvement
Autre facteur clé de cette évolution : les exigences de plus en plus strictes imposées par les principaux fournisseurs de messagerie électronique. Depuis le 1er février 2024 par exemple, Gmail et Yahoo Mail refusent systématiquement les e-mails provenant de domaines n'ayant pas déployé SPF, DKIM et DMARC. Voilà qui motive de nombreux acteurs à franchir le pas pour ne pas voir leurs communications bloquées.
Parmi les autres tendances identifiées par l'AFNIC, on note l'émergence timide de BIMI, un mécanisme permettant d'afficher le logo d'une marque à côté des e-mails authentifiés.
Bien que seuls 58 domaines en .fr aient pour l'instant déployé le certificat numérique nécessaire, cette technologie pourrait à terme donner un nouvel élan à l'adoption des standards d'authentification e-mail. Les fournisseurs de messagerie n'afficheront le logo que si le domaine a mis en place une politique DMARC suffisamment stricte.
Source : Observatoire de l'AFNIC
18 novembre 2024 à 15h14