Discussion :

[Idelways]

Google Apps for Business : Google propose la signature chiffrée des mails
Pour lutter contre les spams, en utilisant la norme DKIM



Dans sa lutte contre le fléau des spams, Google vient d'ajouter un outil à ses Google Apps for Business, sa suite professionnelle d'applications Cloud. En plus de Postini, cette suite se dote aujourd'hui d'une technologie spécialement conçue pour contre-carrer les spams et autres phishing. Le principe repose sur une identification chiffrée de l'identité de l'expéditeur, qui s'authentifie alors comme « sûr ».

Cette protection utilise sur une norme déjà existante appelée « DomainKeys Identified Mail » (DKIM). La nouveautés est son intégration aux Google Apps où elle peut être activée facilement dans les "outils avancées".

L'activation est gratuite et son exploitation ne nécessite pas de frais supplémentaires.

L'usurpation virtuelle des identités est une des explications des milliards de spams qui atterrissent dans les boites de réception, en provenance d'adresses existantes, mais aux origines souvent très douteuses.

D'où ce besoin d'identifier plus efficacement les expéditeurs.

DKIM utilise une clé publique chiffrée et robuste pour confirmer si tel message provient réellement du domaine spécifié dans le champs "From".

DKIM fonctionne par signature cryptographique du corps du message et d'une partie de ses en-têtes. Une signature DKIM vérifie donc l'authenticité du domaine expéditeur mais elle garantit aussi l'intégrité du message durant le transfert.

Le mécanisme d'authentification utilise SHA-256 comme fonction de hashage et le RSA comme algorithme de chiffrement asymétrique, le tout est encodé en base64.

Contrairement à d'autres mécanismes de protection, DKIM est transparent pour les plate-formes qui ne le supportent pas, vu qu'il n'implique pas l'utilisation des certificats d'authentification.
DKIM effectue des requêtes DNS et ajoute un header RFC 5322.


Pour activer cette protection sur votre domaine Google Apps, consultez cette page


Source : le blog officiel de Google Entreprise

Et vous ?

Que pensez-vous de cette nouveauté ?

En collaboration avec Gordon Fowler

[seeme]

Que penser...

Déjà je n'ai jamais utilisé les google apps, mais là où ça me chagrine un peu.. c'est que tout le monde aujourd'hui peut signer ses mails et garantir un minimum leur provenance... (pgp et autre) seulement personne ne le fait..

J'ai l'impression que la plupart des gens s'en fouttent royalement, et surtout que l'imense majorité ne se rend pas compte de la simplicité avec laquelle on peut envoyer des mails biaisés..

Pour être en ce moment dans une entreprise mondiale, je confirme que ce raisonnement s'applique aussi pour des boites au CA gargantuesque..

Donc au final, je pense que peu de gens vont l'utiliser...

[kaymak]

Alélouiiaaaaaaaa : )

Ahh enfin quelqu'un se penche sérieusement sur la question et met réellement en place un début de solution.

Encore une fois google assure dans sa démarche d'amélioration d'un existant qui souffre passablement d'un manque de leadership pour le faire aller de l'avant, dans le bon sens.

Déjà je n'ai jamais utilisé les google apps, mais là où ça me chagrine un peu.. c'est que tout le monde aujourd'hui peut signer ses mails et garantir un minimum leur provenance... (pgp et autre) seulement personne ne le fait..

Oui on peut le faire, mais c'est hyper compliqué pour les gens lambdas.

La solution de google, encore une fois, n'apporte peut être rien de nouveau, mais, comme c'est google, et que son audience est forte, comme il s'adresse d'abord et avant tout à mdme michu, il est probable que la sauce prenne enfin.
Et c'est une bonne chose, même si je peux comprendre que certaines personnes très méritantes, voit cela comme un vol ou une usurpation :l Ou en tout cas d'un mauvais oeil....

Reste plus qu'à espérer que la sauce prenne, et là cela dépend des gens :ss
wait and see.

a+

[seeme]

Je dis pas que c'est mal hein, au contraire

Par contre je modererai sur le Mm Michu, ça reste quand même pour les pro (pas nécessairement du secter IT ok, mais les pros quand même qui se posent la question de la sécurisation de l'information).

[Nudger]

Comme le système est réputé transparent pour les partenaires ne travaillant pas avec DKMI, c'est juste dommage que l'activation de l'option ne soit pas par défaut.

Ensuite, il faudra que ça se généralise ... et pas qu'aux entreprises à mon avis.
Si google fournit ce service pour GMail (là il s'agit de Google apps for business) puis aussi MS et Yahoo, ça serait une grande avancée.

Mais il faut bien commencer quelque-part.

[pseudocode]

Je dis pas que c'est mal hein, au contraire

Par contre je modererai sur le Mm Michu, ça reste quand même pour les pro (pas nécessairement du secter IT ok, mais les pros quand même qui se posent la question de la sécurisation de l'information).

Je suis d'accord. Google devrait pousser plus loin son action en signant automatiquement tous les mails envoyés depuis gmail, et également en marquant visuellement les mails reçus comme étant signés/non-signés.

Là, cela pousserait surement davantage les autres serveurs/clients mails à implémenter le même genre de fonctionnalité. Un peu ce qu'il s'est passé sur les navigateurs web, lorsque Firefox a décidé de marquer comme "non sécurisé" les sites webs sans certificats signés.

[djiize]

c'est juste dommage que l'activation de l'option ne soit pas par défaut.

DKIM requiert une modification au niveau des DNS que Google ne peux pas effectuer automatiquement.

[kaymak]

DKIM requiert une modification au niveau des DNS que Google ne peux pas effectuer automatiquement.

?? J'ai pas tout compris moi.

cf

Contrairement à d'autres mécanismes de protection, DKIM est transparent pour les plate-formes qui ne le supportent pas, vu qu'il n'implique pas l'utilisation des certificats d'authentification.
DKIM effectue des requêtes DNS et ajoute un header RFC 5322.

C'était le point le plus intéressant de la proposition de google, un système qui ne nécessite pas de mettre à jour l'ensemble de l'existant :/
a+

[pseudocode]

?? J'ai pas tout compris moi.

C'était le point le plus intéressant de la proposition de google, un système qui ne nécessite pas de mettre à jour l'ensemble de l'existant :/
a+

Le DKIM repose sur deux principes.

- Un mail qui contient un header supplémentaire, contenant la signature.
- Un serveur DNS qu'on peut interroger pour savoir si la signature est valide.

Si ton serveur mail ne gère pas le DKIM, il n'ajoute pas le header a ton mail. Si ton logiciel client mail ne gère pas le DKIM, il ignore simplement le header supplémentaire du mail. C'est donc effectivement transparent.

Si ton serveur mail gère le DKIM, il ajoute le header supplémentaire contenant la signature (codée avec la clé privé du domaine).

Si ton logiciel client mail gère le DKIM, il récupère la signature contenue dans le header supplémentaire, puis il interroge le serveur DNS pour récupérer la clé publique du domaine. Si la signature est valide, l'expéditeur est considéré comme authentique.

[kaymak]

Merci pour la réponse pseudocode !

voir ici pour la comparaison avec openpgp http://www.dkim.org/info/dkim-faq.html
Aussi ces deux paragraphres ci http://www.dkim.org/info/dkim-faq.html#related

Par contre, ce service à un coût, à la manière d'une clé ssl j'imagine (à moins que ce soit au nombres de validations ?), dans la mesure où il faut une autorité de certification.
Ce sont les entreprises qui vont payer ce coût supplémentaire, si j'ai bien compris ?

...

a+

[chris81]

Merci pour la réponse pseudocode !

voir ici pour la comparaison avec openpgp http://www.dkim.org/info/dkim-faq.html
Aussi ces deux paragraphres ci http://www.dkim.org/info/dkim-faq.html#related

Par contre, ce service à un coût, à la manière d'une clé ssl j'imagine (à moins que ce soit au nombres de validations ?), dans la mesure où il faut une autorité de certification.
Ce sont les entreprises qui vont payer ce coût supplémentaire, si j'ai bien compris ?

...

a+

Bonjour,
non il n'y a aucun surcoût, ceci est un service de plus dans les Google Apps comme il en apparaît souvent.