La messagerie des grandes entreprises très mal authentifiée

le 10/07/2008, par Jean Pierre Blettner, Documentation, 355 mots

Les attaques de phishing sont redoutables. Or, à peine 40% des 500 plus grosses entreprises mondiales ont muni leur messagerie d'outils d'authentification de type SPF (Sender Policy Framework) ou DKIM (DomainKeys Identified Mail), afin que les destinataires d'emails puissent vérifier la validité de l'identité de l'émetteur, affirme Secure Computing, un vendeur de solutions de sécurité. Permettre au destinataire de vérifier SPF et DKIM sont deux technologies servant à se prévenir contre l'usurpation de nom de domaine. Dans le détail, SPF permet à une entreprise de publier sur son serveur DNS public les adresses IP qui sont autorisées à émettre en son nom. Le destinataire d'un de ses messages peut ainsi vérifier lors de la réception du courrier s'il provient bien d'une adresse IP publiée par l'expéditeur. (voir plus de détails sur le site officiel : http://www.openspf.org/Introduction). Quant à DKIM, le principe est le même. Cette technologie permet de placer une signature électronique dans l'en-tête du message. L'expéditeur peut vérifier que cette signature correspond bien à une clé publique répertoriée et donc autorisée sur le DNS public de l'expéditeur. Seulement 65 entreprises fermes en matière de précautions Toujours selon Secure Computing, sur l'ensemble des 500 entreprises, seulement 202 - soit moins de la moitié - semblent n'utiliser aucune des mesures de protection (SPF, DKIM ou similaires) qui permettraient au destinataire de détecter que quelqu'un tente d'usurper leur identité lors d'envois d'emails. Le nombre d'entreprises qui utilisent les règles SPF d'authentification n'est que de 166. Et seulement 65 se montrent très fermes, puisqu'elles utilisent l'ensemble des règles qui suggèrent aux utilisateurs qu'un e-mail doit être refusé s'il provient d'expéditeurs non autorisés. Les autres entreprises (soit 111), sont plus souples. Des banques connues à la traîne Autre découverte, un petit nombre de banques qui ont pignon sur rue n'utilisent pas les outils SPF bien que la plupart des institutions financières et des organismes de cartes de crédit aient défini leur utilisation. Cela est d'autant plus surprenant que ces banques ont été la cible d'attaques de phishing. Toujours parmi les entreprises du classement Fortune 500, 44 d'entre elles seulement proposent des fonctions d'identification sur la page d'accueil de leur site. Cela rend le phishing plus difficile.

Introduction à la ligne de commande Linux

Voici quelques exercices d'échauffement pour ceux qui commencent à utiliser la ligne de commande Linux. Attention, ça peut devenir addictif ! Si vous démarrez dans Linux ou si vous n'avez simplement jamais...

le 12/02/2020, par Sandra Henry-Stocker, Network World (adaptation Jean Elyan), 724 mots

Un livre indispensable pour tout comprendre sur la virtualisation des...

La recomposition du secteur des télécoms et des réseaux n'est pas un vain mot, chacun connaît l'aspect opérateur avec la vente très médiatisée de SFR, mais côté réseaux tous les acteurs changent également....

le 05/05/2014, par Didier Barathon, 433 mots

Les plus de 50 ans tiennent les rênes des sociétés IT et télécoms en...

La question des successions est souvent agitée dans les télécoms en particulier chez les installateurs et intégrateurs. En fait, le monde de l'IT dans son ensemble est touché comme le prouve l'étude du cabinet...

le 18/09/2013, par Fabrice Alessi, 373 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...