Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Protection contre le phishing et le spoofing d'email via SPF et DKIM : une faillite française

1990 ou 2020 ?
Internet 10 min
Protection contre le phishing et le spoofing d'email via SPF et DKIM : une faillite française
Crédits : PeopleImages/iStock

L'email pose de nombreux soucis en matière de sécurité. Et si des solutions techniques existent depuis une bonne dizaine d'années, elles ne sont pas toujours mises en œuvre par les grands hébergeurs et FAI français. Ils n'ignorent pourtant rien de ces problématiques qui les concernent directement. 

Comme de nombreux internautes, vous recevez sans doute chaque jour de nombreux spams et autres tentatives de phishing. Parfois, l'email d'expéditeur affiché sera même légitime, vous induisant en erreur.

Pour limiter les risques, des protocoles ont été mis en place : SPF pour identifier les serveurs pouvant expédier un email pour un domaine donné. DKIM pour signer les messages et assurer de leur intégrité, ARC une chaîne d'échanges. DMARC pour définir la politique à suivre en cas de problème. De quoi permettre aux outils anti-spam de faire leur boulot.

Certains sont assez récents, mais les premiers datent d'une quinzaine d'années.

Ce ne sont néanmoins que des signaux techniques, chaque service décidant d'accorder ou non sa confiance à un domaine ou serveur selon le comportement de ces derniers, différents critères ou même des listes régulièrement mises à jour. Le tout de manière plus ou moins opaque selon les cas. Ce qui ne facilite pas franchement la vie des administrateurs système.

Mais si les grands fournisseurs de services d'email ne jouent pas le jeu offrant un niveau de sécurité correct tant en réception qu'à l'envoi des messages, ça ne peut pas fonctionner. Et à ce petit jeu, nombre de grands acteurs français ayant pour clients des entreprises et/ou des particuliers ne sont pas à la hauteur. Même ceux connus pour être très regardants sur les emails qu'ils acceptent de transmettre à leurs clients...

Des risques connus, documentés et identifiés

Pourtant, l'intérêt pour la question du spam, du spoofing ou du phishing ne manque pas et ces problématiques sont bien identifiées. L'ANSSI alerte dans son guide de bonne hygiène informatique : « L’administrateur de messagerie s’assurera de la mise en place des mécanismes de vérification d’authenticité et de la bonne configuration des enregistrements DNS publics liés à son infrastructure de messagerie (MX, SPF, DKIM, DMARC) ». On pense aussi à l'initiative Signal Spam. 

Lors de l'édition 2019 des Journées RESeaux (JRES) organisées à Dijon par le Réseau national de télécommunications pour la technologie, l'enseignement et la recherche (Renater), Damien Mascré, David Verdin et Laurent Aublet-Cuvelier présentaient les solutions SPF, DKIM, DMARC, etc. pour « tordre le cou au phishing » :

DKIM : trop compliqué pour les hébergeurs français ?

Pourtant, nombreux sont les grands hébergeurs et FAI français à ne pas proposer de signature DKIM en complément de SPF à leurs clients. C'est le cas de Gandi, OVHCloud ou Scaleway. Le premier l'admet tranquillement dans sa documentation, évoquant en public seulement un travail en cours (depuis plusieurs années), sans « ETA ».

Lorsque Gandi a été touché par une nouvelle vague de spoofing/phishing l'été dernier, s'exprimant sur le sujet dans un billet de blog, il a dû se rendre à l'évidence : il fallait s'y mettre, ne serait-ce que pour ceux envoyés par ses propres équipes. Selon nos constatations, c'est le cas depuis septembre dernier. Les clients, eux, sont toujours sans solution.

Scaleway, signe bien ses propres emails mais c'est tout. DKIM n'est même pas évoqué dans sa documentation. OVHCloud explique comment mettre en œuvre DKIM, mais ses équipes en charge de l'offre email n'ont apparemment pas vu ce tutoriel. Le Roubaisien est d'ailleurs un cas particulier du trio.

Ses emails marketing passant par un service tiers sont signés via DKIM, mais pas ceux envoyés pour ses échanges dits transactionnels. Ainsi, les alertes de connexion à votre compte ou de notification de facture ont un statut DKIM « fail ». Leur SPF est par contre valide, ce qui explique qu'ils sont tout de même considérés comme légitimes. 

Est-ce une impossibilité technique ? Interrogés, Gandi nous a dit travailler à l'implémentation de DKIM et ARC. Scaleway admet ne pas être au point sur ces questions et nous confirme « y travailler et revoir ses pratiques ». De son côté, OVHCloud nous confirme envoyer ses emails avec SPF et DKIM (nous tenterons de comprendre le raté dans notre cas) :

« OVHcloud intègre depuis plus de trois ans les protocoles SPF en application sur l’intégralité de ses services mail. La signature DKIM est actuellement disponible en application sur une partie des services, pour à terme être déployée sur l’ensemble. Ces deux protocoles, les plus matures sur le marché, sont actuellement privilégiés par OVHcloud.

Le check de ces deux protocoles est configurable uniquement par le client, à son initiative. Cette partie n’est pas intégrée nativement en raison de potentielles problématiques de redirection connues sur le marché. OVHcloud entend répondre à cette question en proposant à ses clients des redirections via SRS, à la faveur d’un SPF plus pertinent pour les clients d’OVHcloud et leurs destinataires. »

Mais ce problème est-il spécifique à ces hébergeurs ? Qu'en est-il pour d'autres acteurs ? Il suffit de traverser la frontière et d'aller en Suisse pour constater que DKIM n'est pas une impossibilité technique chez des acteurs comparables. Ainsi, Infomaniak ou ProtonMail le proposent. Ce dernier permettant un renouvellement régulier des clés depuis peu.

Aussi critiquables qu'elles soient, les grandes plateformes américaines jouent également le jeu. Certes, leur politique de réception des emails ou de gestion de SPF est parfois trop stricte. On pense à Yahoo qui s'est illustré sur le sujet il y a quelques années. Ou encore à Microsoft. Mais on ne pourra pas leur reprocher un manque de réactivité sur l'implémentation de ces standards. Outlook.com, qui ne signe plus ses emails sortant avec DKIM au profit de SPF, DMARC et de la signature de l'ensemble de la chaîne via ARC, en avait déjà fait le tour dès décembre 2012.

Les FAI ne font pas mieux (et parfois pire)

Nous avons découvert lors de nos analyses que cette absence de signature DKIM n'était pas propre aux services d'hébergement d'emails. Les FAI, tous officiellement engagés dans la lutte contre le phishing, sont aussi concernés

Lorsqu'ils passent par un service tiers ou un serveur mail dédié à leurs communications marketing, ces dernières sont parfaitement signées via DKIM, avec enregistrement SPF au minimum le plus souvent. Il en va de même pour les emails de leurs employés. Mais pas toujours pour les messages transactionnels, notifiant l'arrivée d'une facture par exemple. 

L'analyse de tels emails chez Bouygues Télécom, SFR, ou Sosh ont mené au même résultat :

  • DKIM Fail Bouygues
  • DKIM Fail Orange
  • DKIM Fail SFR

Pour les clients, ce n'est pas mieux. Au contraire. Car là aussi l'analyse d'emails envoyés depuis les services fournis par des FAI montre l'absence de signature DKIM, et même de SPF dans certains cas. Chez Bouygues Télécom ou SFR, seul le premier est manquant. Chez Free ou Orange, les deux paramètres sont absents.

C'est d'autant plus étonnant pour ce dernier qu'il est très regardant sur les emails que ses clients reçoivent, notamment via ses procédures de lutte anti-spam. Dans un billet alertant en 2018 sur les pratiques des fournisseurs d'email, Framasky, administrateur des services de Framasoft, n'était pas tendre avec l'agrume : 

« J’avais déjà parlé dans mon précédent article de sa sale manie de ne pas accepter qu’on lui envoie trop de mails en une seule connexion. Imaginez un quidam qui refuse que son facteur lui apporte plus de trois lettres par tournée. Le facteur doit donc se représenter plusieurs fois s’il a plus de trois lettres à délivrer. C’est débile. Orange fait ça, mais pour le mail.

C’est le seul fournisseur que je connaisse qui impose ce genre de limite (qu’on ne vienne pas me dire que c’est pour lutter contre le spam : comment font les autres ? Hein ? Orange n’aurait pas les capacités financières et techniques de lutter plus proprement contre le spam ?). »

L'entreprise vante pourtant l'intérêt de SPF et DKIM via sa branche Business Services. Dès septembre 2009, Jean-François Audenard, en charge de la sensibilisation à la sécurité au sein du groupe, expliquait ainsi que leur potentiel « est intéressant mais reste limité du fait de leur faible niveau de déploiement au niveau mondial ».

Pour lui il s'agissait d'un problème « assez classique de la poule et de l'œuf », invitant chacun à « activer SPF sur vos serveurs de messagerie » et à l'intégrer « dans vos mécanismes de scoring sur vos serveurs de réception ». Et DKIM ? Seuls « les plus consciencieux complèteront leur dispositif afin d'en étendre l'adoption » expliquait-il alors. Une remarque particulièrement saignante avec le recul, au regard de la politique de l'entreprise 11 ans plus tard...

DKIM SPF Fail FreeDKIM SPF Fail Orange
Lorsqu'un client Free ou Orange envoie un email, DKIM et SPF sont aux abonnés absents

Interrogé, Orange nous a indiqué que DKIM serait proposé d'ici la fin de l'année au sein de son projet « New MTA », SPF n'étant utilisé que pour les emails entrants. Il sera néanmoins « plus restrictif » une fois la plateforme en place nous promet-on, sans plus de détails. Aucun des trois autres grands FAI français n'a pour le moment répondu à nos questions.

À quand une réelle prise de conscience ?

Arrivés au bout de nos analyses, plusieurs questions s'imposent à nous : tout d'abord, comment des FAI de l'envergure de Free et Orange peuvent ne même pas proposer d'enregistrement SPF pour les emails de leurs clients en 2020 ?

Certes, leurs propres emails sont « bien traités » par les serveurs, parce que leurs domaines ont pignon sur rue. Mais que se passerait-il si demain de grandes plateformes se mettaient à placer tous les emails @free.fr ou @orange.fr en spam parce qu'ils ne passent pas les tests DKIM et SPF, ce qui arrive à d'autres domaines qui ne sont pas validés par une liste ?

On note au passage le manque d'égalité sur ce point, mais aussi le peu d'égards que peuvent avoir les hébergeurs. Ils ne semblent pas décidés à bouger concernant la signature DKIM des emails qu'ils fournissent, renvoyant le plus souvent ce sujet à plus tard. Comme trop souvent lorsqu'il s'agit de proposer des fonctionnalités peu visibles, bien qu'essentielles.

Orange SPF DKIM
Comme Free, Orange ne respecte aucun des standards, mais ses serveurs sont sur une liste d'IP validées, donc ça va. Jusqu'à quand ?

Il en est de même pour des hébergeurs d'importance comme Gandi, OVHCloud ou Scaleway, qui vantent régulièrement leur amour de l'innovation ... mais n'implémentent pas DKIM. Alors que des concurrents ont déjà sauté le pas.

On regrette ainsi que l'ANSSI ou Bercy, dont dépend le numérique, ne s'activent pas un peu plus sur le sujet. Car c'est aussi de ces choix techniques que découle le manque de protection de nos entreprises, ou le fait de favoriser des acteurs « non souverains ». Les rappels bienveillants sont une chose, mais il serait peut-être temps de hausser le ton.

Espérons néanmoins qu'à force de demandes de la part de leurs utilisateurs et de la bonne information de ceux-ci, nos géants français commenceront à se préoccuper du sujet, à agir et à communiquer sur les bonnes pratiques à suivre. Car il ne suffit pas de proclamer son amour de la French Tech et du « made in France » pour convaincre.

57 commentaires
Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 17/06/20 à 10:43:39

La news a écrit :

Ainsi, les alertes de connexion à votre compte ou de notification de facture ont un statut DKIM « fail ». Leur SPF est par contre valide, ce qui explique qu'ils sont tout de même considérés comme légitimes.

Pour moi, ils apparaissent bien valides avec le sélecteur "mailout" (domaine ovh.com)

Avatar de Soriatane Abonné
Avatar de SoriataneSoriatane- 17/06/20 à 10:45:29

Doit-on aussi parler de l'IPv6 pour le mail?? Il me semble que le sujet n'est pas plus glorieux…

Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 17/06/20 à 10:58:23

Soriatane a écrit :

Doit-on aussi parler de l'IPv6 pour * insérez le nom du service *?? Il me semble que le sujet n'est pas plus glorieux…

Voilà, j'ai rendu le commentaire plus générique, vu qu'il n'y a pas que le mail où IPv6 a un taux d'utilisation minable :/

Édité par John Shaft le 17/06/2020 à 10:58
Avatar de EmericV Abonné
Avatar de EmericVEmericV- 17/06/20 à 11:05:21

Soriatane a écrit :

Doit-on aussi parler de l'IPv6 pour le mail?? Il me semble que le sujet n'est pas plus glorieux…

Envoyer un mail avec une IPv6 est nettement plus compliqué qu'avec une IPv4. Les gros acteurs sont déjà très chiants avec la réputation d'une IPv4. J'ai essayé une fois ou deux avec une IPv6 mais j'ai vite déchanté...

Avatar de Wawet76 Abonné
Avatar de Wawet76Wawet76- 17/06/20 à 11:10:01

Un problème de SPF pour les fournisseurs de mail "historique" (Free, Orange...) c'est que si ils le mettent en place pour tout le monde ça va tout péter chez tout ceux qui ne passent pas par les serveurs SMTP du FAI. Par exemple dans ma boite, pour l'imprimante/photocopieuse/scanner.

Alors ok, ils pourraient l'activer pour les nouveaux comptes, et le proposer en option pour les anciens (mais pas grand monde irait cocher l'option à mon avis).

Avatar de traknar Abonné
Avatar de traknartraknar- 17/06/20 à 11:12:12

Lorsque j'avais déployé SPF/DKIM/DMARC dans une grande entreprise (jusqu'il y a 1 an), j'avais des retours des stats DMARC de tous les gros fournisseurs américains (Google, Microsoft), de petites entreprises françaises (même un CHU), mais les FAI français étaient aux abonnés absents. Donc nos clients qui avaient une adresse email chez Gmail & Co étaient protégés des phishings qui usurpaient notre domaine, ceux chez Orange et Free se faisaient bananer. Merci les FAI. Des entreprises minuscules peuvent déployer le reporting DMARC, des entreprises immenses le peuvent, mais ceux qui seraient en charge de protéger le citoyen, souvent avec des délégations de service public, laissent les gens dans la merde.

Avatar de Sans intérêt Abonné
Avatar de Sans intérêtSans intérêt- 17/06/20 à 11:15:59

Espérons néanmoins qu'à force de demandes de la part de leurs utilisateurs et de la bonne information de ceux-ci, nos géants français commenceront à se préoccuper du sujet, à agir et à communiquer sur les bonnes pratiques à suivre. Car il ne suffit pas de proclamer son amour de la French Tech et du « made in France » pour convaincre.

Le hic des FAI est que leurs clients font un peu n'importe quoi et se plaignent au moindre problème auprès du support client, surchargeant ce dernier. J'ai connu le cas d'un Internaute qui n'utilisait pas les serveurs SMTP de son FAI, mais des serveurs tiers. Le FAI ayant mis en place SPF, ses emails arrivaient systématiquement dans le dossier de "courrier indésirable" de ses interlocuteurs. Lui expliquer la source du problème et lui proposer la solution n'était pas suffisant pour le convaincre d'utiliser les serveurs SMTP officiels de son FAI.

Ceci dit, SPF, DKIM et DMARC semblent poser des problèmes d'organisation du SI de nombreuses grandes entreprises et institutions, qui ont jusqu'à l'habitude d'utiliser des noms de domaines différents, voire des domaines détenus par des tiers agissant en leur nom, sans se soucier du moindre impact sur la réputation. Ce manque de cohérence et de prévisibilité rend le phishing des banques ou des caisses d'allocations sociales d'autant plus facile à exploiter par les hameçonneurs. Tenter alors de généraliser SPF, DKIM ou DMARC, c'est mettre un peu la charrue avant les boeufs…

Avatar de David_L Équipe
Avatar de David_LDavid_L- 17/06/20 à 11:17:19

John Shaft a écrit :

Pour moi, ils apparaissent bien valides avec le sélecteur "mailout" (domaine ovh.com)

Moi j'ai bien une signature, mais un fail au niveau du statut (body hash did not verify)

Édité par David_L le 17/06/2020 à 11:22
Avatar de David_L Équipe
Avatar de David_LDavid_L- 17/06/20 à 11:22:28

Sans intérêt a écrit :

Ce manque de cohérence et de prévisibilité rend le phishing des banques ou des caisses d'allocations sociales d'autant plus facile à exploiter par les hameçonneurs. Tenter alors de généraliser SPF, DKIM ou DMARC, c'est mettre un peu la charrue avant les boeufs…

Je pense que ce n'est juste pas des problématiques dépendantes. Surtout que tu mélanges deux choses : ce que décide une boîte pour la gestion de ses emails et ce que critique : le fait de ne pas avoir accès à toutes les protections disponibles chez de nombreux acteurs.

Qu'on propose de débrayer SPF/DKIM/DMARC & co ne m'embête pas, c'est le choix de l'admin que de le faire et d'en subir les conséquences. Mais qu'un client payant pour un domaine chez Gandi/OVH n'ait aucune solution pour avoir accès à DKIM autre que "démerdes-toi fais ton serveur mail" c'est un problème. Tout comme le fait que certains FAI font l'impasse alors qu'ils gèrent les emails de millions de français.

Avatar de Stéphane Bortzmeyer Abonné
Avatar de Stéphane BortzmeyerStéphane Bortzmeyer- 17/06/20 à 11:26:48

John Shaft a écrit :

Pour moi, ils apparaissent bien valides avec le sélecteur "mailout" (domaine ovh.com)

Idem ici, ça marchehttps://dns.bortzmeyer.org/mailout._domainkey.ovh.com/TXT

Il n'est plus possible de commenter cette actualité.
Page 1 / 6