L'email pose de nombreux soucis en matière de sécurité. Et si des solutions techniques existent depuis une bonne dizaine d'années, elles ne sont pas toujours mises en œuvre par les grands hébergeurs et FAI français. Ils n'ignorent pourtant rien de ces problématiques qui les concernent directement.
Comme de nombreux internautes, vous recevez sans doute chaque jour de nombreux spams et autres tentatives de phishing. Parfois, l'email d'expéditeur affiché sera même légitime, vous induisant en erreur.
Pour limiter les risques, des protocoles ont été mis en place : SPF pour identifier les serveurs pouvant expédier un email pour un domaine donné. DKIM pour signer les messages et assurer de leur intégrité, ARC une chaîne d'échanges. DMARC pour définir la politique à suivre en cas de problème. De quoi permettre aux outils anti-spam de faire leur boulot.
Certains sont assez récents, mais les premiers datent d'une quinzaine d'années.
Ce ne sont néanmoins que des signaux techniques, chaque service décidant d'accorder ou non sa confiance à un domaine ou serveur selon le comportement de ces derniers, différents critères ou même des listes régulièrement mises à jour. Le tout de manière plus ou moins opaque selon les cas. Ce qui ne facilite pas franchement la vie des administrateurs système.
Mais si les grands fournisseurs de services d'email ne jouent pas le jeu offrant un niveau de sécurité correct tant en réception qu'à l'envoi des messages, ça ne peut pas fonctionner. Et à ce petit jeu, nombre de grands acteurs français ayant pour clients des entreprises et/ou des particuliers ne sont pas à la hauteur. Même ceux connus pour être très regardants sur les emails qu'ils acceptent de transmettre à leurs clients...
Des risques connus, documentés et identifiés
Pourtant, l'intérêt pour la question du spam, du spoofing ou du phishing ne manque pas et ces problématiques sont bien identifiées. L'ANSSI alerte dans son guide de bonne hygiène informatique : « L’administrateur de messagerie s’assurera de la mise en place des mécanismes de vérification d’authenticité et de la bonne configuration des enregistrements DNS publics liés à son infrastructure de messagerie (MX, SPF, DKIM, DMARC) ». On pense aussi à l'initiative Signal Spam.
Lors de l'édition 2019 des Journées RESeaux (JRES) organisées à Dijon par le Réseau national de télécommunications pour la technologie, l'enseignement et la recherche (Renater), Damien Mascré, David Verdin et Laurent Aublet-Cuvelier présentaient les solutions SPF, DKIM, DMARC, etc. pour « tordre le cou au phishing » :
DKIM : trop compliqué pour les hébergeurs français ?
Pourtant, nombreux sont les grands hébergeurs et FAI français à ne pas proposer de signature DKIM en complément de SPF à leurs clients. C'est le cas de Gandi, OVHCloud ou Scaleway. Le premier l'admet tranquillement dans sa documentation, évoquant en public seulement un travail en cours (depuis plusieurs années), sans « ETA ».
Lorsque Gandi a été touché par une nouvelle vague de spoofing/phishing l'été dernier, s'exprimant sur le sujet dans un billet de blog, il a dû se rendre à l'évidence : il fallait s'y mettre, ne serait-ce que pour ceux envoyés par ses propres équipes. Selon nos constatations, c'est le cas depuis septembre dernier. Les clients, eux, sont toujours sans solution.
Scaleway, signe bien ses propres emails mais c'est tout. DKIM n'est même pas évoqué dans sa documentation. OVHCloud explique comment mettre en œuvre DKIM, mais ses équipes en charge de l'offre email n'ont apparemment pas vu ce tutoriel. Le Roubaisien est d'ailleurs un cas particulier du trio.
Ses emails marketing passant par un service tiers sont signés via DKIM, mais pas ceux envoyés pour ses échanges dits transactionnels. Ainsi, les alertes de connexion à votre compte ou de notification de facture ont un statut DKIM « fail ». Leur SPF est par contre valide, ce qui explique qu'ils sont tout de même considérés comme légitimes.
Est-ce une impossibilité technique ? Interrogés, Gandi nous a dit travailler à l'implémentation de DKIM et ARC. Scaleway admet ne pas être au point sur ces questions et nous confirme « y travailler et revoir ses pratiques ». De son côté, OVHCloud nous confirme envoyer ses emails avec SPF et DKIM (nous tenterons de comprendre le raté dans notre cas) :
« OVHcloud intègre depuis plus de trois ans les protocoles SPF en application sur l’intégralité de ses services mail. La signature DKIM est actuellement disponible en application sur une partie des services, pour à terme être déployée sur l’ensemble. Ces deux protocoles, les plus matures sur le marché, sont actuellement privilégiés par OVHcloud.
Le check de ces deux protocoles est configurable uniquement par le client, à son initiative. Cette partie n’est pas intégrée nativement en raison de potentielles problématiques de redirection connues sur le marché. OVHcloud entend répondre à cette question en proposant à ses clients des redirections via SRS, à la faveur d’un SPF plus pertinent pour les clients d’OVHcloud et leurs destinataires. »
Mais ce problème est-il spécifique à ces hébergeurs ? Qu'en est-il pour d'autres acteurs ? Il suffit de traverser la frontière et d'aller en Suisse pour constater que DKIM n'est pas une impossibilité technique chez des acteurs comparables. Ainsi, Infomaniak ou ProtonMail le proposent. Ce dernier permettant un renouvellement régulier des clés depuis peu.
Aussi critiquables qu'elles soient, les grandes plateformes américaines jouent également le jeu. Certes, leur politique de réception des emails ou de gestion de SPF est parfois trop stricte. On pense à Yahoo qui s'est illustré sur le sujet il y a quelques années. Ou encore à Microsoft. Mais on ne pourra pas leur reprocher un manque de réactivité sur l'implémentation de ces standards. Outlook.com, qui ne signe plus ses emails sortant avec DKIM au profit de SPF, DMARC et de la signature de l'ensemble de la chaîne via ARC, en avait déjà fait le tour dès décembre 2012.
Les FAI ne font pas mieux (et parfois pire)
Nous avons découvert lors de nos analyses que cette absence de signature DKIM n'était pas propre aux services d'hébergement d'emails. Les FAI, tous officiellement engagés dans la lutte contre le phishing, sont aussi concernés
Lorsqu'ils passent par un service tiers ou un serveur mail dédié à leurs communications marketing, ces dernières sont parfaitement signées via DKIM, avec enregistrement SPF au minimum le plus souvent. Il en va de même pour les emails de leurs employés. Mais pas toujours pour les messages transactionnels, notifiant l'arrivée d'une facture par exemple.
L'analyse de tels emails chez Bouygues Télécom, SFR, ou Sosh ont mené au même résultat :
Pour les clients, ce n'est pas mieux. Au contraire. Car là aussi l'analyse d'emails envoyés depuis les services fournis par des FAI montre l'absence de signature DKIM, et même de SPF dans certains cas. Chez Bouygues Télécom ou SFR, seul le premier est manquant. Chez Free ou Orange, les deux paramètres sont absents.
C'est d'autant plus étonnant pour ce dernier qu'il est très regardant sur les emails que ses clients reçoivent, notamment via ses procédures de lutte anti-spam. Dans un billet alertant en 2018 sur les pratiques des fournisseurs d'email, Framasky, administrateur des services de Framasoft, n'était pas tendre avec l'agrume :
« J’avais déjà parlé dans mon précédent article de sa sale manie de ne pas accepter qu’on lui envoie trop de mails en une seule connexion. Imaginez un quidam qui refuse que son facteur lui apporte plus de trois lettres par tournée. Le facteur doit donc se représenter plusieurs fois s’il a plus de trois lettres à délivrer. C’est débile. Orange fait ça, mais pour le mail.
C’est le seul fournisseur que je connaisse qui impose ce genre de limite (qu’on ne vienne pas me dire que c’est pour lutter contre le spam : comment font les autres ? Hein ? Orange n’aurait pas les capacités financières et techniques de lutter plus proprement contre le spam ?). »
L'entreprise vante pourtant l'intérêt de SPF et DKIM via sa branche Business Services. Dès septembre 2009, Jean-François Audenard, en charge de la sensibilisation à la sécurité au sein du groupe, expliquait ainsi que leur potentiel « est intéressant mais reste limité du fait de leur faible niveau de déploiement au niveau mondial ».
Pour lui il s'agissait d'un problème « assez classique de la poule et de l'œuf », invitant chacun à « activer SPF sur vos serveurs de messagerie » et à l'intégrer « dans vos mécanismes de scoring sur vos serveurs de réception ». Et DKIM ? Seuls « les plus consciencieux complèteront leur dispositif afin d'en étendre l'adoption » expliquait-il alors. Une remarque particulièrement saignante avec le recul, au regard de la politique de l'entreprise 11 ans plus tard...
Lorsqu'un client Free ou Orange envoie un email, DKIM et SPF sont aux abonnés absents
Interrogé, Orange nous a indiqué que DKIM serait proposé d'ici la fin de l'année au sein de son projet « New MTA », SPF n'étant utilisé que pour les emails entrants. Il sera néanmoins « plus restrictif » une fois la plateforme en place nous promet-on, sans plus de détails. Aucun des trois autres grands FAI français n'a pour le moment répondu à nos questions.
À quand une réelle prise de conscience ?
Arrivés au bout de nos analyses, plusieurs questions s'imposent à nous : tout d'abord, comment des FAI de l'envergure de Free et Orange peuvent ne même pas proposer d'enregistrement SPF pour les emails de leurs clients en 2020 ?
Certes, leurs propres emails sont « bien traités » par les serveurs, parce que leurs domaines ont pignon sur rue. Mais que se passerait-il si demain de grandes plateformes se mettaient à placer tous les emails @free.fr ou @orange.fr en spam parce qu'ils ne passent pas les tests DKIM et SPF, ce qui arrive à d'autres domaines qui ne sont pas validés par une liste ?
On note au passage le manque d'égalité sur ce point, mais aussi le peu d'égards que peuvent avoir les hébergeurs. Ils ne semblent pas décidés à bouger concernant la signature DKIM des emails qu'ils fournissent, renvoyant le plus souvent ce sujet à plus tard. Comme trop souvent lorsqu'il s'agit de proposer des fonctionnalités peu visibles, bien qu'essentielles.
Comme Free, Orange ne respecte aucun des standards, mais ses serveurs sont sur une liste d'IP validées, donc ça va. Jusqu'à quand ?
Il en est de même pour des hébergeurs d'importance comme Gandi, OVHCloud ou Scaleway, qui vantent régulièrement leur amour de l'innovation ... mais n'implémentent pas DKIM. Alors que des concurrents ont déjà sauté le pas.
On regrette ainsi que l'ANSSI ou Bercy, dont dépend le numérique, ne s'activent pas un peu plus sur le sujet. Car c'est aussi de ces choix techniques que découle le manque de protection de nos entreprises, ou le fait de favoriser des acteurs « non souverains ». Les rappels bienveillants sont une chose, mais il serait peut-être temps de hausser le ton.
Espérons néanmoins qu'à force de demandes de la part de leurs utilisateurs et de la bonne information de ceux-ci, nos géants français commenceront à se préoccuper du sujet, à agir et à communiquer sur les bonnes pratiques à suivre. Car il ne suffit pas de proclamer son amour de la French Tech et du « made in France » pour convaincre.
