L'année dernière, Orange nous annonçait l'arrivée de son serveur mail nouvelle génération, devant lui permettre de gérer enfin les standards assurant la sécurité des emails. Un sujet où il est à la traine face à ses principaux concurrents. Et avec le temps qui passe, l'écart se creuse, les promesses se fanent.
Cela fait maintenant plus d'un an que nous analysons le respect des standards de la sécurité des emails chez les grands fournisseurs d'accès Internet français. Et autant dire qu'en juin 2020, la situation était catastrophique. Presque aucun ne jouait le jeu dans les adresses fournies aux clients ou même les mails leur étant envoyés.
- Emails avec SPF, DKIM, DMARC, ARC et BIMI : à quoi ça sert, comment en profiter ?
- Protection contre le phishing et le spoofing d'email via SPF et DKIM : une faillite française
Pourtant, ces solutions sont connues et maîtrisées, certaines existant depuis plus de 15 ans. Elles visent principalement à s'assurer de la provenance d'un message et donc de mieux lutter contre le spam ou encore l'usurpation d'identité. Des sujets où tous les FAI sont engagés, notamment dans une charte signée avec l'ANSSI.
Au fil des mois, des vérifications et de nos échanges avec les équipes de ces sociétés, les choses se sont peu à peu améliorées. Cela concerne d'ailleurs d'autres acteurs tels que les hébergeurs où nous avions relevé de bons élèves comme Infomaniak, ou Gandi qui a changé ses pratiques suite à nos articles.
Mais un mauvais élève se fait remarquer depuis le début de cette « affaire » : Orange. Et alors que la société va sans doute vanter son amour de la cybersécurité au FIC de Lille, force est de constater qu'elle fait peu d'effort lorsqu'il s'agit de renforcer la protection des emails de ses clients avec SPF, DKIM ou (DM)ARC. Malgré ses promesses.
Comme prévu, Free a implémenté SPF et DMARC
Commençons par une bonne nouvelle : Free, lui, a fait ce qu'il avait dit. Le FAI était pourtant le moins enclin à nous répondre ou même à évoluer lors de nos premières analyses. Mais fin 2020 il a revu sa position.
Il a en effet commencé à signer ses emails via DKIM, ce qui permet de s'assurer que la personne ayant envoyé un email est bien propriétaire de l'adresse utilisée. Les enregistrements DNS SPF et DMARC, qui servent à préciser la liste des serveurs utilisés par le service et la politique en cas de problème devaient arriver plus tard.
Selon nos essais effectués ce matin, c'est bien le cas désormais. Tout est donc au vert :
New MTA : l'arlésienne d'Orange
Chez Orange, c'est le calme plat, une situation incompréhensible pour plusieurs raisons. Tout d'abord parce que le FAI est l'opérateur « historique », celui qui compte le plus de clients, largement engagé dans le domaine de la cybersécurité. Il est donc étonnant qu'il soit toujours le moins responsable sur le sujet.
Les emails Orange, ce sont ceux de particuliers, mais aussi de milliers de PME et d'artisans qui méritent plus de considération que cela. Le FAI nous a d'ailleurs annoncé plusieurs fois la mise en place de son « New MTA » devant corriger ces soucis. Il était attendu fin 2020, puis au premier trimestre 2021. En mai nous avions posé des questions à son sujet, sans obtenir de réponse à l'époque.
Nous avons recontacté le FAI ce matin pour savoir où en était le projet. Mais selon nos constatations via plusieurs adresses email de clients, ni SPF, ni DKIM, ni DMARC ne sont implémentés pour le moment.
Toujours pas de DKIM chez Bouygues, seul DMARC manque à SFR
SFR était plutôt un bon élève sur ce point et ça n'a pas changé. Il ne lui manque que DMARC pour le moment, les emails envoyés sont bien signés via DKIM et disposent d'un enregistrement SPF pour identifier les serveurs autorisés. Chez Bouygues Télécom aussi pas de changement, mais c'est moins rose : seul SPF est implémenté.
