Outlook.com mieux protégé avec le support de DMARC et des certificats EV

Microsoft communique abondamment sur Outlook.com en ce moment pour annoncer des améliorations. Après une série de nouveautés liées à l’interface et à diverses fonctionnalités, la société s’oriente cette fois vers la sécurité. Elle en profite pour accentuer la communication autour du passage à Outlook.com depuis Live Mail.

La firme de Redmond n’hésite plus à afficher ses ambitions sur son webmail Outlook.com, désormais l’un des maillons de la chaine du compte Microsoft utilisé dans Windows 8 et Windows Phone 8. Microsoft était récemment assez fière d’avoir détourné une petite partie des utilisateurs de Gmail vers son propre webmail, même si l’histoire ne dit si ces fameux utilisateurs y sont restés. L’entreprise avait également annoncé que son service possédait 25 millions d’utilisateurs actifs et que des améliorations telles que de nouvelles couleurs, des raccourcis clavier ou encore des actions par défaut comme « Répondre à tous ».

Microsoft s'aligne sur la concurrence avec le support de DMARC

Cette fois, les évolutions se font du côté de la sécurité, avec l’ajout du support de la spécification DMARC et des certificats EV. Le premier signifie « Domain-based Message Authentication, Reporting and Conformance » et est une technique utilisée par de nombreuses sociétés pour leurs services, à commencer par Google, Facebook, AOL, LinkedIN, PayPal, Yahoo ou encore la Bank of America. Cette méthode permet de standardiser la manière dont les destinataires d’un message quelconque réalisant l’authentification.

On se souvient que dans le passé, Microsoft avait implémenté diverses méthodes dans Live Mail pour que les émetteurs légitimes importants, tels que les banques, reçoivent un petit bouclier vert indiquant leur authenticité. DMARC est une méthode chapotant l’ensemble et gérant également les protocoles SPF, SenderID et DKIM. L’effort étant global et partagé par plusieurs entreprises, il doit permettre de mettre mieux en évidence les vrais emails pour reconnaître plus efficacement les risques de phishing.

Dans la pratique, si l’utilisateur reçoit un email émanant d’une source qui supporte DMARC, un petit logo apparaîtra près de la source. Il sera différent du bouclier vert, mais la capture publiée par Microsoft ne permet pas de voir clairement de quoi il s’agit, cette nouveauté n’étant pas encore répercutée sur tous les comptes.

Les certificats EV pour supplanter les certificats SSL classiques

Les certificats EV sont également en cours de déploiement dans Outlook.com. Il s’agit ici d’aller plus loin que les simples certificats SSL car plusieurs cas ont montré que ces derniers pouvaient être compromis. Contrairement au SSL, les certificats EV s'assurent que l’utilisateur communique bien avec une source de confiance (EV signifie Extended Validation). Ainsi, lors que l’on se connecte à Outlook.com, une barre verte dans Internet Explorer ou une icône spécifique dans un autre navigateur permet de vérifier qu’il s’agit du bon site. Encore faut-il que l’utilisateur pense à regarder sa barre d’adresse.

Microsoft indique avoir choisi Verisign pour le certificat d’Outlook.com mais que d’autres fournisseurs peuvent être choisis. Notez que le même changement sera prochainement répercuté sur le site de SkyDrive. Hotmail.com et Live.com sont également concernés tant que la migration vers Outlook.com n’a pas été faite.

Motiver les utilisateurs à la migration vers Outlook.com

Une migration dont Microsoft aimerait d’ailleurs bien accélérer le rythme. Ainsi, tous ceux qui n’ont pas encore choisi de passer à Outlook.com verront bientôt des publicités pour y passer. Elles remplaceront les publicités classiques sous la forme de pavés et de bannières. L’éditeur n’a pas encore choisi de modifier l’écran de connexion ou d’envoyer des emails.

Notez que l’on parle uniquement ici de l’interface du service et non de l’adresse de courrier électronique. La procédure pour transformer un compte Live/MSN/Hotmail en compte @outlook.com est toujours optionnelle. Pour rappel, changer son adresse renvoie automatiquement les emails vers la nouvelle (l’ancienne adresse sert de repère).