Pour en finir avec le phishing de eBay ou de Paypal
Une solution contre le spam : le végétarianisme
En partenariat avec Yahoo, eBay et Paypal, travaillent main dans la main à une nouvelle forme de technologie anti-phishing. Toujours basé sur un système de signature authentifiable, ce système, à venir dans les semaines prochaines et nommé DomainKeys Identified Mail, bloquera ainsi les faux emails.Cibles particulièrement privilégiées du phishing, ces firmes doivent lutter contre la peste pour conserver une image de marque. Selon une étude de YouGov poll, 35 % des 2000 sondés en Angleterre reçoivent plus de 10 spams, trompeusement estampillés eBay ou Paypal, chaque jour.
« Si un consommateur ne reçoit plus d’email dans sa boîte de réception, il devient plus ardu pour le phisher de parvenir à ses fins… », porte ouverte qu’enfonce Michael Barett, directeur de la sécurité chez Paypal.
La technologie DKIM a alors recours à une signature cryptée pour certifier l’origine du message. Quelle que soit la proportion d’emails issus de personnes que l’on connaît, cette assurance supplémentaire apporte une clef supplémentaire dans la lutte contre le spam.
Chenxi Wang, de Forrester explique : « Deux ans plus tôt, si vous aviez demandé à des compagnies si elles recouraient au chiffrement de leurs emails, la plupart ne s’en seraient pas soucié. » John Kremer, de Yahoo mail ajoute : « C’est un grand pas en avant pour la défense des consommateurs contre les sales mecs qui s’emploient à ce jeu. »Simplement pour que le DKIM soit efficace, récepteur et émetteur doivent tous deux recourir à la technologie. Et Chenxi de conclure : « eBay et Paypal sont parmi les premiers à activement bloquer les emails non authentifiés. »
Une nécessité pour qui veut conserver une image propre auprès du public
Nicolas.G,
Le 6 octobre 2007 à 15:26
(27 640
lectures)
Il y a 22 commentaires
INpactien
Je revient les gars, je vais à la pèche 
.
Bonne initiative pour les gens mal informés.
Edit: ^^
Edité par Kerdy le samedi 6 octobre 2007 à 15:44
. Bonne initiative pour les gens mal informés.
Edit: ^^
Edité par Kerdy le samedi 6 octobre 2007 à 15:44
INpactien
Je revient les gars, je vais à la pèche .
Bonne initiative pour les gens mal informés.
Edit: ^^
. Bonne initiative pour les gens mal informés.
Edit: ^^
La solution pour ne plus recevoir ces spams est ton avatar
INpactien
dr_plans
Le samedi 6 octobre 2007 à 16:12:30
#3
Inscrit
le vendredi 17 septembre 04
-
716
commentaires
mouais...
ça va pas être évident de changer les habitudes...
Pour ma part, je pesne que le mail doit continuer à exister tel quel...
Cela n'empèche pas l'émergeance d'un nouveau système plus sécurisé...
Parce que le coup de bloquer les mail non authentifier, c'est bien joli mais concrètement à moins d'être sur un des 10 serveurs de la planète à authentifier les messages, Paypal et Ebay vont tout bloquer ??? un peu brutal comme méthode...
J'ai toujours comparé l'email à une carte postale... pas à une lettre... il serait bienvenu de créer un vrai système de courrier électronique sécurisé...
bon WE.
ça va pas être évident de changer les habitudes...
Pour ma part, je pesne que le mail doit continuer à exister tel quel...
Cela n'empèche pas l'émergeance d'un nouveau système plus sécurisé...
Parce que le coup de bloquer les mail non authentifier, c'est bien joli mais concrètement à moins d'être sur un des 10 serveurs de la planète à authentifier les messages, Paypal et Ebay vont tout bloquer ??? un peu brutal comme méthode...
J'ai toujours comparé l'email à une carte postale... pas à une lettre... il serait bienvenu de créer un vrai système de courrier électronique sécurisé...
bon WE.
INpactien
illogict
Le samedi 6 octobre 2007 à 16:27:10
#4
Inscrit
le mercredi 8 décembre 04
-
328
commentaires
Je suppose qu'ils vont utiliser une solution type PGP pour cela. Maintenant, la question est : est-ce qu'ils vont chiffrer leurs messages ou seulement l'authentifier ? Sachant que dans tous les cas, il faudra que le destinataire possède la clé publique, et que cela ne va pas être sans poser de problème pour la plupart des gens, ceux-là même auquels cette solution veut s'appliquer.
INpactien
mouais...
ça va pas être évident de changer les habitudes...
Pour ma part, je pesne que le mail doit continuer à exister tel quel...
Cela n'empèche pas l'émergeance d'un nouveau système plus sécurisé...
Parce que le coup de bloquer les mail non authentifier, c'est bien joli mais concrètement à moins d'être sur un des 10 serveurs de la planète à authentifier les messages, Paypal et Ebay vont tout bloquer ??? un peu brutal comme méthode...
J'ai toujours comparé l'email à une carte postale... pas à une lettre... il serait bienvenu de créer un vrai système de courrier électronique sécurisé...
bon WE.
ça va pas être évident de changer les habitudes...
Pour ma part, je pesne que le mail doit continuer à exister tel quel...
Cela n'empèche pas l'émergeance d'un nouveau système plus sécurisé...
Parce que le coup de bloquer les mail non authentifier, c'est bien joli mais concrètement à moins d'être sur un des 10 serveurs de la planète à authentifier les messages, Paypal et Ebay vont tout bloquer ??? un peu brutal comme méthode...
J'ai toujours comparé l'email à une carte postale... pas à une lettre... il serait bienvenu de créer un vrai système de courrier électronique sécurisé...
bon WE.
Justement l'interet de ce système c'est que ça ne change rien aux habitudes des personnes utilisant le mail.
Le système s'installe au niveau des serveurs de mail uniquement. Apparement (d'après Wikipedia), lorsqu'un mail est expédié, le serveur expéditeur rajoute une signature au message en utilisant une clé privée. Lorsque le mail arrive sur le serveur de destination, celui-ci demande la clé publique du serveur expéditeur via un champ perso DNS et décode la signature. Si c'est ok, le mail provient bien du serveur smtp (par exemple celui de paypal) et pas d'un autre serveur de phishing. Il suffit alors de jeter le mail si la signature est invalide.
INpactien
Il suffit alors de jeter le mail si la signature est invalide.
Mais si j'attends un mail de ma grand-mère, ce ne sera pas l'id de paypal. Le serveur va le virer aussi ?
Comment le serveur fait pour savoir que c'est un mail de copie de paypal ?
INpactien
dr_plans
Le samedi 6 octobre 2007 à 17:04:14
#7
Inscrit
le vendredi 17 septembre 04
-
716
commentaires
je parlais des habitudes des IT manager et autre admin réseau...
ça me rappel un techno MS genre domainID qui n'a jamais percé.
Le problème avec ces systèmes c'est que pour être éfficace il doit accepter que les mails avec cette signature dans le message.
Cela implique que tous les serveurs du monde soit mit à jour...
pour moi la seul manière de remplacer l'email par qqch de mieu c'est d'avoir les deux systèmes en paralèle... Si le nouveau est mieu, au fil du temps, les gens passeront sur le nouveau...
ça me rappel un techno MS genre domainID qui n'a jamais percé.
Le problème avec ces systèmes c'est que pour être éfficace il doit accepter que les mails avec cette signature dans le message.
Cela implique que tous les serveurs du monde soit mit à jour...
pour moi la seul manière de remplacer l'email par qqch de mieu c'est d'avoir les deux systèmes en paralèle... Si le nouveau est mieu, au fil du temps, les gens passeront sur le nouveau...
INpactien
Rogerratbite
Le samedi 6 octobre 2007 à 17:13:20
#8
Inscrit
le dimanche 12 août 07
-
369
commentaires
moins de phishing > gens plus dupes.
surtout si le phisher casse le cryptage, ce qui arrivera forcement. (d'autant qui y'a pas mal d'argent à la 'clé'
)
barf, c'est bien comme c'est aujourd'hui. tant pis pour les noobs qui se font escroquer
Edité par Rogerratbite le samedi 6 octobre 2007 à 17:15
surtout si le phisher casse le cryptage, ce qui arrivera forcement. (d'autant qui y'a pas mal d'argent à la 'clé'
) barf, c'est bien comme c'est aujourd'hui. tant pis pour les noobs qui se font escroquer
Edité par Rogerratbite le samedi 6 octobre 2007 à 17:15
INpactien
« C’est un grand pas en avant pour la défense des consommateurs contre les sales mecs qui s’emploient à ce jeu. »
Ça sent la traduction bancale de "bad guys"
INpactien
Mais si j'attends un mail de ma grand-mère, ce ne sera pas l'id de paypal. Le serveur va le virer aussi ?
Comment le serveur fait pour savoir que c'est un mail de copie de paypal ?
Je fais des suppositions, j'ai pas lu la RFC en entier mais je suppose que le serveur de destination qui vérifie le mail regarde le domaine de provenance de l'email. Exemple, si ta grand-mère a une adresse en @free.fr, on va regarder chez free pour récupérer la clé publique et déchiffrer la signature contenue dans l'entete du mail. Ceci prouvera bien alors que le mail est parti du smtp de free et pas d'une machine quelconque.
Si le champ de signature n'existe pas parce que le serveur d'expédition ne s'en sert pas, on délivre le mail normalement.
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer -
Nouveau Google Maps : demandez votre invitation
(12)
Moi, moi, moi !!! -
Google I/O 2013 : suivez la keynote en direct, de 18h à 21h
(20)
Nous, on a déjà prévu l'apéro cahuètes
-
Adhérents Fnac : tous les 100 € d'achat, 15 € en chèque-cadeau
Valable jusqu'au 23 mai -
Un portable tactile Lenovo Yoga 11 pour 361,58 €
Valable pendant 16 heures -
8 Go de DDR3 Kingston HyperX à 1600 MHz pour 49,99 €
Valable jusqu'au 27 mai -
Une tablette ASUS ME400C et un clavier Microsoft Wedge pour 399,90 €
Valable pendant 16 heures
