Contactez-nous

Tél. +33 2 85 52 08 00

Blog

Le blog des experts Ironie

Accueil du blog

Catégories

Derniers articles

DKIM2 : Qu’est-ce qui change ?

La version actuelle de DKIM a été publiée pour la première fois en 2011. Il s’agit d’un protocole d’authentification des courriels qui permet de signer les messages à l’aide de signatures numériques afin d’authentifier l’expéditeur. Le DKIM permet aux serveurs de messagerie de vérifier que le message n’a pas été altéré pendant la transmission.

DKIM pourrait avoir un tout nouveau standard, appelé DKIM2 ! DKIM2 remplacerait alors l’ancien mécanisme de sécurité du courrier électronique (DKIM) par un nouveau mécanisme actualisé pour une authentification et une sécurité renforcées.

Nécessité de remplacer DKIM

Le mécanisme naissant de DKIM – DKIM1 – a été décrit pour la première fois dans la RFC 4871et publié en 2007. Depuis, au fil des ans, plusieurs faiblesses opérationnelles ont été découvertes :

  1. Question de la modification par l’intermédiaire
    Dans plusieurs cas de transfert de courrier électronique les serveurs intermédiaires prennent souvent la liberté de modifier un courrier électronique légitime en ajoutant des pieds de page supplémentaires ou en modifiant la signature. Cela rend la signature DKIM1 originale invérifiable, ce qui entraîne des échecs DKIM indésirables. Les courriels concernés peuvent alors être signalés ou marqués comme spam, bien qu’ils soient légitimes.
  2. Atteinte à la réputation par les attaques par répétition
    Lors d’une attaque par rediffusion DKIM, un acteur mailveillant renvoie un courrier électronique qui a été initialement authentifié et signé avec une signature DKIM, en le faisant passer pour un nouveau message authentique. Cependant, le message peut avoir été modifié et être désormais potentiellement dangereux. En bref, des acteurs malveillants peuvent « rejouer » des courriels signés DKIM, nuisant ainsi à la réputation des signataires légitimes.
  3. Absence de retour d’information normalisé
    Certains systèmes mettent en place des mécanismes informels de retour d’information pour informer les expéditeurs de courriers électroniques de l’efficacité de leurs courriers signés DKIM. Ces boucles de rétroaction aident les expéditeurs à savoir si leurs messages sont délivrés correctement ou s’ils sont signalés comme problématiques. Toutefois, il n’existe actuellement aucune règle officielle concernant le fonctionnement de ces systèmes de retour d’information. Ce manque de normalisation peut entraîner l’envoi d’un retour d’information inutile ou peu utile.
  4. Problème de rétrodiffusion
    Si quelqu’un se fait passer pour l’expéditeur d’un courriel (il en falsifie l’origine) et que le courriel ne peut pas être livré, le système envoie souvent un « avis d’échec ». Cet avis est appelé « avis d’état de livraison » (Delivery Status Notification, ou DSN). L’avis parvient à la victime sans méfiance dont le domaine a été falsifié. Cela signifie qu’une personne innocente, qui n’a rien à voir avec le courrier électronique, reçoit une notification confuse ou indésirable. Ce phénomène est connu sous le nom de « backscatter ».

Qu’est-ce que DKIM2 ?

DKIM2 devrait être la prochaine version mise à jour de DKIM1, visant à corriger les lacunes de la version précédente, telles que la vulnérabilité aux attaques par rejeu, les problèmes de transfert de courrier, et à fournir une cryptographie améliorée pour une meilleure authentification et une protection ultérieure.

DKIM2 devrait également résoudre les problèmes de signature des en-têtes, empêcher la rétrodiffusion et prendre en charge plusieurs algorithmes cryptographiques pour faciliter la migration d’une version algorithmique obsolète vers une nouvelle.

En quoi DKIM2 peut-il être un atout ?

DKIM2 pourrait surpasser les capacités de DKIM1 en offrant les avantages clés suivants :

Signature normalisée de l’en-tête

Alors que DKIM1 signe parfois partiellement les en-têtes, ce qui laisse des failles non sécurisées que les acteurs de la menace peuvent exploiter, DKIM2 normalisera les en-têtes qui doivent être signés. Cela réduira la confusion et garantira que tous les en-têtes importants sont signés et sécurisés de manière cohérente.

Prévention de la rétrodiffusion

Le problème du DKIM1, qui entraîne une rétrodiffusion, a été expliqué dans la section ci-dessus. DKIM2 permettra à la DSN d’être envoyée au dernier serveur qui a traité le courrier électronique, évitant ainsi toute confusion pour des tiers innocents.

Gestion simplifiée des erreurs

DKIM2 renforce la sécurité et l’efficacité de la messagerie électronique en améliorant le traitement des messages de rebond et des erreurs. Il garantit que les messages de rebond suivent le bon chemin, protégeant ainsi la vie privée des destinataires et aidant les intermédiaires, tels que les fournisseurs de services de courrier électronique et les listes de diffusion, à suivre et à gérer facilement les problèmes de livraison. En outre, DKIM2 permet aux listes de diffusion et aux passerelles de sécurité d’enregistrer et d’annuler les modifications qu’elles effectuent, ce qui simplifie la vérification et permet de repérer les tentatives de falsification.

En résumé

Pour résumer les principaux éléments du projet de l’IETF, le protocole DKIM2 vise à contourner plusieurs inconvénients de la version actuelle du protocole DKIM1, en rendant le traitement des signatures plus simple, plus sûr et plus efficace. Il devrait également améliorer les capacités de reporting et normaliser les boucles de retour d’information, aidant ainsi les entités à rester informées ! Il est à espérer que cette nouvelle norme lancement sera bientôt lancée, afin que les entreprises puissent tirer le meilleur parti de leur authentification DKIM.

Catégories de ce billet : ,