mknews

mardi 13
novembre 2018

  

5954 News

1628 Membres

Simple & Gratuit !

Je communique
sur ma marque

    btcliquez

Je reste en veille

  facebook tw 

L'information permanente dédiée aux dirigeants et aux marketeurs

 
Accueil » e-commerce
 
Publié le

e-commerce

Certified Senders Alliance: DMARC offre une protection contre les attaques de phishing

Cela arrive souvent : on reçoit tout à coup dans la boîte de réception des courriels de banques, de grands détaillants de vente par correspondance ou de sociétés de logistique qui semblent réels et qui veulent avoir des détails sur vos données personnelles sous n'importe quel prétexte. Vous êtes victime d'une attaque de phishing, et vous n'êtes pas le seul.

Une telle attaque de phishing endommage non seulement le destinataire qui donne trop négligemment ses données personnelles, mais aussi et surtout, la réputation et donc aussi la délivrabilité de la marque copiée. Avec DMARC, vous pouvez efficacement vous protéger contre les abus faits à votre propre marque. Mais êtes-vous autorisés à le faire?DMARC (Domain-based Message Authentication, Reporting and Conformance) est une spécification qui permet aux entreprises d´éviter l´usurpation de leur adresse d´expéditeur. La spécification complète deux technologies établies depuis longtemps, Sender Policy Framework (SPF) et DomainKeys Identified Mail (DKIM), comblant ainsi une lacune sur le chemin de l'expéditeur au destinataire. La norme SPF vise à s'assurer qu'un e-mail en provenance d'un domaine a bien le droit de partir du serveur qui l´envoie; DKIM permet de vérifier que le courriel n´a pas été falsifié sur le chemin vers le destinataire et qu´il provient de la source réclamée. C´est donc un service d´authentification de courriels. DMARC établit maintenant ce qui se passe pour le destinataire avec des e-mails qui ne sont pas conformes aux spécifications de SPF ou DKIM. DMARC est destiné à tous ceux qui envoient et reçoivent des e-mails. En ce qui concerne l´expéditeur, c'est le propriétaire du domaine qui doit publier le protocole DMARC dans DNS tandis que l'expéditeur technique, par exemple le fournisseur de services de courrier électronique, aurait dû mettre en œuvre la norme technique DomainKeys Identified Mail (DKIM). Du côté du destinataire, c'est le fournisseur d´accès Internet (FAI), qui doit évaluer la politique DMARC et donc, selon les spécifications, empêcher simplement la livraison. C´est donc l'expéditeur qui détermine quelles adresses IP et quelles signatures envoient ou affichent des e-mails légitimes. DMARC n'est pas une nouvelle technologie. Depuis 2012, les entreprises ont pu travailler avec les spécifications DMARC. Cependant, leur diffusion est encore loin d'être exhaustive. Il y a une raison à cela. Même avec le développement de la nouvelle spécification, il n'était pas clair dans quelle mesure, avec DMARC, on touche aux données personnelles qui rentrent dans la législation actuelle de protection des données. Et même avec l'entrée en vigueur du nouveau règlement général sur la protection des données (RGPD) en mai de cette année, cette incertitude est toujours là. Court-on donc le risque de traiter illégalement des données personnelles lorsqu’on utilise DMARC? En principe, DMARC fonctionne comme suit : l'expéditeur ou le propriétaire de domaine définit d'abord les enregistrements SPF et la clé publique pour DKIM pour tous les domaines d'expédition à considérer. Le fournisseur d´accès Internet (FAI) vérifie pour les messages entrants si l´adresse IP de l´expéditeur correspond à une adresse IP indiquée dans l'enregistrement SPF pour ce domaine. DKIM vérifie si la signature cryptographique du courriel reçu correspond à la clé publique. Avec DMARC, le propriétaire de domaine peut décider comment procéder avec les mails qui n'ont pas ou seulement partiellement « passé » la vérification des protocoles SPF et DKIM. De plus, le propriétaire du domaine dépose sur le DNS (Domain Name System) l'adresse e-mail de feedback où les destinataires qui participent à DMARC peuvent envoyer des informations sur les domaines de stratégie DMARC et les résultats d´authentification des e-mails. Cela se fait par le biais de rapports. On fait une distinction entre les Aggregated Reports (rapports complets) et les Failure Reports (rapports de défaillance). Ils transmettent, selon le type de rapport, entre autres: • Les adresses IP qui ont envoyé des mails pour le domaine de stratégie DMARC • L'adresse e-mail sortante • L'adresse e-mail du destinataire • L´objet du courriel • Le texte du courriel Cela pourrait poser des problèmes d´un point de vue de la protection des données. Selon l'article 4 n°1 du RGPD, on considère comme des données personnelles, « toutes les informations relatives à une personne identifiée ou identifiable ». Cela est vrai, tant pour les adresses IP statiques et dynamiques, que pour les domaines. En outre, le RGPD déclare que le traitement des données personnelles n'est permis que s'il est autorisé par la loi ou par d'autres législations et/ou que la personne concernée accepte.


 

Toutes les news

Espace service

La lettre d'information des professionnels de la VAD, du MD, de l'E-commerce et M-commerce