Le très populaire service de messagerie électronique de Google teste actuellement une protection destinée à alerter les utilisateurs de Gmail de potentielles attaques frauduleuses.

Quand vous ouvrez un message qui pourrait être du "phishing" (e-mail frauduleux), le programme affiche une grosse boîte de dialogue rouge portant la mention: "Attention, l'expéditeur de ce message pourrait bien ne pas être ce qu'il prétend être. Prenez garde au moment de cliquer sur un lien ou de fournir vos informations personnelles". Ce même service offre également un lien qui renvoie à l'aide de Gmail relative à la cyber-fraude.

Typiquement, le "phishing" prend la forme d'un e-mail apparemment en provenance de sites ou de services de confiance, comme votre banque ou une boutique en ligne où vous avez vos habitudes. Le message contient le plus souvent des liens qui semblent émaner des sites en question, mais uniquement dans le but de vous amener à fournir des informations sensibles, tels que vos mots de passe, ou votre numéro de carte de crédit.

A l'avenir, Gmail pourrait supprimer tous les liens actifs des e-mails suspects utilisant le format HTML, afin de protéger le PC de l'utilisateur contre toute prise de contrôle à distance. Les adresses des sites continueront d'être accessibles par l'intermédiaire du code original accompagnant chaque e-mail légitime, une astuce que permet déjà Gmail.

Gmail propose aussi de rapporter tout e-mail commercial non sollicité (spam) via un bouton dans la barre d'outil du site. Tout message recevant ce label est déplacé vers le dossier prévu à cet effet, et une notification est faite au logiciel anti-spam de Google. Dans l'aide du site de la compagnie, on peut lire: "plus vous nous renseignerez sur le spam que vous recevez, meilleure sera notre capacité à vous protéger de ces désagréments dans le futur."

Depuis, Google a ajouté une autre icone, plus discrète, intitulée "Signalez un tentative de phishing".

Les grands concurrents de Google, Yahoo! et Microsoft, n'ont pour l'instant pas communiqué sur leur éventuelle intention d'emboîter le pas à Google dans la lutte contre le "phishing".

Google n'en est pourtant pas à son coup d'essai dans la lutte contre les e-mails frauduleux. Ainsi, en Octobre 2004, la compagnie a installé DomainKeys sur ses serveurs e-mail. Cette technologie, développé avec le soutien de Yahoo!, entend procéder à plusieurs vérifications croisées sur chaque e-mail distribué, afin de vérifier son origine. Yahoo! a d'ailleurs équipé ses propres serveurs du même système un mois plus tard.

DomainKeys se fixe pour objectif d'éradiquer totalement spam et phishing.

Pour cela, le logiciel attache à chaque e-mail un clé digitale cryptée. Les adresses d'origine des messages sont ensuite comparées avec les données stockées dans une base de données d'adresses légitimes. Si la clé et l'information renvoyée par la base de données présentent une incohérence, l'e-mail est simplement stoppé en chemin: vous ne le recevrez jamais!

Des alternatives à DomainKeys existent. Microsoft (pour Hotmail) a présenté son propre système d'authentification d'e-mail, dénommé Sender ID. Associée à Yahoo!, la firme de Redmond a aussi proposé à l'Internet Engineering Task Force (qui fait office d'autorité de tutelle internationale sur le web) d'en faire le nouveau standard technologique dans le domaine des e-mails.


Rappelons que l'IETF définit et valide les protocoles utilisés sur Internet, comme par exemple le TCP/IP (Transmission Control Protocol/Internet Protocol).


Merci à Didier d'avoir traduit cette news
Source : CNET