GMail Notifier (143x59) Depuis 2004, Google lutte activement contre les mails frauduleux qui n'ont d'autre but que d'aller à la pêche aux informations personnelles de l'utilisateur, ce dernier étant tout disposé à les divulguer étant leurré par une pseudo provenance d'un service prétendument légitime comme eBay et PayPal. C'est en collaboration avec ces deux groupes particulièrement touchés par ce fléau que Google a mis en place pour Gmail les normes d'authentification DomainKeys et DomainKeys Identified Mail ou DKIM dont la paternité revient à Yahoo!.

S'appuyant sur le principe de la signature cryptographique, DomainKeys permet de procéder à diverses vérifications croisées sur chaque mail auquel est attaché une clé chiffrée, afin de vérifier son origine par comparaison à une base de données répertoriant les adresses légitimes. Voilà pour le principe mais dans la pratique, certains mails de phishing faussement attribués à eBay et PayPal arrivaient à passer entre les mailles du filet. Cela ne devrait plus être le cas si l'on en croit Google.

PayPal_logo Brad Taylor, ingénieur chez Google, explique que cette technologie a montré ses limites tout simplement parce que eBay et PayPal ne signaient pas systématiquement tous leurs mails, et il devenait alors difficile de dire si un mail non signé était valide ou pas, causant de fait un certain désordre dans le système de protection mis en place. Dorénavant, eBay et PayPal signent tous leurs mails sans exception avec DomainKeys et DKIM rendant la tâche d'authentification de Gmail plus simple. Ainsi, l'utilisateur Gmail recevant un mail attribué à eBay ou PayPal a l'assurance de son authenticité, et quant aux mails de phishing ils ne passent même plus la porte, étant irrémédiablement retoqués à l'entrée sans apparaître dans le dossier réservé aux indésirables (spam).

Après sa récente fonctionnalité de monitoring, Google semble vouloir communiquer sur les aspects sécuritaires de son webmail, comme pour rassurer les utilisateurs. Néanmoins, Gmail n'est pas le seul webmail à déployer de telles technologies, et cela ne doit par ailleurs pas dédouaner l'utilisateur de son presque devoir comme par exemple ne jamais communiquer d'informations personnelles en réponse à un mail.