Logiciel tiers verifiant l'authenticite des mails - recherche d'infos
29 réponses
Az Sam
[Xpost assez large avec FU2 fr.comp.securite]
Bonjour,
On me parle de ce petit programme gratuit.
http://www.iconix.com/learnmore.php
Il est censé vérifier l'authenticité de la provenance des mails reçus sur un
poste client.
Si je comprends bien, il s'intercale entre le mailer client et le serveur
mail pour vérifier la provenance et marquer un mail
Pensez vous que ce soit bien raisonnable d'avoir ainsi une appli qui vérifie
l'ensemble des mails reçus ?
Moi je me dis que :
- Il y a bien peu d'explications sur le fonctionnement réel
- il est gratuit, il faut donc bien qu'ils gagnent leur vie par les accords
commerciaux
- ils peuvent authentifier des sources car elles sont leur clientes sans
pour autant que cela soit un gage d'honnêteté
- ils doivent relever l'ensemble des en têtes plutôt que le seul champ From
- L'avantage par rapport aux certificats et au cryptage est de ne pas
nécessiter de multiples certificats sur la machine cliente.
J'ai bien essaye de lire un peu :
http://en.wikipedia.org/wiki/ICONIX
http://www.informit.com/articles/article.aspx?p=167902
http://en.wikipedia.org/wiki/Rational_Unified_Process
Mais j'avoue que je n'y comprends pas grand chose.
Comment ca marche ? Est ce fiable ?
Quel est l'intérêt réel pour un utilisateur lambda ?
Il y a quand meme le monde, Ikea, American Express, Apple etc...
Ça peut vouloir dire que ces entreprises utilisent déjà un système à la DKIM, et qu'Iconix sait le reconnaître.
En fait, si ça se trouve, Iconix n'a pour l'instant aucun contact avec aucune entreprise. Mais, sachant authentifier un certain nombre d'expéditeurs, ils espèrent engranger des utilisateurs. Et une fois qu'ils auront assez d'utilisateurs, ils pourront effectivement racketer les expéditeurs.
On Tue, 19 Jan 2010 20:10:36 +0100, "Az Sam" <me@home.net>:
Il y a quand meme le monde, Ikea, American Express, Apple etc...
Ça peut vouloir dire que ces entreprises utilisent déjà un système à
la DKIM, et qu'Iconix sait le reconnaître.
En fait, si ça se trouve, Iconix n'a pour l'instant aucun contact avec
aucune entreprise. Mais, sachant authentifier un certain nombre
d'expéditeurs, ils espèrent engranger des utilisateurs. Et une fois
qu'ils auront assez d'utilisateurs, ils pourront effectivement
racketer les expéditeurs.
Il y a quand meme le monde, Ikea, American Express, Apple etc...
Ça peut vouloir dire que ces entreprises utilisent déjà un système à la DKIM, et qu'Iconix sait le reconnaître.
En fait, si ça se trouve, Iconix n'a pour l'instant aucun contact avec aucune entreprise. Mais, sachant authentifier un certain nombre d'expéditeurs, ils espèrent engranger des utilisateurs. Et une fois qu'ils auront assez d'utilisateurs, ils pourront effectivement racketer les expéditeurs.
Fabien LE LEZ
On Tue, 19 Jan 2010 20:15:52 +0100, "Az Sam" :
le logiciel, [...] n'est pas lourd.
Je parlais de leur infrastructure : devoir contacter les expéditeurs un par un est/serait un boulot énorme. En fait, stocker la liste de tous les domaines expéditeurs possibles risque de demander des ressources non négligeables.
Pourquoi penses tu que le résultat est minable ?
Ben... Ils parlent de 1500 domaines expéditeurs reconnus. Quand ils auront multiplié ce chiffre par 1000, on pourra peut-être commencer à ouvrir une paupière. En atttendant, il y a fort à parier qu'ils ne peuvent rien faire pour la quasi-totalité des e-mails reçus.
On Tue, 19 Jan 2010 20:15:52 +0100, "Az Sam" <me@home.net>:
le logiciel, [...] n'est pas lourd.
Je parlais de leur infrastructure : devoir contacter les expéditeurs
un par un est/serait un boulot énorme. En fait, stocker la liste de
tous les domaines expéditeurs possibles risque de demander des
ressources non négligeables.
Pourquoi penses tu que le résultat est minable ?
Ben... Ils parlent de 1500 domaines expéditeurs reconnus. Quand ils
auront multiplié ce chiffre par 1000, on pourra peut-être commencer à
ouvrir une paupière. En atttendant, il y a fort à parier qu'ils ne
peuvent rien faire pour la quasi-totalité des e-mails reçus.
Je parlais de leur infrastructure : devoir contacter les expéditeurs un par un est/serait un boulot énorme. En fait, stocker la liste de tous les domaines expéditeurs possibles risque de demander des ressources non négligeables.
Pourquoi penses tu que le résultat est minable ?
Ben... Ils parlent de 1500 domaines expéditeurs reconnus. Quand ils auront multiplié ce chiffre par 1000, on pourra peut-être commencer à ouvrir une paupière. En atttendant, il y a fort à parier qu'ils ne peuvent rien faire pour la quasi-totalité des e-mails reçus.
Az Sam
"Fabien LE LEZ" a écrit dans le message de news:
Je parlais de leur infrastructure : devoir contacter les expéditeurs un par un est/serait un boulot énorme. En fait, stocker la liste de tous les domaines expéditeurs possibles risque de demander des ressources non négligeables.
ah pardon. Oui, il doit y avoir un charge reseau et systeme certes, mais du point de vue stockage, est ce si important avec les dimensions actuelles. Je ne me rend pas compte en fait.
Ben... Ils parlent de 1500 domaines expéditeurs reconnus. Quand ils auront multiplié ce chiffre par 1000, on pourra peut-être commencer à ouvrir une paupière. En atttendant, il y a fort à parier qu'ils ne peuvent rien faire pour la quasi-totalité des e-mails reçus.
Ah oui c'ets pas faux ca. Imaginera t on, qu'a terme et en cas de multiplication de ces solutions, seuls ces "elus" puissent traverser les tuyaux sans encombre.. D'autant que si chacun a ses elus, ca cloisenerais pas mal l'Internet.
En revanche ca pourrait apporter une sorte de tranquilité pour les emetteurs de ces domaines.
-- Cordialement, Az Sam.
"Fabien LE LEZ" <gramster@gramster.com> a écrit dans le message de news:
Je parlais de leur infrastructure : devoir contacter les expéditeurs
un par un est/serait un boulot énorme. En fait, stocker la liste de
tous les domaines expéditeurs possibles risque de demander des
ressources non négligeables.
ah pardon.
Oui, il doit y avoir un charge reseau et systeme certes, mais du point de
vue stockage, est ce si important avec les dimensions actuelles.
Je ne me rend pas compte en fait.
Ben... Ils parlent de 1500 domaines expéditeurs reconnus. Quand ils
auront multiplié ce chiffre par 1000, on pourra peut-être commencer à
ouvrir une paupière. En atttendant, il y a fort à parier qu'ils ne
peuvent rien faire pour la quasi-totalité des e-mails reçus.
Ah oui c'ets pas faux ca.
Imaginera t on, qu'a terme et en cas de multiplication de ces solutions,
seuls ces "elus" puissent traverser les tuyaux sans encombre..
D'autant que si chacun a ses elus, ca cloisenerais pas mal l'Internet.
En revanche ca pourrait apporter une sorte de tranquilité pour les emetteurs
de ces domaines.
Je parlais de leur infrastructure : devoir contacter les expéditeurs un par un est/serait un boulot énorme. En fait, stocker la liste de tous les domaines expéditeurs possibles risque de demander des ressources non négligeables.
ah pardon. Oui, il doit y avoir un charge reseau et systeme certes, mais du point de vue stockage, est ce si important avec les dimensions actuelles. Je ne me rend pas compte en fait.
Ben... Ils parlent de 1500 domaines expéditeurs reconnus. Quand ils auront multiplié ce chiffre par 1000, on pourra peut-être commencer à ouvrir une paupière. En atttendant, il y a fort à parier qu'ils ne peuvent rien faire pour la quasi-totalité des e-mails reçus.
Ah oui c'ets pas faux ca. Imaginera t on, qu'a terme et en cas de multiplication de ces solutions, seuls ces "elus" puissent traverser les tuyaux sans encombre.. D'autant que si chacun a ses elus, ca cloisenerais pas mal l'Internet.
En revanche ca pourrait apporter une sorte de tranquilité pour les emetteurs de ces domaines.
-- Cordialement, Az Sam.
Az Sam
"Fabien LE LEZ" a écrit dans le message de news:
Ça peut vouloir dire que ces entreprises utilisent déjà un système à la DKIM, et qu'Iconix sait le reconnaître.
c'est quoi c'te bete là ? En tout cas ces noms font une belle vitrinne, c'ets aussi ce qui m'induit a la mefiance.
En fait, si ça se trouve, Iconix n'a pour l'instant aucun contact avec aucune entreprise. Mais, sachant authentifier un certain nombre d'expéditeurs, ils espèrent engranger des utilisateurs. Et une fois qu'ils auront assez d'utilisateurs, ils pourront effectivement racketer les expéditeurs.
oui. On serait donc face a un programme de profilage et de recolte. Une sorte de filet lancé dans les vagues pour choper les surfeurs craintifs puis depeupler les plages pour lesquelles les hotels de bord de mer n'ont pas adheré.
-- Cordialement, Az Sam.
"Fabien LE LEZ" <gramster@gramster.com> a écrit dans le message de news:
Ça peut vouloir dire que ces entreprises utilisent déjà un système à
la DKIM, et qu'Iconix sait le reconnaître.
c'est quoi c'te bete là ?
En tout cas ces noms font une belle vitrinne, c'ets aussi ce qui m'induit a
la mefiance.
En fait, si ça se trouve, Iconix n'a pour l'instant aucun contact avec
aucune entreprise. Mais, sachant authentifier un certain nombre
d'expéditeurs, ils espèrent engranger des utilisateurs. Et une fois
qu'ils auront assez d'utilisateurs, ils pourront effectivement
racketer les expéditeurs.
oui. On serait donc face a un programme de profilage et de recolte.
Une sorte de filet lancé dans les vagues pour choper les surfeurs craintifs
puis depeupler les plages pour lesquelles les hotels de bord de mer n'ont
pas adheré.
Ça peut vouloir dire que ces entreprises utilisent déjà un système à la DKIM, et qu'Iconix sait le reconnaître.
c'est quoi c'te bete là ? En tout cas ces noms font une belle vitrinne, c'ets aussi ce qui m'induit a la mefiance.
En fait, si ça se trouve, Iconix n'a pour l'instant aucun contact avec aucune entreprise. Mais, sachant authentifier un certain nombre d'expéditeurs, ils espèrent engranger des utilisateurs. Et une fois qu'ils auront assez d'utilisateurs, ils pourront effectivement racketer les expéditeurs.
oui. On serait donc face a un programme de profilage et de recolte. Une sorte de filet lancé dans les vagues pour choper les surfeurs craintifs puis depeupler les plages pour lesquelles les hotels de bord de mer n'ont pas adheré.
-- Cordialement, Az Sam.
Fabien LE LEZ
On Wed, 20 Jan 2010 19:01:18 +0100, "Az Sam" :
c'est quoi c'te bete là ?
DomainKeys Identified Mail http://en.wikipedia.org/wiki/DomainKeys_Identified_Mail
En gros, le MTA ajoute une signature qui l'authentifie.
On Wed, 20 Jan 2010 19:01:18 +0100, "Az Sam" <me@home.net>:
c'est quoi c'te bete là ?
DomainKeys Identified Mail
http://en.wikipedia.org/wiki/DomainKeys_Identified_Mail
En gros, le MTA ajoute une signature qui l'authentifie.
DomainKeys Identified Mail http://en.wikipedia.org/wiki/DomainKeys_Identified_Mail
En gros, le MTA ajoute une signature qui l'authentifie.
ok. Ca m'eclaire tes propos sur la charge systeme importante que pouvait generer ce type d'application. Merci de toutes ces precisions.
-- Cordialement, Az Sam.
Az Sam
"Bruno Tréguier" a écrit dans le message de news:
Apparemment, Iconix ne fait guère plus que vérifier les enregistrements SPF et DomainKeys. Le reste ressemble fort à une forme de racket: vous payez, nous disons que vous êtes des gens bien.
Les enrgistrement SPF et DomainKeys sont ils falsifiables ?
Je comprend bien cette idee de racket. En meme temps je ne peux m'empecher de la regarder du cote de l'utilisateur final (et tout venant). Pour lui, le phishing est un risque majeur. Il y perd ses precieux sous et se faire arnaquer n'est jamais bon pour le moral et l'image de soi. En exagerant à peine, cela peut etre vecu comme un viol (a l'instar d'un cambriolage).
Le phishinhg qu'il redoute, n'est pas celui de la newsletter d'une petite firme vaguement connue sur le site de laquelle il serait passe au cours d'un surf de detente, mais plutot celui qui pourrait toucher les grosses entreprises, celles en qui la seule evocation du nom, etait censé le rassurer sur le serieux et la protection des echanges (notement du fait de la renommée et de la taille de la boite...) note : Que l'utilisateur se fourvoie avec ce raisonnement n'est pas la question, le fait est que l'on fait tous plus confiance a Air France qu'a une petite compagnie...
Du coup, l'utilisateur n'a peut etre pas besoin de savoir que l'ensemble des mails qu'il recoit sont authentiques, mais de savoir surtout que ceux provenant de sa banque, de son administration, d'une marque a laquelle il achete des produits en 100aines d'euros, d'un vendeur en ligne chez lequel il depense regulierement etc... , sont bien authentiques et qu'il peut faire confiance aux echanges en ligne qu'il aurait avec ses domaines là.
Si une solution, facile a mettre en place, gratuite voire peu chere, lui permet d'etre informé en cas de récéption de phishing (enfin là c'est dans l'autre sens : informe en cas de NON Phishing) il me semble que ca merite d'etre etudié.
Comme dit des le debut dans les reponses, le probleme est de savoir la confiance que l'on peut avoir dans cette authentification... Je me souviens vouloir acheter des draps pour un nouveau né en Bulgarie. Je m'inquieteais des eventuels traitements du tissus (allergies etc..) comme je notais l'abscence de toute etiquette de certification et meme de composition. La jeune vendeuse me repondit : "vous voulez une etiquette CE ? revenez cet apres midi, je vais la mettre" :-/
Pour faire le parralele avec iconix, l'aplication ne fait que rajouter un zolie icone dans le sujet du mail. Mais que vaut cet icone ?
-- Cordialement, Az Sam.
"Bruno Tréguier" <bruno.treguier_at_shom.fr@nullepart.invalid> a écrit dans
le message de news:
Apparemment, Iconix ne fait guère plus que vérifier les enregistrements
SPF et DomainKeys. Le reste ressemble fort à une forme de racket: vous
payez, nous disons que vous êtes des gens bien.
Les enrgistrement SPF et DomainKeys sont ils falsifiables ?
Je comprend bien cette idee de racket.
En meme temps je ne peux m'empecher de la regarder du cote de l'utilisateur
final (et tout venant).
Pour lui, le phishing est un risque majeur. Il y perd ses precieux sous et
se faire arnaquer n'est jamais bon pour le moral et l'image de soi. En
exagerant à peine, cela peut etre vecu comme un viol (a l'instar d'un
cambriolage).
Le phishinhg qu'il redoute, n'est pas celui de la newsletter d'une petite
firme vaguement connue sur le site de laquelle il serait passe au cours d'un
surf de detente, mais plutot celui qui pourrait toucher les grosses
entreprises, celles en qui la seule evocation du nom, etait censé le
rassurer sur le serieux et la protection des echanges (notement du fait de
la renommée et de la taille de la boite...)
note : Que l'utilisateur se fourvoie avec ce raisonnement n'est pas la
question, le fait est que l'on fait tous plus confiance a Air France qu'a
une petite compagnie...
Du coup, l'utilisateur n'a peut etre pas besoin de savoir que l'ensemble des
mails qu'il recoit sont authentiques, mais de savoir surtout que ceux
provenant de sa banque, de son administration, d'une marque a laquelle il
achete des produits en 100aines d'euros, d'un vendeur en ligne chez lequel
il depense regulierement etc... , sont bien authentiques et qu'il peut faire
confiance aux echanges en ligne qu'il aurait avec ses domaines là.
Si une solution, facile a mettre en place, gratuite voire peu chere, lui
permet d'etre informé en cas de récéption de phishing (enfin là c'est dans
l'autre sens : informe en cas de NON Phishing) il me semble que ca merite
d'etre etudié.
Comme dit des le debut dans les reponses, le probleme est de savoir la
confiance que l'on peut avoir dans cette authentification...
Je me souviens vouloir acheter des draps pour un nouveau né en Bulgarie. Je
m'inquieteais des eventuels traitements du tissus (allergies etc..)
comme je notais l'abscence de toute etiquette de certification et meme de
composition. La jeune vendeuse me repondit : "vous voulez une etiquette CE ?
revenez cet apres midi, je vais la mettre" :-/
Pour faire le parralele avec iconix, l'aplication ne fait que rajouter un
zolie icone dans le sujet du mail.
Mais que vaut cet icone ?
Apparemment, Iconix ne fait guère plus que vérifier les enregistrements SPF et DomainKeys. Le reste ressemble fort à une forme de racket: vous payez, nous disons que vous êtes des gens bien.
Les enrgistrement SPF et DomainKeys sont ils falsifiables ?
Je comprend bien cette idee de racket. En meme temps je ne peux m'empecher de la regarder du cote de l'utilisateur final (et tout venant). Pour lui, le phishing est un risque majeur. Il y perd ses precieux sous et se faire arnaquer n'est jamais bon pour le moral et l'image de soi. En exagerant à peine, cela peut etre vecu comme un viol (a l'instar d'un cambriolage).
Le phishinhg qu'il redoute, n'est pas celui de la newsletter d'une petite firme vaguement connue sur le site de laquelle il serait passe au cours d'un surf de detente, mais plutot celui qui pourrait toucher les grosses entreprises, celles en qui la seule evocation du nom, etait censé le rassurer sur le serieux et la protection des echanges (notement du fait de la renommée et de la taille de la boite...) note : Que l'utilisateur se fourvoie avec ce raisonnement n'est pas la question, le fait est que l'on fait tous plus confiance a Air France qu'a une petite compagnie...
Du coup, l'utilisateur n'a peut etre pas besoin de savoir que l'ensemble des mails qu'il recoit sont authentiques, mais de savoir surtout que ceux provenant de sa banque, de son administration, d'une marque a laquelle il achete des produits en 100aines d'euros, d'un vendeur en ligne chez lequel il depense regulierement etc... , sont bien authentiques et qu'il peut faire confiance aux echanges en ligne qu'il aurait avec ses domaines là.
Si une solution, facile a mettre en place, gratuite voire peu chere, lui permet d'etre informé en cas de récéption de phishing (enfin là c'est dans l'autre sens : informe en cas de NON Phishing) il me semble que ca merite d'etre etudié.
Comme dit des le debut dans les reponses, le probleme est de savoir la confiance que l'on peut avoir dans cette authentification... Je me souviens vouloir acheter des draps pour un nouveau né en Bulgarie. Je m'inquieteais des eventuels traitements du tissus (allergies etc..) comme je notais l'abscence de toute etiquette de certification et meme de composition. La jeune vendeuse me repondit : "vous voulez une etiquette CE ? revenez cet apres midi, je vais la mettre" :-/
Pour faire le parralele avec iconix, l'aplication ne fait que rajouter un zolie icone dans le sujet du mail. Mais que vaut cet icone ?
-- Cordialement, Az Sam.
Yamo'
Salut, le Tue, 19 Jan 2010 21:30:43 +0100, Bruno Tréguier a écrit dans le message <hj54pk$bgc$ :
Pour Thunderbird (jusqu'aux versions 2 pour le moment), il existe un plugin qui effectue les mêmes vérifs (SPF, DomainKeys, RBLs) sans obliger les domaines concernés à s'enregistrer auprès de qui que ce soit.
Est-ce cette extension? <https://addons.mozilla.org/fr/thunderbird/addon/345> <http://www.softpedia.com/get/Tweak/Browser-Tweak/Sender- Verification-Extension.shtml>
-- Stéphane <http://pasdenom.info/fortune>
Salut, le Tue, 19 Jan 2010 21:30:43 +0100, Bruno Tréguier a écrit dans le
message <hj54pk$bgc$3@typhon.shom.fr> :
Pour Thunderbird (jusqu'aux versions 2 pour le moment), il existe un
plugin qui effectue les mêmes vérifs (SPF, DomainKeys, RBLs) sans
obliger les domaines concernés à s'enregistrer auprès de qui que ce
soit.
Est-ce cette extension?
<https://addons.mozilla.org/fr/thunderbird/addon/345>
<http://www.softpedia.com/get/Tweak/Browser-Tweak/Sender-
Verification-Extension.shtml>
Salut, le Tue, 19 Jan 2010 21:30:43 +0100, Bruno Tréguier a écrit dans le message <hj54pk$bgc$ :
Pour Thunderbird (jusqu'aux versions 2 pour le moment), il existe un plugin qui effectue les mêmes vérifs (SPF, DomainKeys, RBLs) sans obliger les domaines concernés à s'enregistrer auprès de qui que ce soit.
Est-ce cette extension? <https://addons.mozilla.org/fr/thunderbird/addon/345> <http://www.softpedia.com/get/Tweak/Browser-Tweak/Sender- Verification-Extension.shtml>
-- Stéphane <http://pasdenom.info/fortune>
Fabien LE LEZ
On Thu, 21 Jan 2010 08:56:09 +0100, "Az Sam" :
Pour lui, le phishing est un risque majeur.
Je dirais qu'a priori, les gens qui se font avoir sont les mêmes qui ne penseraient même pas à installer un système de sécurité.
On Thu, 21 Jan 2010 08:56:09 +0100, "Az Sam" <me@home.net>:
Pour lui, le phishing est un risque majeur.
Je dirais qu'a priori, les gens qui se font avoir sont les mêmes qui
ne penseraient même pas à installer un système de sécurité.
Je dirais qu'a priori, les gens qui se font avoir sont les mêmes qui ne penseraient même pas à installer un système de sécurité.
Fabien LE LEZ
On Wed, 20 Jan 2010 22:16:15 +0100, "Az Sam" :
ok. Ca m'eclaire tes propos sur la charge systeme importante que pouvait generer ce type d'application.
Je n'ai pas parlé de charge système. Le terme "usine à gaz" se référait au problème de contacter chacune des millions de sociétés à même d'envoyer des e-mails. Sans même parler des particuliers ayant un nom de domaine.
On Wed, 20 Jan 2010 22:16:15 +0100, "Az Sam" <me@home.net>:
ok. Ca m'eclaire tes propos sur la charge systeme importante que pouvait
generer ce type d'application.
Je n'ai pas parlé de charge système. Le terme "usine à gaz" se
référait au problème de contacter chacune des millions de sociétés à
même d'envoyer des e-mails. Sans même parler des particuliers ayant un
nom de domaine.
ok. Ca m'eclaire tes propos sur la charge systeme importante que pouvait generer ce type d'application.
Je n'ai pas parlé de charge système. Le terme "usine à gaz" se référait au problème de contacter chacune des millions de sociétés à même d'envoyer des e-mails. Sans même parler des particuliers ayant un nom de domaine.
