dimanche 24 mai 2020    || Inscription
BanniereNews
 
 
Jusqu´à présent réservé à des applications très peu nombreuses, l´authentification est pourtant un besoin essentiel pour faire fonctionner convenablement l´économie
numérique. Une prise de conscience des risques et des besoins devrait permettre de créer un véritable marché.


L´émetteur peut être un usurpateur
Le problème de l´authenticité des émetteurs d´e-mail est plus critique que ne le pense la majorité des utilisateurs de courriers électroniques. Aujourd´hui, tout utilisateur, ou presque, considère qu´un e-mail avec un sujet cohérent émane effectivement de la personne ayant mis son adresse e-mail dans le champs émetteur.

Il n´en est rien. Pour envoyer un e-mail avec une adresse d´émetteur fantaisiste, tout utilisateur d´Outlook n´a qu´à créer un nouveau compte e-mail : Menu Outils - Comptes, puis ajouter courrier. Là, il peut saisir une identité au gré de son humeur du moment, fantaisiste ou usurper une identité existante. Dans le choix des serveurs, il prendra, par exemple un serveur POP3. Pour le serveur entrant, il mettra n´importe quoi et ne pourra pas recevoir les mails du compte créé. Pour le serveur sortant, il lui suffira de déclarer un serveur smtp existant d´un grand ISP. Il ne sélectionnera pas l´option d´authentification sécurisée, ce qui ne posera pas de problème. Très peu d´ISP la requière aujourd´hui. Il aura ainsi créé un nouveau compte e-mail, fantaisiste ou usurpé, et pourra envoyer les messages qu´il veut à qui il veut en se faisant passer pour un autre. Le serveur smtp par lequel il transitera sera celui de l´ISP qui lui fournit un accès Internet, ou de n´importe quel ISP qu´il squattera. La personne qui répondrait à un e-mail ayant usurpé une identité retournerait sa réponse au véritable propriétaire de l´e-mail qui, lui, n´aura rien envoyé. Une telle usurpation peut toutefois se retourner contre son auteur. Le message envoyé comprend, dans ses propriétés, des indications sur le serveur smtp emprunté.
Il est ensuite possible retrouver l´adresse IP de l´émetteur en interrogeant ce serveur et de poser quelques questions à son utilisateur. Les mauvais plaisantins doivent donc être conscients du risque qu´ils encouraient à faire n´importe quoi.

Des risques réels
Aujourd´hui, de nombreux vers utilisent cette possibilité d´usurpation d´identité pour envoyer de faux e-mails ressemblant à des vrais. Si vous recevez un e-mail provenant, apparemment, de votre collègue de bureau avec pour titre « Notre document de travail » et une pièce jointe, il est tout à fait possible que vous l´ouvriez sans crainte. Or, ce faux mail peut contenir une pièce jointe exécutant un programme. Les vers qui ont fait l´actualité de ce début d´année ont pour objet principal de se reproduire. Un e-mail avec une identité usurpé peut aussi permettre à un hacker d´ouvrir discrètement un port sur votre PC pour ensuite en prendre le contrôle.

Une nouvelle dynamique de marché
Pour de nombreuses applications professionnelles, il n´est pas concevable de courir le risque de se faire
submerger par des problèmes de gestion de fausses identités. Il faut donc recourir à des moyens d´authentification fiables. Ce besoin n´est pas aujourd´hui pris en compte dans la grande majorité des entreprises. C´est un danger qu´il ne faut pas ignorer. La tendance du marché de l´authentification va cependant peut-être évoluer prochainement très rapidement. D´une part les attaques répétées des virus mettent en évidence des risques que les dirigeants ne peuvent pas ne pas voir. La prise de conscience d´un danger est donc en train de se faire. D´autre part, les administrations ont beaucoup à gagner au passage à l´administration électronique. Elles vont alors imposer les moyens d´authentification nécessaires au bon fonctionnement du système. Et ainsi, les systèmes d´authentification devraient se mettre en oeuvre à grande échelle.



Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI