Sécurité des emails : l’ANSSI met à jour ses recommandations, des travaux sur SPF, DKIM et DMARC en cours
Le 29 juin 2020 à 10h22
2 min
Internet
Internet
Suite à notre article, l'Agence Nationale de la Sécurité des Systèmes d'Information nous a indiqué que sa charte élaborée en 2015 avec les FAI était le fruit d'un groupe de travail. Elle comporte pour rappel des mesures à respecter, notamment en termes de traitement ou de mise en place du chiffrement.
« Bouygues Telecom, Free, La Poste, Orange et Numericable-SFR ont signé la Charte pour la sécurité des courriers électroniques et témoignent ainsi de l’intérêt qu’ils portent à la protection des données personnelles de leurs utilisateurs » nous précise l'Agence.
« Les signataires de la charte ont mis en place le protocole TLS de manière systématique pour les communications entre eux ». Mais rien concernant les protocoles SPF, DKIM, DMARC ou encore ARC, alors que certains ont déjà plus d'une dizaine d'années.
Cela pourrait changer : « Les travaux de ce groupe de travail continuent et s’orientent vers leur implémentation » indique l'ANSSI. Elle a également mis à jour le 19 juin dernier son guide de recommandations relatives à l’interconnexion d’un SI à internet.
Cette version 3.0 intègre un chapitre dédié à la sécurisation des messageries électronique. Dans la section 5.4 il détaille ainsi les « protections contre les courriels illégitimes » que sont SPF, DKIM et DMARC et la manière de les mettre en œuvre. L'Agence ajoute un rappel bienvenu : « s’il n’est pas possible de garantir la fiabilité du serveur DNS lui-même, il convient de garantir la fiabilité des données, par exemple avec l’utilisation de DNSSEC ».
Le 29 juin 2020 à 10h22
Commentaires (5)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 29/06/2020 à 08h51
Ça fait plaisir de voir que vos articles peuvent faire bouger les choses ! (OVHCloud, Scaleway, l’ANSSI…)
" />
Le 29/06/2020 à 09h02
Pour l’ANSSI la mise à jour du guide a été faite 2⁄3 jours après la publication des articles, mais je doute que cela ait été fait directement en réaction. Tout du moins, même si ça avait déclenché la publication le texte ajouté devait être prêt en amont, c’est relativement complet et ça n’a sans doute pas été ajouté en si peu de temps. Mais oui, on est content que ça bouge, même si de la part des acteurs on a encore des promesses un peu floues. Espérons que ça puisse servir d’accélérateur " />
Le 29/06/2020 à 10h50
" />
Le 29/06/2020 à 19h23
Je serais intéresser par une étude sur les organismes d’État qui mettent en œuvre ces technologies:
Et pour faire bonne mesure, on pourrait ajouter les banques.
Je pense que cela assainirait le courriel et diminuerait le reisque de fraude, piratage & Co.
Le 29/06/2020 à 20h33
C’est l’utilité que je crédite à l’ANSSI. " />
Reste à voir la suite, dans les faits.