M3AAWG : renforcer la confiance envers les signatures DKIM

Le Groupe de travail portant sur la messagerie, les logiciels malveillants et la lutte contre l’abus mobile M3AAWG (Messaging, Malware and Mobile Anti-Abuse Working Group) a invité les utilisateurs du système d’authentification DKIM à renforcer la protection par cryptage des signatures numériques et à utiliser des clés d’une longueur minimum de 1 024 bits.

La technologie DKIM (DomainKeys Indentified Mail) est la norme de facto dans de nombreuses entreprises, institutions publiques et services de messagerie de taille. La signature cryptée obtenue à l’aide de ce système vise à confirmer l’authenticité du domaine repris dans l’adresse de l’expéditeur et empêcher la création d’un faux, par exemple pour une attaque de phishing. Un mathématicien en Floride a démontré récemment qu’il était possible de créer un faux de ce genre. Ce dernier a utilisé une grappe dans le nuage bon marché pour déchiffrer la clé de 512 bits de Google en 72 heures. Il est se fait que Google n’est pas le seul adepte de la norme DKIM qui utilise des clés dont la longueur est inférieure au 1 024 bits recommandés en pensant qu’elles sont assez robustes. Microsoft, PayPal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, HP et HSBC adoptent une pratique similaire. De plus, certains destinataires considèrent une signature DKIM émise en mode test comme une signature authentique, ce qui va également à l’encontre des recommandations de la RFC.

Après avoir confirmé la réalité du risque, le groupe américain d’intervention rapide face aux incidents informatiques a reconnu publiquement la présence d’erreurs dans la mise en pratique moderne de la norme DKIM et a recommandé à ses adeptes de respecter les spécifications de base de la norme RFC 6376. Le M3AAWG se prononce également en faveur d’une révision de la mise en œuvre des bases de cryptage DKIM et a publié une série de conseils utiles :

  • la longueur de la clé utilisée pour créer la signature doit être de 1 024 bits minimum ;
  • la clé doit être changée tous les trois mois ;
  • configurer le système de sorte que la signature numérique soit supprimée à chaque remplacement de la clé et révoquer à temps les anciennes clés ouvertes en actualisant le DNS ;
  • la période de test doit être réduite et la clé de test doit être révoquée dès que le système DKIM entre en mode de production ;
  • enrichir la norme DKIM d’un protocole de retour DMARC (Domain-based Message Authentication, Reporting and Conformance) et utiliser ce dernier en mode de surveillance et contrôler la fréquence de sollicitation de ses clés via le DNS ;
  • utiliser la norme DKIM et non pas son ancêtre DomainKeys qui est moins efficace ;
  • inculquer ces pratiques aux partenaires qui fournissent les services de messagerie.

Source :

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *