Gmail : Notre bataille contre le Pishing avec eBay et payPal
Source : Official Gmail Blog
Les messages de Pishing (ou la pêche au numéros bancaires) sont une forme de spam qui tente d’abuser les destinataires en vue d’accéder à leurs informations personnelles. Un des cas les plus classiques est un message soit disant de PayPal essayant d’obtenir votre mot de passe pour ensuite vider votre solde. Ces messages frauduleux semblent souvent officiels et peuvent tromper les utilisateurs.
Gmail fait de son mieux pour indiquer ces messages via une alerte en rouge, mais il peut être délicat de tous les détecter, nous ne sommes pas infaillibles à 100%. Ne serait-il pas mieux si vous n’étiez jamais embêtés par des messages de ce genre, pas même dans vos courriers indésirables ? Depuis 2004, nous utilisons des standards d’authentification d’email dont le DomainKeys et le DomainKeys Identified Mail (DKIM) afin de vérifier les expéditeurs et identifier les messages frauduleux. C’est un outil clé dans l’élimination des spams de vos boîtes Gmail. Cependant, ces systèmes ne sont efficaces seulement si un grand nombre d’entreprises les placent dans la signature de leurs emails — s’ils envoient des emails sans signatures, c’est plus compliqué de déceler un message sans danger d’un frauduleux. Quoi qu’il en soit, je suis heureux de vous annoncer que les fruits de notre collaboration avec PayPal et eBay ont porté leur fruits. C’est une nouvelle étape vers l’élimination totale des messages de pishing.
Désormais, tout email prétendant provenir de paypal.com ou ebay.com (et leurs versions internes) est authentifié par Gmail et — point important — rejeté si l’authentification échoue. Vous ne verrez donc même plus ces messages dans votre dossiers spams. Gmail ne les acceptera tout simplement pas. Inversement, si vous recevez un message de la part de paypal.com ou ebay.com dans votre boîte Gmail, vous saurez que c’est un courrier officiel.
eBay et PayPal ont travaillé dur pour que tous leurs messages comportent une DomainKeys et une DKIM dans la signature. De cette manière, Gmail peut sereinement rejeter tout email qui ne réussi pas l’authentification. Nous testons cette fonctionnalité depuis quelques semaine, et cela marche tellement bien que très peu de personnes s’en sont aperçus.
Le fait que PayPal et eBay aient relevé le défis de sécuriser leurs emails est tout bonnement exemplaire, et nous sommes ravis de leur avoir prêté main forte dans ce labeur. C’est un petit pas, mais qui aidera réellement à combattre le pishing. Nous espérons sincèrement que d’autres entreprises seront inspirées (oui, c’est possible !) et qu’avec le temps, de plus en plus d’emails soient dignes de confiance.