Face à la recrudescence de campagne de phishing sur internet, Google réfléchit à une solution pour lutter contre ce type de pratiques au sein de son service Gmail. Depuis juillet 2020, la firme de Mountain View développe ainsi un système permettant d’authentifier les entités directement dans son client mail. Bonne nouvelle, Google vient d’annoncer en début de semaine que la fonctionnalité, connue sous le nom de Brand Indicators for Message Identification (BIMI), serait en cours de déploiement durant les prochaines semaines.

Google promet plus de sécurité dans Gmail

Depuis de nombreuses années, les campagnes de phishing (hameçonnage) pullulent dans nos boites mail. Pour faire simple, des personnes malveillantes recréent des mails en se faisant passer pour une entité (PayPal, Free, Netflix…) dans l'objectif de subtiliser des données personnelles. Afin de lutter contre cette tendance, Google travaille depuis plus d’un an sur une solution simple et efficace pour Gmail : un logo permettant de confirmer l’identité de l’expéditeur.

Dans un communiqué, Google explique ainsi que cette nouvelle fonctionnalité Gmail est activée par la norme Brand Indicators for Message Identification (BIMI). Afin d’authentifier l’identité de l’expéditeur d’un mail, l’entreprise explique ainsi utiliser la norme DMARC, soit “une norme d'authentification forte de l'expéditeur qui permet aux systèmes de sécurité d'effectuer un meilleur filtrage, en séparant les messages légitimes des messages potentiellement usurpés”.

Lorsqu’une organisation a mis en place la norme DMARC, un logo s’affichera sur les mails afin d’authentifier les domaines et sous-domaines utilisés par l’entreprise. Un simple coup d’œil permettra ainsi d’être sûr à 100 % que l’expéditeur est bien celui qu’il prétend être.

À travers ce nouveau dispositif, Seth Blank, président du groupe de travail AuthIndicators explique que “la prise en charge de BIMI par Gmail est une victoire pour l’authentification des e-mails, la confiance des marques et les consommateurs. BIMI donne aux entreprises la possibilité d’offrir à leurs clients une expérience de messagerie plus immersive, renforçant ainsi l’authentification de l’expéditeur dans l’ensemble de l’écosystème de messagerie”.

Pour voir leur logo afficher dans Gmail, les organisations devront faire authentifier leurs adresses mail à l'aide de Sender Policy Framework (SPF) ou Domain Keys Identified Mail (DKIM) et déployer la norme DMARC. Ils devront ensuite “fournir leurs logos de marque validés à Google via un certificat de marque vérifiée (VMC) [...]. Une fois que ces e-mails authentifiés auront passé nos autres contrôles anti-abus, Gmail commencera à afficher le logo dans l'emplacement d'avatar existant”.