Quelques infos estivales et en particulier le casse d’un salarié de Microsoft qui a détourné les ventes de codes cadeaux Xbox, et un dossier sur les bonnes pratiques sur le web.
❤️ Soutenez Tech Café sur Patreon
💬 Discutez avec nous et entre vous sur Discord
📱 Suivez-nous sur Instagram
💻 Tout Tech Café est sur techcafe.fr !
Actualités d’été
- Détournement de codes Xbox en folie
- Google, nouvelle cible de procès antitrust
- Jeunes chinois, ne jouez plus la nuit
Bonnes pratiques sur le web
- Le https, le fameux certificat
- L’UTF8 dans les URL
- Phishing
- Achats en ligne
- Les liens dans les mails
Participants
- Avec Mika (@dupot_org, mkframework.com, supercapote.com)
- Présenté par Guillaume Vendé
A propos de la sécurité des emails:
Certains on pu contester ce que je disait en rappelent notamment qu’on avait des protocoles comme SPF (Sender Policy Framework) DKIM ( DomainKeys Identified Mail) et Le DMARC, (Domain-based Message Authentication, Reporting, and Conformanc)
Ces protocoles permettent de confirmer que le serveur émetteur du mail est bien digne de confiance (et accessoirement le propriétaire du domaine) ou autorisé à envoyer pour ce domaine (comme les campagnes de mailing qui peuvent être déléguées)
Je tiens à préciser, meme si il me semblait l’avoir dit : que si, de mon serveur/pc perso ou un hackeur peut envoyer un mail dont il n’a auncun lien, autorisation… il finira dans les spams, je parlais notamment de l’ip associé au domaine car vos fournisseurs de boite mail font les différents check pour éviter ce spam/tentative de phising
Pour information le protocole SPF* date de 2006 et celle de l’email RFC 822 de 1982..
Et les serveurs l’utilisant représentaient seulement 40% en 2020*
Je cite:
« Pour réduire le spam, la RFC 4408 a introduit le standard SPF (Sender Policy Framework), permettant de s’assurer qu’un e-mail a bien été envoyé par un serveur autorisé et de le refuser en cas de suspection d’usurpation. Cette technologie serait mise en œuvre sur 40 % des serveurs mail. »*
Et comme ils l’indiquent bien eux meme: on peut techniquement envoyer un email sans ces protocoles, en revanche il finira dans les spams
« Ces protocoles sont devenus des normes de l’envoi d’email. Un message expédié sans signature SPF et/ou DKIM est vu avec suspicion par les différents outils d’analyse de l’email. »
source: https://fr.mailjet.com/blog/news/protocoles-spf-dkim-dmarc/
source:: https://www.arobase.org/emailing/configurer-spf.htm
A propos de la sécurité des emails:
Certains on pu contester ce que je disait en rappelent notamment qu’on avait des protocoles comme SPF (Sender Policy Framework) DKIM ( DomainKeys Identified Mail) et Le DMARC, (Domain-based Message Authentication, Reporting, and Conformanc)
Qui permettent de confirmer que le serveur émetteur du mail est bien digne de confiance (et accessoirement le propriétaire du domaine) ou autorisé à envoyer pour ce domaine (comme les campagnes de mailing qui peuvent être déléguée)
Je tiens à préciser, meme si il me semblait l’avoir dit : que si, de mon serveur/pc perso ou un hackeur envoie un mail dont il n’a auncun lien, autorisation… il finira dans les spam, je parlais notamment de l’ip associé au domaine car vos fournisseurs de boite mail font les différents check pour éviter ce spam/tentative de phising
Pour information le protocole SPF date de 2006 et les serveurs mails l’utilisant representaient seulement 40% en 2020
Et comme l’indique MailJet: on peut techniquement envoyer un email sans, en revanche il finira dans les spams
« Ces protocoles sont devenus des normes de l’envoi d’email. Un message expédié sans signature SPF et/ou DKIM est vu avec suspicion par les différents outils d’analyse de l’email. »
Mais retenez bien ce qui a été dit:
– on peut aujourd’hui acheter un domaine qui ressemble à celui d’un de vos services critiques (banque, site de e-commerce..)
– Génerer un certificat https valide (via Let’st Encrypt)
– Renseigner les bonnes informations pour SPF and co.. sur ce domaine (que vous posséderiez bien)
et le mail vous parviendra bien dans votre boite mail, avec le lien de phishing associé…
source: mailJet: https://fr.mailjet.com/blog/news/protocoles-spf-dkim-dmarc/
Bonjour,
Que de bons conseils dans cet épisode!
Au final, sans aller dans les méandres des détails des certificats, il faut garder à l’esprit que le HTTPS sécurise votre communication entre votre navigateur et le serveur.
À la fin de l’épisode, je crois que vous avez parlé de PGP. Une belle initiative pour sécuriser l’échange de mails mais assez contraignante à mettre en place, d’où j’imagine le peu d’adoption de la solution.
Je vois de plus en plus l’utilisation de services comme Mailinblack qui propose des solutions pour sécuriser les échanges par mails.
Pour https, je suis d’accord, sauf que pour les gens, et j’en fais parti, il faut etre sur d’etre sur le bon site avant d’y entrer ses identifiants ou plus crique ses coordonnées banquaires 😉
D’ouù l’importance du certicat OV qui certifice clairement QUI est derrière le site (plus cher et plus contraignant) 😉
Pour le PGP, il faudrait que des services grand public comme gmail ou outlook.fr l’intègre en simplifiant le process.
Dans un premier temps c’était un peu surprenant d’entendre Guillaume.v seul mais c’était super bien. Merci pour ces brèves estivales et les bons conseils.
Je me demandais ce que pensais les platistes du voyages de Jeff Bezos ?
Les platistes, comme tout complotiste, trouveront toujours un moyen de justifier leur conviction personnelle. Pas mal de biais sont à l’oeuvre parmi lesquels la politique de l’autruche 🙂