Commerce électronique au Canada

Évaluation de la certification du courriel

Groupe de travail sur le pourriel
Industrie Canada
Mai 2005

Sommaire

Le courriel est devenu un des plus importants outils pour les gens qui utilisent Internet à des fins personnelles et professionnelles, ainsi que pour les entreprises dans la conduite de leurs activités. Il est rapide, fiable et convivial, et l'envoi d'un courriel ne coûte pas cher. Ces avantages ont considérablement augmenté sa popularité.

L'augmentation du nombre de comptes de courriel incite les entreprises à utiliser ce mode de communication avec leurs clients, ce qui diminue leurs frais de communication. Malheureusement, la popularité, la simplicité et le faible coût du courriel ont stimulé la croissance du pourriel.

La certification du courriel est une méthode qui pourrait éventuellement empêcher le filtrage du courriel commercial légitime (c'est-à-dire sollicité) par les filtres anti-pourriel. L'utilisateur final de la certification est quiconque envoie du courriel commercial sollicité à un destinataire. L'expéditeur peut transmettre un produit de marketing, un bulletin ou un autre courriel commercial réclamé par le destinataire. L'objectif est d'améliorer la livraison de ce genre de courriel. Le présent document décrit les principes et les méthodes de certification du courriel. Une étude subséquente sera menée pour déterminer si la certification est une option viable pour le contrôle du pourriel à l'échelle nationale et internationale.

L'élaboration de normes dans ce domaine devrait être dirigée par les groupes intéressés à combattre le pourriel. Les entreprises de marketing ou les expéditeurs de courriel commercial ont intérêt à garantir la livraison des communications commerciales sollicitées dans la boîte aux lettres de leurs destinataires. Pour leur part, les fournisseurs de service de courriel ont intérêt à réduire les plaintes de leurs clients relatives au pourriel et les effets de celui-ci sur leur infrastructure de réseau. Quant au gouvernement, son rôle consiste à surveiller l'élaboration de normes anti-pourriel, pour faire en sorte que le public soit bien représenté lorsque ces groupes intéressés élaborent des normes.

Le Groupe de travail sur la validation du courriel commercial croit que la certification, approche qui se développe pour améliorer la livraison du courriel légitime, mérite d'être étudiée plus à fond, de même que le coût éventuel d'un régime de certification. Le secteur industriel canadien devra se pencher sur les diverses méthodes de certification pour déterminer laquelle, s'il y a lieu, serait la plus appropriée. Enfin, la mise en œuvre d'un régime de certification international devrait être coordonnée avec les organismes internationaux d'élaboration des normes.

Principes de certification du courriel commercial

Introduction

Cette section décrit les principes de certification du courriel commercial. Elle présente une série de principes généraux qui devraient former le cadre de toute méthode de certification. Une étude subséquente abordera les questions de faisabilité et de mise en œuvre, notamment les coûts.

La nature du problème

Par suite de son volume et de sa nature parfois offensante, le pourriel – également appelé courriel commercial non sollicité – est devenu un problème de taille pour les internautes et les entreprises qui fournissent des services Internet.

Le courriel commercial non sollicité peut s'avérer très agaçant et destructeur. Il peut submerger l'appareil d'un destinataire individuel et, selon les visées de l'expéditeur, constituer un message trompeur, frauduleux, obscène ou illicite. Pour les entreprises qui assurent l'envoi, la livraison et la réception du courriel, le traitement de quantités énormes de courriel non sollicité peut devenir paralysant.

En l'absence de mesures permettant de l'endiguer, le pourriel continuera de miner la confiance du public à l'égard de la fiabilité et de la valeur du courriel et d'Internet.

Bien que le courriel commercial puisse être très efficace et rentable, les problèmes de livraison incitent certains organismes à mettre en doute l'efficacité continue de ce mode de communication.

Le volume actuel du pourriel occasionne des coûts additionnels directs ou indirects pour tous les participants de la chaîne de communication par Internet. Pour cette raison, un régime de certification destiné à garantir la libre livraison du courriel légitime est une option qui mérite d'être envisagée.

Objectif de la certification

La quantité importante de pourriels comporte des effets secondaires. En effet, les communications commerciales légitimes sont souvent interceptées par les filtres des fournisseurs de service de courriel. La certification a pour objet d'améliorer la livraison du courriel légitime en fournissant un moyen de déterminer quels sont les messages légitimes. Le filtre anti-pourriel reconnaîtrait le courriel commercial légitime au moyen d'une assertion de certification et autoriserait sa livraison au destinataire prévu. Toutes les autres communications électroniques seraient traitées normalement par le fournisseur de service de courriel. De cette façon, le courriel certifié contournerait le filtre anti-pourriel et aurait plus de chance d'être livré.

La certification vise à améliorer la livraison du courriel légitime. Elle ne devrait pas interrompre ou entraver les courriels commerciaux légitimes ni accroître indûment les coûts directs ou indirects des organismes ou des consommateurs, et elle devrait être facilement adaptable aux exigences des divers organismes et particuliers. L'interopérabilité internationale des assertions de certification serait souhaitable.

À noter que les principes suivants ne s'appliquent pas à l'authentification, mais uniquement à la certification. L'authentification fait présentement l'objet de pourparlers avec d'autres organismes internationaux de normes, notamment l'Internet Engineering Task Force.

Principes de base

Les principes de base d'un processus de certification sont les suivants :

  1. On devrait pouvoir distinguer un message certifié d'un message non certifié, ou un message devrait comprendre une assertion de certification prouvant qu'il a été certifié.

  2. Une assertion de certification devrait confirmer la légitimité du message, c'est-à-dire que l'expéditeur a effectué la procédure nécessaire pour valider le message.

  3. L'émetteur d'une assertion de certification devrait pouvoir démontrer que l'assertion est en règle.

  4. Une assertion de certification devrait être protégée contre un usage frauduleux.

  5. L'émetteur du certificat devrait pouvoir révoquer une assertion de certification.

Méthodes de certification du courriel

Introduction

Cette partie du document décrit quelques méthodes de certification courantes qui permettraient à un fournisseur de service de courriel de reconnaître le courriel commercial sollicité et de le transmettre au destinataire prévu en contournant le filtre anti-pourriel. Les méthodes décrites ne sont pas exhaustives, mais souvent citées. Ce document étant destiné à des lecteurs techniques et non techniques, on décrira les méthodes à l’aide de termes généraux et non techniques.

Malheureusement, certains particuliers et entreprises recueillent les adresses de courriel des utilisateurs sans l’autorisation de ceux-ci. Le courriel envoyé à ces adresses est donc considéré comme étant non sollicité. Des logiciels de collecte d’adresses recueillent automatiquement ces adresses en scannant les sites Web pour obtenir des adresses de courriel. Certaines entreprises vendent ensuite ces listes d’adresses non sollicitées. Parce que l’envoi de courriel ne coûte pas cher, il est devenu rentable pour les entreprises d’acheter ces listes et d’envoyer des courriels aux adresses qu’elles contiennent. Étant donné que les adresses figurant sur la liste n’ont pas été sollicitées, les courriels envoyés à ces adresses sont non sollicités et constituent du pourriel.

Les fournisseurs de service de courriel ont commencé à utiliser des filtres pour intercepter les courriels commerciaux non sollicités mais, ce faisant, ils interceptent également les courriels commerciaux légitimes.

À noter que certaines des méthodes suivantes de certification, qui traitent de ce problème, ont des applications offertes sur le marché, tandis que d’autres sont uniquement d’ordre théorique.

Méthodes

Listes blanches / listes noires

Il s’agit du système de certification le plus largement utilisé, bien que les listes blanches ne figurent pas toutes dans la catégorie de la certification. Une liste blanche est une liste d’expéditeurs qui envoient seulement du courriel aux destinataires qui l’ont réclamé. Il en existe plusieurs variations.

Le principe de base d’une liste blanche est très simple. Le fournisseur de service de courriel maintient une liste des adresses de réseau des expéditeurs légitimes connus. Lorsqu’un nouveau courriel arrive, l’adresse de réseau de l’expéditeur est comparée aux adresses figurant sur la liste. S’il y a concordance, le courriel est jugé légitime. Il est ensuite redirigé pour contourner le filtre anti-pourriel et livré au destinataire prévu.

Si la vérification échoue, le courriel est acheminé au filtre anti-pourriel pour examen complémentaire. Le filtre détermine ensuite le statut du courriel; s’il juge qu’il s’agit de pourriel, il le rejette, et s’il juge qu’il s’agit d’un courriel légitime, il l’achemine au destinataire.

Une liste noire comporte les noms des expéditeurs connus pour envoyer des courriels non sollicités. En général, le courriel des expéditeurs figurant sur ces listes est intercepté ou rejeté par le fournisseur de service du destinataire. La liste noire est le contraire de la liste blanche, en ce qu’elle enregistre les expéditeurs illégitimes. Les adresses connues de réseau des ordinateurs qui envoient du pourriel sont inscrites sur une liste noire, et le courriel acheminé à partir de ces adresses est habituellement intercepté.

Il y a plusieurs variations de ces méthodes, dont les systèmes fondés sur l’indice de réputation.

Indice de réputation

L’indice de réputation permet de noter les pratiques de diffusion par courriel d’un expéditeur. Les spécifications qu’il renferme varient selon la société qui le met en oeuvre. Les attributs générant un indice normal pourraient inclure l’historique des courriels commerciaux non sollicités signalés durant une période donnée, les pratiques exemplaires mises en oeuvre par l’expéditeur et les pratiques de certification ou d’authentification qu’il utilise.

Les fournisseurs de service de courriel maintiennent des listes des adresses de réseau valides dont ils ont précédemment reçu des courriels. Lorsqu’un fournisseur reçoit des courriels d’un nouvel expéditeur, il crée un indice de réputation. S’il ne reçoit pas beaucoup de plaintes relatives à des courriels non sollicités, l’indice de l’expéditeur s’améliore, et son adresse de réseau est inscrite sur la liste blanche. Au contraire, si des gens se plaignent de recevoir des pourriels de l’expéditeur, l’indice de réputation de celui-ci diminue. Lorsque l’indice baisse en deçà d’un certain niveau, on considère que l’expéditeur envoie trop de courriels non sollicités, et il est inscrit sur la liste noire.

Exemples de produits

Habeas

Habeas offre un service de certification de liste blanche. Dans le cadre du processus de certification, la société analyse les antécédents de l’expéditeur pour déterminer s’il est un polluposteur connu et vérifie sa légitimité. Habeas certifie ensuite que le courriel envoyé par l’expéditeur en question n’est pas du pourriel et ajoute son adresse de réseau à sa liste blanche. Elle distribue ensuite la liste blanche aux fournisseurs de service de courriel.

L’expéditeur peut alors ajouter une marque Habeas (Habeas Warrant Mark) à l’en-tête de son courriel. L’expéditeur qui envoie un message renfermant cette marque garantit que Habeas a certifié que celui-ci était un courriel légitime. La marque renferme également un haiku (poème) protégé par droit d’auteur. L’expéditeur qui insère une marque Habeas dans un courriel qui n’a pas été certifié par Habeas peut donc être poursuivi pour violation de marque de commerce et de droit d’auteur.

Lorsqu’un fournisseur de service de courriel reçoit un courriel, l’adresse de réseau de l’expéditeur est comparée aux adresses figurant sur la liste blanche; s’il y a appariement, le message contourne le filtre et est livré directement au destinataire. Les utilisateurs qui pensent avoir reçu un courriel non sollicité peuvent se plaindre à leur fournisseur de service de courriel. Celui-ci acheminera la plainte à Habeas.

Programme Bonded SenderTM

Dans une autre variation de la liste blanche, les expéditeurs de courriel fournissent une garantie financière assurant la légitimité du courriel qu’ils distribuent. Pour les besoins du présent document, une garantie est définie comme étant une somme d’argent utilisée afin de se protéger contre une demande de règlement. La société de certification détient la garantie et ajoute l’adresse de réseau de l’expéditeur à sa liste blanche. Celle-ci est mise à la disposition des fournisseurs de service de courriel. Le programme Bonded Sender™ d’IronPort utilise cette méthode. Pour être accepté par le programme Bonded Sender™, un expéditeur doit subir une vérification.

Les personnes qui croient avoir reçu un courriel non sollicité peuvent déposer une plainte auprès de leur fournisseur de service de courriel. Ce dernier l’acheminera au programme Bonded Sender™. Si le programme Bonded Sender™ reçoit un nombre important de plaintes concernant un expéditeur, il déduit une certaine somme de sa garantie et l’avise que ces destinataires ne veulent pas recevoir ses messages.

Le seuil au-delà duquel il y a déduction sur la garantie, et le montant de la réduction de la garantie, sont fixés dans le contrat de garantie entre l’expéditeur et la société de certification. Après une certaine période de temps, la société retourne la garantie moins les amendes.

Cloudmark

La société Cloudmark utilise un système de notation fondé sur la rétroaction qui permet aux utilisateurs de reconnaître un pourriel. Lorsqu’un nombre suffisant d’utilisateurs se plaignent d’un message particulier, Cloudmark le qualifie de pourriel et l’intercepte systématiquement. Chaque fois que Cloudmark reçoit un courriel, elle détermine la probabilité qu’il s’agit d’un pourriel et lui décerne une note. Plus la note d’un message est élevée, plus il est probable qu’il s’agit de pourriel.

Cloudmark note également ses utilisateurs en fonction de leur capacité de reconnaître le pourriel (et non de reconnaître le courriel non voulu comme étant du pourriel). Lorsqu’un utilisateur bien coté reconnaît un courriel comme étant du pourriel, la société accorde plus d’importance à son rapport.

Les expéditeurs de courriel commercial sollicité peuvent s’inscrire auprès de Cloudmark pour assurer la livraison de leurs messages légitimes. La méthode se fonde sur la liste blanche et le système de notation de Cloudmark. Les expéditeurs de courriel peuvent également utiliser Cloudmark pour savoir comment les destinataires considèrent leur courriel. L’expéditeur de courriels sollicités peut ajouter Cloudmark à sa liste de destinataires. Cloudmark fera un suivi et fournira à l’expéditeur des données sur la note accordée au courriel par le système de notation, le nombre d’utilisateurs ayant qualifié le courriel de pourriel et le nombre de boîte aux lettres auxquelles le message a été livré. Ces données fournissent une rétroaction utile à l’expéditeur.

L’indice de réputation généré par le système de notation de Cloudmark peut également servir à valider le système d’authentification Sender ID.

Institute for Spam and Internet Public Policy

L’Institute for Spam and Internet Public Policy (ISIPP) maintient une base de données appelée ISIPP Accreditation Database (IADB). La IADB renferme une liste des adresses de réseau des expéditeurs. Il s’agit, en fait, de deux listes établies selon le type d’expéditeur : les expéditeurs dont l’institut se porte garant et ceux dont il ne se porte pas garant. La première liste renferme l’adresse de réseau des expéditeurs que l’ISIPP connaît personnellement et qui sont reconnus pour leurs pratiques de courriel valables; la liste des expéditeurs non garantis est fondée sur les vérifications des références des expéditeurs.

L’ISIPP recommande l’usage conjoint de la base de données IADB et d’un système d’authentification, affirmant qu’une telle méthode favorise la prise de décisions éclairées sur la validité du courriel.

Pour pouvoir participer à l’IADB, les expéditeurs doivent assujettir leurs pratiques de courriel à un ensemble de règles strictes.

L’IADB renferme un code décrivant les caractéristiques de l’expéditeur de courriel, notamment les programmes anti-pourriel auxquels il est abonné (par exemple le programme Bonded Sender™, Habeas, etc.), s’il est garanti par l’ISIPP, s’il utilise Sender Policy Framework ou Sender ID et autres renseignements anti-pourriel.

Timbres électroniques

L’utilisation des timbres électroniques est fondée sur l’hypothèse suivante : l’expéditeur persuadé qu’un destinataire appréciera un courriel est prêt à payer pour l’envoyer. Un expéditeur ne voudrait sans doute pas acheter un timbre afin d’envoyer un courriel non sollicité, pour que ce pourriel soit ensuite éliminé de la boîte aux lettres du destinataire.

Un expéditeur achèterait des timbres électroniques qu’il insérerait dans les courriels envoyés. L’application courriel du destinataire n’accepterait que les messages comportant un timbre, mais le destinataire pourrait créer une liste d’expéditeurs connus dont il accepterait le courriel sans timbre annexé. Les messages non lus dans un certain délai seraient réacheminés à l’expéditeur qui serait défrayé du coût du timbre.

Les timbres insérés dans les courriels seraient émis par une institution financière reconnue, et protégés contre tout usage frauduleux.

Des variations du concept de timbre électronique ont été proposées : les destinataires pourraient, par exemple, accepter uniquement les messages comportant un timbre valant plus qu’une certaine somme.

La méthode du timbre électronique est généralement considérée peu pratique et extrêmement coûteuse à appliquer. On se demande notamment qui émettrait le certificat et qui recevrait les paiements. Certains ont proposé que les paiements soient remis aux destinataires, mais cette solution pourrait poser plusieurs problèmes. En effet, les utilisateurs pourraient s’abonner à un service de courriel sollicité simplement pour recevoir des timbres.

En outre, le coût de l’infrastructure requise pour émettre, maintenir et vérifier ces timbres serait prohibitif dans un seul pays, mais un programme d’envergure international entraînerait des problèmes de devises et une augmentation des frais de collecte et de vérification des timbres.

Timbres informatiques

Les timbres informatiques reposent sur le concept suivant : le temps de l’ordinateur, ou unité centrale (UC), vaut de l’argent. Les timbres informatiques se fondent sur l’hypothèse selon laquelle un utilisateur accepterait que son ordinateur personnel exécute un certain nombre de calculs complexes avant d’envoyer un courriel. Étant donné que le temps de calcul vaut de l’argent, les polluposteurs payeraient plus cher, par suite du temps de calcul accru, pour envoyer un courriel.

Une assertion de certification indiquant quels calculs ont été effectués serait insérée dans le courriel. Les calculs devraient être vérifiables par le destinataire. Le temps de l’UC utilisé par un utilisateur régulier recevant un petit nombre de courriels serait minime. Cependant, un expéditeur qui enverrait des milliers de courriels non sollicités devrait consacrer une grande quantité de ressources au calcul du timbre de chaque courriel.

La méthode du timbre informatique comporte toutefois plusieurs failles. Premièrement, les capacités de calcul des ordinateurs augmentent rapidement; un calcul effectué en quatre secondes aujourd’hui pourrait mettre une seconde l’an prochain. Les expéditeurs de courriels non sollicités pourraient simplement acheter des ordinateurs plus puissants pour exécuter les calculs plus rapidement. Deuxièmement, les timbres informatiques désavantageraient les expéditeurs de courriels sollicités en augmentant leurs coûts parallèlement à ceux des polluposteurs.

Conclusion

Les méthodes décrites dans le présent document ont été présentées à des fins de discussion seulement. Il faudrait effectuer plus d'études sur les produits disponibles pour déterminer s'ils satisfont entièrement aux exigences d'un programme de certification anti-pourriel.

Références