Loi Fake News Patchs Tuesday chantage par mail

DANE : une sécurisation efficace des échanges SMTP

Posted On 22 Juil 2020

Dans le processus de communication entre les serveurs de messagerie, le protocole SMTP ou Simple Mail Transfert Protocol, est utilisé. Afin de sécuriser ces flux de messages, l’utilisation de TLS ou Transport Layer Security est vivement recommandée. Mais le StartTLS présente certaines limites, d’où la nécessité d’avoir recours à DANE.

Des failles dans le système StartTLS

StartTLS ou TLS opportuniste est un protocole qui va faciliter la mise en place d’une connexion sécurisée entre tous les serveurs lors d’une communication. Il aide à établir une comptabilité optimale de toutes les communications entre serveurs de messagerie (Mail transfert Agent ou MTA). Toutefois, certaines limites ont été détectées sur StartTLS : il est possible d’intercepter ou même modifier la transmission des flux. Pour contourner ce problème, un protocole d’amélioration de sécurité des connexions a été mis en place, le DANE.

Un nouveau protocole pour mieux sécuriser les connexions

DANE (DNS-based Authentification of Named Entities) est un protocole qui sert à lier un serveur à un certificat en toute sécurité, pendant l’établissement d’une connexion sécurisée par TLS. Le protocole agit comme un filtre intermédiaire entre le serveur expéditeur et le serveur destinataire. En effet, il vérifie l’empreinte ou le hash du certificat X.509 utilisé par le serveur destinataire pour analyser l’authenticité de ce certificat. Si le certificat est authentique, le DANE autorise la connexion entre les deux serveurs. Dans le cas contraire, il bloque les communications.

Un protocole compatible avec toutes les connexions

Pour ce faire, DANE s’appuie sur DNSSEC pour assurer la sécurisation des entrées DNS. DANE nécessite donc l’utilisation de DNSSEC sur les DNS du domaine protégé. Une fois DNSSEC déployé, la mise en place de DANE peut être envisagée sur votre serveur de messagerie (ou serveur web), il vous suffit alors de diffuser l’empreinte du certificat de votre serveur sur votre zone DNS.

Comment utilise-t-on le protocole DANE ?

En bref, le protocole DANE va sécuriser les connexions entre serveurs et ne pourra être efficace qu’avec la présence de certains éléments. En effet, l’exploitation du protocole nécessite un serveur DNS compatible avec DNSSEC, un serveur SMTP (ou web) compatible avec DANE. Il faut également que le serveur dispose d’un certificat ou d’une empreinte d’un certificat sécurisé par DNSSEC et qui sera présent dans le DNS du nom d’hôte destinataire. Si ces conditions sont respectées, l’utilisation du protocole DANE sera fiable et sécurisera au maximum les connexions entre serveurs. Des services de protection de la messagerie comme ALTOSPAM proposent cela par défaut, ainsi DANE est automatiquement intégré dès lors que les DNS du client sont sécurisés par DNSSEC.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.