Gmail a trouvé une astuce toute simple pour distinguer les mails légitimes du phishing

Après une phase d'expérimentation, Google annonce que Gmail gère la spécification d'authentification BIMI, qui garantit l'authenticité d'un mail en provenance d'une entreprise.

Comment savoir si le courrier électronique que l'on a reçu de la part d'une entreprise est légitime ? En utilisant un logo officiel répond Google. C'est l'objet d'une nouvelle spécification d'authentification, baptisée BIMI (Brand Indicators for Message Identification).

Grâce à ce procédé, une entreprise ou une marque peuvent remplacer l'avatar générique utilisé dans Gmail par leur propre logo. L'image ci-dessous montre un exemple avant/après avec la Bank of America, qui fait partie des partenaires de Google pour le lancement de cette nouvelle fonction.

L'entreprise doit pour cela utiliser le protocole d'authentification DMARC (Domain-based Message Authentication, Reporting and Conformance), qui protège les propriétaires de noms de domaines d'éventuelles usurpations.

De plus, le logo doit être validé par une autorité compétente, telle que Entrust Datacard ou DigiCert. Cette autorité fournit alors un certificat d'authenticité, appelé Verified Mark Certificate (VMC).

Enfin, le service de courrier électronique doit être compatible avec la spécification BIMI. C'est le cas actuellement de MailChimp, SendGrid, Valimail, Fastmail, Proofpoint, Verizon Media. L'arrivée de Google va sans doute donner un coup d'accélérateur à ce procédé d'authentification, et compliquer davantage le travail des spammeurs et autres rois du phishing.