"Pratiquement absent du segment de la sécurité informatique il y a quelques années, Microsoft fait désormais feu de tout bois dans ce domaine. Le géant a amorcé cette stratégie courant 2003 avec l'application d'une politique de développement visant à réduire le nombre de failles au sein de ses produits. A cela est venue s'ajouter la mise au point de solutions d'administration pour faciliter la gestion des mises à jour critiques

Dernière annonce en date : le lancement par la firme d'un projet de standard visant à déployer une plate-forme de lutte contre le spam. Cette information a été dévoilée par Bill Gates lui-même lors de la conférence annuelle du fournisseur d'applications de sécurité RSA.

Baptisé "Caller ID", le standard en question propose de mettre en place une base de données mondiale regroupant l'ensemble des adresses IP correspondant aux serveurs de messagerie des principaux organismes autorisés à effectuer des mailings. Distribuée au niveau des serveurs de noms de domaine des FAI et gérée par des tiers de confiance, cette infrastructure d'informations serait conçue pour permettre aux serveurs de messagerie de compléter leurs règles de filtrage ciblant les courriers indésirables.

Plus concrètement, ces entrepôts fourniraient une information complémentaire au nom de domaine inclus dans le message, en permettant de valider cette adresse logique au regard des coordonnées techniques du serveur expéditeur. Ce processus contribuerait évidement à lutter plus efficacement contre le détournement de serveurs de messagerie.

Microsoft compte initier ses premiers tests grandeur nature dès l'été prochain, en s'appuyant notamment sur la plate-forme MSN Hotmail. Dans la foulée, il prévoit l'intégration de nouvelles fonctions au sein des prochaines versions du serveur de messagerie Exchange Server 2003. Des évolutions qui pourraient tirer parti de technologies de filtrage d'éditeurs tiers, la firme ayant récemment signé des partenariats avec deux acteurs positionnés dans ce domaine dont Brightmail et SendMail.

Reste que Microsoft n'est pas le premier à avancer une telle solution. En décembre dernier, Yahoo dévoilait une initiative assez équivalente. Principale différence : la méthode élaborée par l'annuaire s'appuie sur un certificat (couplant clef publique et clef privée) qu'elle associe à chaque nom de domaine, et non sur leurs adresses IP en tant que telles

Pour l'heure, on attend de voir si Caller ID intégrera ou non la technologie SPF (pour Sender Policy Framework) : une spécification soutenue par de nombreux acteurs du filtrage d'e-mail (InboxCop, ActiveState, etc.) en cours de normalisation au sein du consortium IETF.

  En attendant notre prochain échange, bons succès dans ce nouveau monde !"