Dans l'ère numérique d'aujourd'hui, la communication par e-mail est devenue l'un des moyens de communication les plus répandus et les plus critiques pour les entreprises du monde entier. Cependant, l'explosion du phishing a rendu difficile pour les destinataires de distinguer les messages légitimes des escroqueries. Pour aider à résoudre ce problème, le Protocole BIMI (Brand Indicators for Message Identification) a été développé comme une tentative d'améliorer la confiance des destinataires envers les e-mails qu'ils reçoivent. Cependant, il présente des limitations importantes, notamment le coût des certificats, la compatibilité limitée des messageries, et l'absence de garantie quant à l'affichage des logos.
Qu'est-ce que le Protocole BIMI ?
Le Protocole BIMI est une initiative visant à permettre aux entreprises d'afficher leur logo dans les boîtes de réception électroniques des destinataires, ce qui peut aider à renforcer la confiance dans leurs e-mails. En théorie, cela pourrait rendre plus visible un e-mail et indiquer aux utilisateurs qu'il est légitime, car les logos des entreprises apparaîtraient directement à côté de l'expéditeur.
Les Limitations du Protocole BIMI :
Coût des Certificats BIMI : Un des principaux obstacles à l'adoption du protocole BIMI est le coût des certificats. Pour mettre en place un BIMI, les entreprises doivent obtenir un certificat VMC ou un certificat CMC, introduit après le VMC, qui peut être coûteux. En 2024, le coût s'élève à 1100 euros par an par logo. Cela peut dissuader les petites entreprises ainsi que les grands groupes disposant de plusieurs logos et domaines d'implémenter cette fonctionnalité.
Compatibilité Limitée des Messageries : Une autre limitation majeure est que toutes les messageries électroniques ne prennent pas en charge le Protocole BIMI (par exemple Outlook). Par conséquent, l'affichage du logo de l'entreprise n'est pas garanti pour tous les destinataires, ce qui réduit son efficacité en tant que moyen de renforcer la confiance. Le calcul d’un ROI est donc difficile pour les entreprises.
Discrétion du service e-mail du destinataire : L'une des limites fondamentales du Protocole BIMI est que la décision d'afficher ou non le logo de l'entreprise appartient au service e-mail du destinataire. Cela signifie que même si le logo est légitime, Gmail ou La Poste par exemple peut décider de ne pas l'afficher, réduisant ainsi l'efficacité de la fonctionnalité pour les destinataires. Leurs exigences peuvent changer à tout moment. Est-ce que Gmail demande toujours que l'e-mail soit authentifié avec DKIM et non seulement SPF ? Faut-il que le logo soit hébergé sur le même domaine, interdisant ainsi le "Hosted BIMI" ?
Défaillance d'Affichage des Logos : Le 22 mai 2024, les logos BIMI ont cessé de s'afficher, révélant une vulnérabilité du protocole BIMI et une défaillance occasionnelle de Gmail.
Mesures de Suspension des Certificats TLS Entrust par Chrome en Cas de Violations Continues : Les rapports d'incidents publics des six derniers mois ont mis en évidence un comportement préoccupant d'Entrust, qui a manqué aux attentes en matière de compétences, de fiabilité et d'intégrité en tant qu'autorité de certification publique. En conséquence, à partir de Chrome 127, les certificats TLS d'authentification de serveur validant certaines racines d'Entrust ne seront plus approuvés par défaut si le premier horodatage de certificat signé (SCT) est daté après le 31 octobre 2024.
Risques liès aux domaines similaires : Une autre préoccupation majeure est que le Protocole BIMI ne résout pas le problème des domaines similaires pour conduire des attaques usurpant l’identité des entreprises. Les pirates informatiques peuvent toujours créer des domaines très similaires à ceux des entreprises légitimes et envoyer des e-mails malveillants sans logo BIMI.
Les destinataires pourraient être trompés car le taux d'adoption du protocole BIMI est encore relativement faible et devrait prendre plusieurs années avant de se démocratiser auprès des grandes marques.
Comment Répondre aux Limitations de BIMI :
Pour répondre à ces limitations, il est essentiel de mettre en place des mesures de sécurité supplémentaires. Une telle mesure est la détection et le blocage rapides des domaines lookalike qui tentent d'usurper l'identité de votre entreprise ou de vos partenaires.
Des solutions comme la plateforme DMARC.fr peuvent jouer un rôle crucial dans cette lutte contre l'usurpation d'identité.
DMARC.fr permet en effet de détecter rapidement les domaines frauduleux et peut rendre un domaine inopérant en quelques heures. Les attaques peuvent être arrêtées avant même qu'elles ne se produisent, renforçant ainsi la sécurité et la confiance des destinataires.
Le Protocole BIMI est une initiative louable visant à améliorer la visibilité des entreprises dans les boîtes de réception électroniques. Cependant, il présente des limitations importantes, notamment le coût des certificats, la compatibilité limitée des messageries et le manque de garantie quant à l'affichage des logos. Pour garantir une communication par e-mail plus sûre, il est essentiel de combiner BIMI avec des solutions de sécurité telles que la surveillance des domaines similaires (lookalike) et le take-down automatisé pour détecter et bloquer rapidement les domaines frauduleux et protéger les destinataires des attaques de phishing par usurpation d'identité.