La grande majorité des escroqueries en ligne sont réalisées par courrier électronique, car ce moyen de communication est facilement accessible et facile à utiliser. Une nouvelle forme d’authentification des messages, appelée BIMI, devrait vous aider à comprendre quels sont les messages authentiques et ceux qui tentent de vous tromper.

Qu’est-ce que le BIMI ?

BIMI est l’acronyme de Brand Indicator for Message Identification (indicateur de marque pour l’identification des messages). Il s’agit d’une spécification de messagerie électronique neutre vis-à-vis des fournisseurs, élaborée par un organisme appelé AuthIndicators Working Group. BIMI est conçu pour rendre le courrier électronique plus fiable.

Une fois mis en œuvre correctement, le BIMI permet aux marques d’afficher un logo à côté des messages électroniques dans les services et les clients de messagerie pris en charge. Ce logo permet de vérifier l’authenticité d’un message électronique, en fournissant un indicateur visuel facile à comprendre que le message n’est pas un spam ou une fraude.

Le BIMI est encore considéré comme une spécification émergente, ce qui signifie que certaines marques, certains fournisseurs de messagerie et certaines plateformes logicielles ne le prennent pas encore en charge.

Pourquoi le BIMI est-il nécessaire ?

Selon un rapport de Deloitte publié en 2020, 91 % des cyberattaques commencent par un courriel de phishing. La boîte aux lettres électronique permet aux escrocs de ratisser large, en envoyant autant de messages que nécessaire pour piéger une seule victime. Ces escroqueries ciblent souvent des processeurs de paiement comme PayPal ou des services modernes de peer-to-peer comme Zelle, en utilisant le courrier électronique comme méthode de communication privilégiée.

Bien qu’une grande partie du monde du travail s’éloigne lentement du courrier électronique grâce à des services tels que Slack et Microsoft Teams, la plupart des gens dépendent encore fortement de ce service. Les notifications de réinitialisation de votre mot de passe sont envoyées par courrier électronique, les détaillants sont plus nombreux que jamais à se passer de papier avec des reçus et des factures envoyés par courrier électronique, et même votre banque vous envoie un courrier électronique pour vous dire que votre relevé est prêt.

L’e-mail n’a pas beaucoup changé depuis son introduction. S’il existe aujourd’hui des moyens plus intelligents de passer au crible votre boîte de réception, un regain d’intérêt pour des habitudes de messagerie plus saines, et même des contrôles améliorés de la confidentialité et du spam, les mécanismes qui sous-tendent le courrier électronique restent globalement les mêmes.

Le BIMI est un pas en avant pour faire du courrier électronique une plateforme plus fiable. Si vous pouvez vérifier l’authenticité d’un courriel d’un seul coup d’œil, vous pouvez également identifier ceux qui ne le sont pas. La norme n’en est encore qu’à ses débuts, mais les marques, les fournisseurs de services de messagerie électronique et d’autres entreprises technologiques préparent le terrain dès maintenant.

Comment fonctionne la norme BIMI ?

La bonne nouvelle, c’est que la norme BIMI ne nécessite aucune intervention de la part du destinataire d’un courriel pour fonctionner. La technologie s’appuie fortement sur le protocole DMARC (Domain-based Message Authentication, Reporting, and Conformance). Ce protocole d’authentification du courrier électronique a été conçu pour empêcher l’utilisation non autorisée des noms de domaine.

Pour que BIMI fonctionne, une marque doit authentifier les courriels à l’aide de Sender Policy Framework (SPF), qui établit une liste blanche des serveurs de messagerie pouvant envoyer des courriels à partir de domaines spécifiques. En outre, la technologie connue sous le nom de DomainKeys Identified Mail ajoute des signatures numériques à chaque message pour authentifier les courriels sortants.

L’étape finale consiste pour DMARC à confirmer ces enregistrements et à pointer vers le fichier .SVG qui apparaîtra à côté de l’e-mail. En plus de cela, un certificat de marque vérifiée (VMC) agit comme une forme d’enregistrement numérique pour protéger davantage le logo utilisé, bien que BIMI ne l’exige pas au moment du déploiement.

Une fois encore, seules les marques doivent se préoccuper de cette infrastructure et de l’intégration de ces étapes.

Quels services prennent en charge le BIMI ?

Le BIMI étant encore en cours de déploiement, le support est loin d’être universel à ce stade. Heureusement, certains des plus grands services ont déjà mis en œuvre la prise en charge de BIMI, notamment Gmail, Yahoo ! Mail, AOL, Fastmail et Apple Mail dans iOS 16 et macOS Ventura.

La question de savoir si vous verrez des preuves de BIMI dans votre boîte de réception est entièrement différente. De nombreuses marques ne sont pas encore à bord, bien que l’influence d’entreprises comme Google et Apple dans l’accélération de l’adoption et l’introduction des consommateurs à la technologie ne peut être sous-estimée.

Une grande partie de l’effervescence autour du BIMI a (jusqu’à présent) visé les marques, les professionnels du marketing et les professionnels de l’informatique impliqués dans la mise en œuvre de la norme. Google a produit un explicatif sur le fonctionnement du déploiement de BIMI dans Gmail au sein de Google Workspace.

Même si, au début, le support est limité à Google Workspace, le communiqué donne une bonne indication de ce à quoi ressemble le BIMI dans Gmail en termes de mise en œuvre sur ordinateur et sur mobile.
Google a utilisé Bank of America comme exemple, avec une vue qui montre comment les logos de la marque sont automatiquement affichés dans les vues de la boîte de réception et des messages. Notez que Google permet aux expéditeurs d’afficher des images à côté de leurs e-mails dans le cadre de leur profil, mais ce n’est pas la même chose que BIMI.

Même si Apple a apparemment aussi lancé BIMI avec la sortie d’iOS 16, iPadOS 16 et macOS 13 Ventura, nous n’avons pas pu voir les logos de marque vérifiés par BIMI dans Apple Mail (même de la part d’Apple lorsqu’on utilise un compte iCloud Mail).

Yahoo ! Mail est également dans le peloton de tête du BIMI, puisqu’il prend en charge la norme depuis 2018. En novembre 2022, l’entreprise a annoncé qu’elle rendait sa mise en œuvre plus robuste avec des coches de vérification « à côté de l’adresse et du logo d’envoi pour indiquer que Yahoo a vérifié que l’e-mail a été envoyé par la marque propriétaire du logo affiché. »

D’autres moyens d’assurer votre sécurité en ligne

Il existe trop d’arnaques par courrier électronique pour que l’on puisse s’y retrouver. Qu’il s’agisse d’Amazon qui cherche à « confirmer » une commande ou de Netflix qui menace de suspendre votre compte, restez à l’affût de tout ce qui est louche (surtout lorsqu’il s’agit d’argent).

Les escroqueries plus sophistiquées peuvent faire appel au spear phishing ou au whaling, une forme d’ingénierie sociale.

Les escroqueries par courrier électronique étant de plus en plus répandues, les escrocs se tournent vers le téléphone, les SMS et les plateformes de messagerie instantanée. Méfiez-vous des appels provenant de numéros qui ressemblent étrangement au vôtre, des escrocs qui envoient des messages textuels ou pratiquent le « smishing », et des soi-disant proches parents qui vous demandent de payer une facture ou d’emprunter de l’argent.