Interview avec Cyril Voisin - Microsoft France

C'est dans de luxueux bureaux situés rue de l'université à Paris, que Cyril Voisin, chef de programme sécurité chez Microsoft France, nous a reçu afin de parler de la politique actuellement menée par le géant des logiciels en matière de sécurité. L'occasion pour nous d'aborder des sujets aussi divers que le déploiement du Service Pack 2, son adoption par les utilisateurs ou encore le devenir de Windows et d'Internet Explorer.

Clubic.com : Quel est votre rôle au sein de Microsoft France ?

-Cyril Voisin : Je suis chef de programme sécurité au sein de la Direction Technique et Sécurité. Mon rôle est orienté vers les utilisateurs des technologies Microsoft, que ce soit les clients ou les partenaires, pour leur faire connaître notre action en matière de sécurité et partager avec eux notre stratégie. Ils peuvent dans une certaine mesure influencer ce que fait Microsoft en la matière puisque je sers de relais. L'objet de mon travail est de faire en sorte qu'on puisse utiliser les produits Microsoft de manière sécurisée. Il m'arrive à ce titre d'avoir des contacts avec les équipes produits mais l'essentiel de mon travail est de rencontrer les clients.

Clubic.com : Comment expliquez-vous le sursaut inattendu, bien que louable, de Microsoft en matière de sécurité ? N'était-ce pas déjà trop tard ? De l'extérieur, on a le sentiment que s'il n'y avait pas eu Bill GATES et son mémo sur le Trustworthy computing Microsoft serait resté assez léthargique sur la question.

-Cyril Voisin : Disons que ce qui est tardif c'est d'en avoir fait notre priorité numéro un. Ca a toujours été une de nos priorités, mais c'est vrai qu'on avait pas forcément des pratiques exemplaires en la matière. Pour être très franc nous avons été confronté en septembre 2001 au vers Nimda. Suite à sa diffusion nous avons appris un certain nombre de leçons qui sont pour la plupart du bon sens mais qui n'avaient pas forcément été exposées de manière aussi clair avant. Tout d'abord, il ne fallait pas installer les fonctionnalités par défaut qui ne sont pas utilisées puisque Nimbda se propage en particulier par IIS pour Windows 2000. Par ailleurs nous avons identifié à cette époque que les personnes qui n'avaient pas été attaquées avaient soit suivies nos guides de sécurité disponibles à l'époque soit appliqué les correctifs de sécurité. Vraisemblablement ce cas de figure était rare et nous nous sommes aperçu que les gens ne savaient pas que les correctifs de sécurité existaient ou qu'ils les trouvaient complexe à installer. A partir de ce moment là, nous avons démarré le STTP (Strategic Technology Protection Program) dont l'objectif était de faire connaître les actions existantes de Microsoft en matière de sécurité et de les réunir en un seul endroit accessible à tous. A l'époque, cela s'est traduit par un CD, le Security Toolkit, qui a contribué à sa manière à soutenir l'idée du Trustworthy Computing de Craig Mundie, à savoir l'informatique de confiance, qui est devenue la priorité numéro un de Microsoft .

Le mémo que vous mentionnez dit en substance que Microsoft doit participer avec tous les autres acteurs de l'industrie à faire en sorte que l'informatique devienne une commodité au même sens que l'eau, le gaz, l'électricité, etc. Pour que cela soit possible il y a un certain nombres de choses à résoudre en particulier sur la sécurité.

Clubic.com : Quel est le budget consacré par Microsoft à la sécurité ?

-Cyril Voisin : On ne communique pas sur ce budget. Cependant un certain nombre de chiffres avaient été communiqués durant l'année 2002 et faisaient état de 200 millions de dollars simplement pour Windows Server 2003. Depuis, nous ne communiquons plus sur ces chiffres qui n'ont pas vraiment de sens.

Clubic.com : Combien de personnes sont affectées à la vérification du code ?

-Cyril Voisin : Nous avons revu notre processus de développement pour que les problématiques de sécurité soient dès la conception d'un logiciel prises en compte. Même si les développeurs ne sont pas tous à 100% dans la sécurité, ils ont tous une responsabilité et chaque fois qu'un développeur écrit du code, un second développeur le vérifie avant de l'ajouter au produit. Nous avons reformé près de 18.000 développeurs pour les sensibiliser à la sécurisation du code, mais ce ne sont pas 18.000 experts de la sécurité. En parallèle, nous avons une équipe plus petite dédiée exclusivement à la sécurité et composée de quelques dizaines d'ultra-spécialistes du développement et de la modélisation. Les architectes logiciels sont également partie prenante pour tout ce qui concerne la sécurité.

Clubic.com : Depuis un an, les développements Microsoft sont donc censés être totalement sécurisés ?

-Cyril Voisin : Oui c'est ce que le processus de développement mis en place en février/mars 2002 prévoit. Maintenant, il faut bien voir que quand on sort un nouveau produit, les lignes de code ne sont pas toutes nouvelles. Il peut donc rester une partie ancienne de code pour laquelle le processus de développement avec les nouvelles prescriptions en matière de sécurité n'a pas pu être suivi de A à Z. Le nouveau processus de développement implique la modélisation des menaces et la définition de l'action pour protéger les éléments d'un composant au niveau de la sécurité. C'est cette analyse qui est préalable au démarrage d'un développement. Or, dans le cas qui nous occupe, nous sommes dans une démarche similaire à celle que nous avons eu avec Windows 2003 où il faut s'assurer que tout ce qui concerne la sécurité a été bien fait, revue de code à l'appui. Disons tout de même qu'aujourd'hui le développement n'est pas purement orienté sur la sécurité.

Clubic.com : A propos de Windows Server 2003 avez-vous une date de disponibilité du Service Pack 1 ?

-Cyril Voisin : Pour l'instant il est toujours prévu pour le premier semestre 2005.

Clubic.com : Les rumeurs de réduction des fonctionnalités de ce premier Service Pack sont-elles fondées ?

-Cyril Voisin : En lui-même, le Service Pack n'a pas de réduction de fonctionnalités. On prévoit de sortir quelques mois après une version deux de Windows Server 2003 qu'on appelle R2, comme Release 2. Il s'agira du Windows Server 2003 tel qu'on le connaît plus tous les modules additionnels gratuits sortis depuis son lancement. L'idée est donc d'en faire un seul CD, un seul package. Il y avait effectivement des nouvelles fonctionnalités qui devaient arriver avec Windows Server 2003 R2 dont certaines ont été soit différées soit purement et simplement revues à la baisse.

Clubic.com : La version R2 sera une mise à jour payante ?

-Cyril Voisin : Windows Server 2003 R2 est une version de mise à jour de Windows Server 2003. Il remplace en fait Windows Server 2003 (les nouveaux composants apportés par la R2 sont optionnels). Il n'y a pas de coût supplémentaire pour les clients couverts par le Software Assurance ou les contrats d'accord entreprise (Enterprise Agreement). Il sera disponible comme une nouvelle licence serveur pour les autres clients. A noter également que les licences d'accès clients (CAL) seront les mêmes que les CAL Windows Server 2003 (il n'y a pas de version spécifique à R2). Autrement dit, les clients ayant des CAL Windows Server 2003 (avec ou sans SA/EA) peuvent les utiliser pour Windows Server 2003 R2.

Clubic.com : Le Service Pack 2 de Windows XP a été présenté comme un axe majeur de la politique de sécurité de Microsoft. Deux mois après son lancement quel bilan en tirez-vous au niveau de son déploiement et de son acceptation ?

-Cyril Voisin : On voit une acceptation très élevée dans le grand public ce qui correspond à notre message qui était de recommander son installation dès sa disponibilité. Pour les entreprises nous leur suggérions de tester le SP2 dès son lancement pour le déployer plus tardivement. Les derniers chiffres qui datent de deux semaines font état de 90 millions de SP2 installés soit via Windows Update soit via Automatic Update et 16 millions de CD distribués. Ce qui ne veut pas dire que les seize millions de CD correspondent à seize millions de copies installées. Pour la France nous avons décompté 1,5 millions d'installations par Automatic ou Windows Update pour environ 2 millions de téléchargements.

Clubic.com : Selon vous quel pourcentage du parc Windows XP a été effectivement migré en SP2 ?

-Cyril Voisin : Cela représente environ un tiers du parc ce qui correspond aux prévisions que nous avions pu faire lors de la sortie du Service Pack 2 en annonçant 100 millions de postes mis à jour d'ici à la fin du mois de décembre.

Clubic.com : Selon vous est-ce que l'approche retenue par Microsoft pour sécuriser Windows XP avec le Service Pack 2 est la plus efficace ? De temps à autre, on a le sentiment qu'au lieu de repenser la sécurité, Microsoft a rendu certaines fonctions sensibles plus difficilement accessibles. Je pense particulièrement aux téléchargements automatiques qui sont systématiquement bloqués par Internet Explorer...

-Cyril Voisin : Pour ma part je trouve normal que lorsqu'un script tente de faire quelque chose automatiquement, en l'occurrence de télécharger un fichier, on me demande confirmation.

Clubic.com : Est-ce que vous trouvez normal une fois que le fichier est sur votre disque dur de recevoir encore un avertissement à son exécution ?

-Cyril Voisin : L'idée ici est de s'assurer que lorsqu'un utilisateur télécharge ou reçoit un fichier par messagerie et qu'il ne l'exécute pas de suite il soit sensibilisé, même trois semaines après, au risque qu'il court lorsque le fichier provient d'une zone non sécurisée. Effectivement c'est pénible tout ça, probablement, mais encore une fois c'est l'éternel débat du est-ce que je dois avoir une confirmation à chaque action. Ce n'est pas une baisse de productivité énorme pour l'utilisateur et l'objectif est de faire en sorte que le plus grand nombre puisse être protégé parce qu'aujourd'hui la confiance dans l'internet et dans l'utilisation du PC baisse du fait des nombreux risques liés aux choses que l'utilisateur ne maîtrise pas. On essaye de redonner un peu de maîtrise aux gens qui n'en ont pas forcément.

Clubic.com : Pensez-vous que les solutions retenues aujourd'hui par Microsoft pour sécuriser Windows soient la meilleure approche ? A l'avenir, par exemple avec Longhorn, Microsoft va-t'il employer des voies différentes ?

-Cyril Voisin : Est-ce la meilleure solution je ne sais pas. Elle a au moins le mérite d'exister. Aujourd'hui je ne connais pas d'autres solutions même si je suis persuadé qu'il y en a d'autres qui sont bien entendu meilleures. Le tout est de voir à l'usage ce que ça apporte vraiment et en quoi ça peut être amélioré. Il est évident pour moi aujourd'hui, en tant que spécialiste du sujet, que je préférerai de loin voir tout un mécanisme basé sur les signatures numériques que ce soit pour les mails, les contenus téléchargés, etc. Je préférerai une prise de conscience sur ce qu'est la signature numérique et comment l'utiliser plutôt que de voir des systèmes basés sur des boîtes de dialogue, dont on sait d'ailleurs au passage, que si vous avez un rootkit (cheval de troie) il peut aller répondre à votre place. L'avantage de notre solution est qu'elle constitue quand même un minimum.

Je n'ai pas de solutions à vous annoncer sur ce qu'on fera plus tard, mais il est évident qu'on veut faire en sorte que tout ça soit un peu plus direct et intuitif pour que l'utilisateur ait moins de questions à se poser. En même temps, le fait de s'en poser a une vertu éducative et on a essayé de faire en sorte de ne pas écraser l'utilisateur avec des décisions de sécurité qu'il ne comprendrait pas et qui seraient répétitives de telle sorte qu'il abandonnerait tout pour faire le mauvais choix. L'exemple ici est le cas des ActiveX où vous aviez un popup qui revenait toutes les dix secondes et où l'utilisateur finissait par accepter pour l'installer. Ici on a pris la décision pour les ActiveX de déplacer l'alerte dans la barre d'infos alors effectivement celui qui a besoin de l'ActiveX on espère qu'il va le trouver et que celui qui n'en a pas besoin ne sera pas dérangé. On a donc essayé de réduire le fardeau des décisions de sécurité et il y aura sans doute d'autres améliorations mais je ne les connais pas encore.

Clubic.com : Avec le Service Pack 2 le Firewall a fait de grands progrès ce qui est très bien. Est-ce que vous pensez que cette fonctionnalité spécifique évoluera à l'avenir avec Longhorn ? Ou est-ce que les fonctionnalités resteront identiques avec des réglages parfois unidirectionnels ?

-Cyril Voisin : Je dirai qu'introduire la notion de filtrage sortant, puisque c'est votre question, serait quelque chose de difficile du moins en gratuit et embarqué dans le système d'exploitation pour des questions d'abus de position dominante et de procès que vous avez déjà vu par le passé. Nous voulons fournir un moyen de protection minimum à l'utilisateur parce qu'aujourd'hui notre recommendation est d'utiliser un pare-feu sans pour autant détruire l'écosystème des fournisseurs de pare-feu. Je pense que de ce côté-là la version intégrée à Windows n'évoluera pas de manière tellement significative pour, entre guillemets, rattraper un retard fonctionnel qu'elle aurait face à d'autres pare-feus. Maintenant il est évident qu'il y aura sans doute des améliorations dans Longhorn et il faut quand même se rappeler que le pare-feu introduit dans le SP2 est celui initialement prévu pour Longhorn qui a été backporté pour être disponible dès maintenant. Cela ne veut pas dire que l'on ne fera rien d'autre, parce qu'avec les améliorations du noyau et l'expérience que l'on aura acquise on pourra faire d'autres choses, mais je ne vois pas vraiment de choses très significatives.

Rien n'empêche d'envisager qu'un jour on fournisse un pare-feu plus complet mais cette fois payant, optionnel, etc.

Clubic.com : En complément d'un antivirus ?

-Cyril Voisin : Je ne sais pas !

Clubic.com : Si, si, vous savez et ça me permet de passer à la question suivante, finalement où en est le projet d'antivirus de Microsoft ?

-Cyril Voisin : On ne communique pas sur le sujet. Microsoft a acquis une technologie d'antivirus auprès d'une société roumaine qui s'appelle GeCad (seule la technologie a été achetée et non la compagnie) et cette technologie fera partie de produits Microsoft à l'avenir. Ces produits n'ont toutefois pas été déterminés et la seule chose que l'on peut dire c'est comme pour le pare-feu cela sera optionnel, payant et non intégré à Windows.

Clubic.com : Aujourd'hui on peut dire que Microsoft va lancer un pare-feu séparé ?

-Cyril Voisin : Non. On ne sait pas... Si jamais on se rend compte qu'il y a un besoin, et que les utilisateurs se tournent vers Microsoft, cela pourrait être envisageable, mais ce serait nécessairement séparé. C'est tout ce que je peux dire.

Clubic.com : Peut-on déjà parler du Service Pack 3 de Windows XP ?

-Cyril Voisin : C'est un peu tôt pour en parler. La seule chose que l'on sait à l'heure actuelle est qu'il y en aura effectivement un ce qui est déjà une bonne chose. On ne sait pas ce qu'il y aura dedans. Ce que nous avons évoqué lors de la conférence de lancement début septembre du SP2 est que nous avons fait des annonces allant dans le sens de la mise à disposition de composants au départ prévus pour Longhorn dans Windows XP. Aujourd'hui on en est à l'étape de la réflexion : est-ce que ce doit être dans un Service Pack 3 ? A côté ? C'est encore très loin et il y a bien d'autres priorités pour l'équipe Windows comme par exemple sortir le Service Pack 1 de Windows Server 2003.

Clubic.com : Est-ce que les bruits qui parlent d'un XP Reloaded ou R2 sont fondés ?

-Cyril Voisin : XP Reloaded n'a jamais existé. C'était simplement le nom d'une campagne marketing comme celle en cours qui vous parle de MediaCenter et de Windows Media Player 10 ou de choses comme ça. Aujourd'hui pas de produits, ce n'est pas exclu mais rien n'est annoncé.

Clubic.com : Comment se portent les développements 64 bits de Windows ? Windows XP 64 va-t'il sortir un jour ?

-Cyril Voisin : Oui ça va sortir ! C'est quelque chose qui à l'air de bien avancer d'autant que la base de Processeurs installés est en augmentation en particulier grâce à AMD avec sa compatibilité 32/64. Il faut d'ailleurs distinguer Windows XP 64 Bit disponible depuis le mois d'août 2002 pour les processeurs Itanium et Windows XP 64 Bit Edition version 2003 qui sortira durant le premier trimestre 2005. Cette version supportera à la fois les processeurs AMD Opteron et Athlon 64 (AMD64) ainsi qu'Intel avec Extended Memory Technology (EM64T).

Clubic.com : Est-ce que Longhorn sera en version 32 ou 64 bits ?

-Cyril Voisin : Longhorn sera disponible dans toutes les versions. Si vous voulez ce n'est pas la fin du 32 bits, et à la question est-ce que Longhorn sera purement 64 la réponse est non, on aura bien une version 32 bits. Parce qu'aujourd'hui il y a très peu de gens qui ont besoin de plus de 4 Go de RAM... De plus tout le monde a tendance à l'oublier mais en règle générale le fait de passer à une architecture avec plus de bits n'accélère pas les traitements sauf pour les traitements batchs ou la longueur sera plus grande à chaque cycle processeur. Mais pour le reste du temps on va consommer deux fois plus de mémoire puisque les pointeurs sont plus longs... Pour moi le passage au 64 est intéressant mais encore plus intéressant est l'utilisation de primitives sur des longueurs plus importantes et pas forcément limitées à un OS 64. On peut les utiliser avec un OS 32 bits moyennant des pilotes supplémentaires et certaines fonctionnalités sont disponibles dans le 32 bits.

Clubic.com : Avec Longhorn Microsoft veut pousser plus vers le 32 ou le 64 bits ?

-Cyril Voisin : Je pense que notre idée n'est pas encore faite mais le 32 bits sera le leader même si la version 64 bits de Longhorn sortira en même temps que la version 32 bits. Seule l'édition TabletPC de Longhorn sera disponible exclusivement en 32 bits.

Clubic.com : Passons aux questions qui fâchent ! On a l'impression qu'Internet Explorer reste la principale faille de sécurité de Windows avec tout ce que cela implique. Il est difficile de comprendre pourquoi Microsoft reste muet sur le sujet comme si Internet Explorer était tabou.

-Cyril Voisin : Cela ne se voit peut être pas mais avec le Service Pack 2 nous avons travaillé sur le phishing, qui est l'usurpation de marque. On a ici fait en sorte qu'un site ne puisse plus maquiller l'adresse affichée dans la barre d'adresses en utilisant massivement des scripts, même chose avec des sites qui vous font croire que vous êtes en SSL alors que la fenêtre entière n'est qu'une image. Ces techniques de refabrication de l'interface ont été énormément limitées. Désormais par script on ne peut plus aller en dehors du cadre de la fenêtre dans laquelle on est (l'intérieur du frame). Même chose pour les créations de fenêtres en dehors de l'écran avec les fenêtres non visibles et pour les fenêtres plein écran. Plein de choses ont donc été faites dans le domaine de la sécurité dans Internet Explorer.

Clubic.com : Certes si la sécurité a progressée dans le bon sens on ne peut pas en dire autant des autres fonctionnalités. Je pense à la navigation par onglet qui fait cruellement défaut et j'ai envie de vous demander, Internet Explorer 7.0 c'est pour quand ?

-Cyril Voisin : Je ne suis pas le mieux placé pour vous répondre sur le sujet puisque je m'occupe de la sécurité. Quoiqu'il en soit vous avez sans doute vu qu'on a reconstitué une équipe Internet Explorer. On ne reconstitue pas une équipe comme ça pour le plaisir ce qui signifie que nous allons faire un produit.

Clubic.com : Oui enfin je ne comprends pas pourquoi cette équipe a été dissoute ?

-Cyril Voisin : En fait elle n'a pas été dissoute, elle travaillait sur Internet Explorer 7.0 celui de Longhorn en clair. Au bout d'un moment on s'est aperçu que Longhorn malgré ses qualités reste assez loin en matière de calendrier et que nos utilisateurs aimeraient bien avoir des IE entre-temps. On réfléchit à ce que nous pouvons faire aujourd'hui et je ne suis pas en train de vous dire que c'est quelque chose qui va arriver. Mais on a créé l'équipe pour faire en sorte que si jamais il y a besoin...

Pour ce qui est de la navigation par onglets qui semble appréciée des spécialistes et que l'on retrouve dans pas mal de navigateurs libres, c'est quelque chose que l'on étudie mais on ne se concentre pas que sur ça. Nous ne sommes pas là pour être des copieurs ou des suiveurs. Si il y a des choses biens, absolument souhaitées et requises, elles seront dans notre navigateur maintenant nous voulons apporter des innovations dans des secteurs qui ne sont pas encore défrichés aujourd'hui.

Clubic.con : Donc tout espoir de voir apparaître une nouvelle version d'Internet Explorer avant Longhorn n'est pas vain ?

-Cyril Voisin : Je ne suis pas persuadé que cela apparaisse avant Longhorn mais je n'en sais rien. Vous avez vu qu'il y avait un grand mouvement général qui a été de dire que les innovations disponibles pour Longhorn comme Indigo et Avalon seraient disponibles dans des versions compatibles pour Windows XP. Rien n'empêche de dire que le travail fait pour Longhorn donne naissance à des choses pour XP dans la mesure où le système s'y prête sans nécessiter de modification du noyau. En gros sachez qu'Internet Explorer n'est pas un produit abandonné et que nous rattraperons notre retard fonctionnel sur les autres navigateurs mais il n'y a pas que ça.

Clubic.com : Quand on parle d'Internet Explorer 7.0 ça englobe également des évolutions d'Outlook Express ?

-Cyril Voisin : Oui. C'est un couple !

Clubic.com : Que diriez-vous aux afficionados du pingouin qui déclarent que Linux est plus sûr que Windows ?

-Cyril Voisin : D'abord je leur répondrai que ce n'est pas vrai. Nous avons effectivement notre lot de problèmes liés en particulier au fait que l'on a une plate-forme très déployée et que donc l'investissement en attaque est extrêmement élevé. Je leur rappellerai par exemple que la façon d'avoir un système sécurisé est de le maintenir à jour. D'abord de le sécuriser par défaut ce que l'on essaye de faire maintenant, deuxièmement de bien savoir l'administrer puisque l'on sait que la plupart des problèmes sont des erreurs humaines. Troisièmement, le maintenir à jour et de savoir quand il y a des vulnérabilités pour pouvoir les corriger. Je rappellerai que sur cette histoire d'erreurs humaines si vous allez sur zone-h qui mesure le nombre de sites défigurés c'est Linux qui est le plus défiguré et non Windows. Ceci ne mettant pas du tout en cause le produit Linux en lui-même mais met en cause les gens qui utilisent Linux et qui ont cette espèce de fausse image : « c'est un truc qui est sécurisé, je n'ai donc rien à faire ». Or on sait très bien que c'est faux et qu'il y a eu des sites qui hébergent du code source qui ont été hackés, etc. En outre je leur dirai de lire l'étude du forester qui s'appelle les jours de risque, days of Risk (DOR). Ils ont fait une étude en demandant à chaque fournisseur les vulnérabilités qu'ils ont eu et quand ils les ont corrigé en considérant qu'un utilisateur est en position de risque qu'à partir du moment où la vulnérabilité est connue et qu'il n'y a pas de solution. En utilisant ce système là on voit que le nombre de jours de risque pour une plate-forme Microsoft est inférieur à une plate-forme Linux RedHat. On a effectivement un certain nombre de vulnérabilités dont certaines sont critiques mais la plupart du temps elles ne sont pas connues avant que le correctif ne sorte. Entre guillemets le jour où le correctif sort vous avez et le problème, et la solution ce qui évite d'avoir un certain nombre de risques. Après on peut en parler longtemps... Pour certains, un système sûr, c'est un système bien administré.

Clubic.com : A un certain point cela devient idéologique...

-Cyril Voisin : Oui probablement et puis il y a aussi une certaine méconnaissance. Pour beaucoup le monde Windows est un univers de postes de travail où ils ont vu Windows 95 il y a dix ans et puis ils en sont restés là. Ca à tout de même pas mal évolué et il faut jeter un œil à Windows 2003 pour s'en convaincre. Je dirai que c'est aussi notre travail pour que cela soit mieux connu et que les gens ne restent pas sur des rumeurs. Maintenant il est évident qu'on est une plate-forme beaucoup plus attaquée et que de ce point de vue là il n'y a pas photo entre les deux. Je préfère toutefois un système sur lequel on a toutes les informations au fur et à mesure et on sait comment le maîtriser à un système où j'ai un faux sentiment de sécurité.

Clubic.com : Avez-vous quelque chose à rajouter aux récents événements concernant le Sender ID qui a été rejeté puis accepté ?

-Cyril Voisin : Le Sender ID n'a pas vraiment été rejeté. L'IETF a fait une recommandation disant que le Sender ID ne serait pas le seul standard ce qui a été plus tard interprété comme un refus de ce standard par l'IETF. Sender ID vient d'être soumis selon une nouvelle version qui répond à certaines objections. En particulier AOL revient sur Sender ID compte tenu des modifications apportées et nous allons mettre en place la technologie sur MSN Hotmail dès maintenant. Nous invitons d'ailleurs tous les expéditeurs de message à publier leurs serveurs SMTP sortant dans leurs DNS.

L'idée du Sender ID est d'influencer le filtre AntiSpam par des critères objectifs autre que les mots contenus dans le message. En pratique cela revient à dire que si un mail est annoncé comme provenant de Clubic alors que le serveur d'envoi ne fait pas parti de ceux publiés par Clubic le mail aura des points en moins. Dans un premier temps on ne bloquera pas, mais l'idée c'est que si un jour tout ça se généralise suffisamment, puisque ça n'a de sens que si c'est très généralisé, on puisse dire à partir du moment où un mail qui prétend venir de Clubic mais pas de ses serveurs il sera classé en SPAM.

Clubic.com : Il n'y aura pas d'effacement automatique ?

-Cyril Voisin : Non c'est hors de question dans un premier temps. L'objectif est de voir si Sender ID a un sens, de dimensionner les architectures puisqu'en règle générale les serveurs DNS sont tout petit (ils ne résolvent pas grand-chose). On peut imaginer qu'il y aura ici une interrogation du DNS à chaque mail reçu ce qui pose des questions sur la taille au sens CPU/bande passante du serveur DNS. L'idée est de tester ça et aujourd'hui des utilisateurs de messagerie vont le faire puisque c'est très facile. Pour l'instant il n'y a pas de mise en œuvre obligatoire du contrôle avec des sanctions cœrcitives à la clé.

Clubic.com : Merci pour vos réponses et pour le temps que vous nous avez consacré !