BIMI : pourquoi et comment le déployer

La sécurité des flux emails est un atout majeur aujourd’hui pour toutes les marques qui communiquent via ce canal auprès de leurs prospects / clients :

83% de toutes les attaques par email se concentrent sur l’usurpation d’identité de la marque (exemple: support@yourbrand.com) et 6% sont des usurpations d’identité de personnes (exemple: yourceo@yourcompany.com).
68 % des emails de phishing bloqués par Gmail sont aujourd’hui de nouvelles variations qu’ils n’ont jamais vu avant ! Le filtrage de contenu n’est aujourd’hui plus suffisant pour protéger la réputation de votre marque.

Digicert, 2019

Qu’est-ce que BIMI ?

BIMI (acronyme de Brand Indicators for Message Identification) est une spécification technique d’authentification liée à l’email qui permet aux entreprises de renforcer la sécurité de leurs noms de domaine en affichant le logo de la société à côté de leur nom d’expéditeur et ce, uniquement avec les clients de messagerie qui prennent en charge cette nouvelle norme.

BIMI s’appuie sur l’authentification DMARC* (Domain-based Message Authentication, Reporting and Conformance) pour certifier les emails reçus. L’affichage du logo de l’entreprise dans la boite de réception des utilisateurs (pour la majorité des messageries supportant BIMI) s’appuie sur le certificat de marque VMC (Verified Mark Certificate) pour garantir sa provenance et sa légitimité.

* Pour rappel : DMARC est un protocole d’authentification email qui permet d’appliquer une politique de sécurité (QUARANTINE ou REJECT) sur un email qui serait mal authentifié (SPF et DKIM non valides) ou non-conforme (SPF et DKIM non-alignés avec le domaine expéditeur) et de fournir des rapports d’activité au propriétaire du domaine.

Pourquoi déployer BIMI ?

Si l’on reprend la dernière étude de Vade de 2023 (Étude : Classement Phishers’ Favorites Bilan 2023), Vade indique que plus de 1,76 Milliards d’URL de phishing ont été envoyées dans le monde par email… Un record ! Toutes ces attaques de phishing n’ont qu’un seul point commun : Elles essaient toutes de créer une fausse identité d’expéditeur dans le but de tromper les destinataires en se faisant passer pour une marque et ainsi obtenir différentes informations (Accès divers, informations personnelles ou/et sensibles, …). Et c’est là que BIMI intervient !

De part ses spécificités techniques, BIMI va apporter une avancée significative dans le renforcement de la sécurité des noms de domaine (et donc des messageries) grâce notamment à la politique restrictive DMARC (QUARANTINE ou REJECT) et dans la reconnaissance immédiate d’une marque dans les boites aux lettres des utilisateurs grâce à l’affichage du logo et, dans certain cas, d’un checkmark après le libellé de l’expéditeur. Au final, BIMI aura donc pour effet de stimuler l’engagement et d’apporter une expérience visuelle aux clients d’une marque.

L’objectif principal de BIMI est donc d’augmenter la confiance des utilisateurs vis-à-vis des marques grâce à l’affichage de leur logo dès la boite de réception de l’utilisateur mais également de “forcer” ces mêmes marques à renforcer la sécurité de leurs domaines grâce aux protocoles d’authentification déjà existant SPF, DKIM, DMARC et au certificat de marque VMC.

L’ajout du certificat VMC (Verified Mark Certificate) va être un plus dans la sécurisation des noms de domaine puisqu’il permettra de s’assurer que le logo a bien été déposé auprès d’un organisme de dépôt de marque (cf. Trademark Office) comme l’INPI (pour la France).

L’implémentation de BIMI va autant servir les équipes Marketing que les équipes IT et les lecteurs :

• Différenciation des autres annonceurs grâce à l’affichage du logo de la société dès la boite de réception des destinataires (et/ou à l’ouverture de l’email) ;
• Renforcement de la confiance des utilisateurs auprès de la marque grâce au checkmark dans la boite de réception des destinataires (bleu pour Gmail, violet pour Yahoo) ;
• Renforcement de la lutte contre le phishing en forçant l’adoption de DMARC (et donc de SPF / DKIM) avec une politique restrictive.

Comment fonctionne BIMI ?

Avant d’implémenter BIMI, il va falloir faire un gros travail en amont sur tous les noms de domaine que vous utilisez. Certains Email Service Providers (notamment comme Gmail) demandent beaucoup de validations techniques et une bonne réputation pour garantir l’affichage du logo tant convoité avec le checkmark (cf. checkmark bleu de Gmail, checkmark violet de Yahoo) !

Pour fonctionner, BIMI s’appuie sur l’authentification DMARC (Domain-based Message Authentication, Reporting and Conformance), celui-ci doit donc être présent soit sur votre domaine expéditeur, soit sur votre domaine organisationnel. En plus, celui-ci doit avoir une politique de sécurité restrictive !

DMARC propose 2 politiques de sécurité :

• Quarantine : p=quarantine
• Reject : p=reject

Si vous n’avez pas DMARC sur votre domaine ou si votre politique de sécurité est à “none”, BIMI ne pourra pas s’activer même si vous avez souscrit à un certificat de marque VMC !

Techniquement, comment cela fonctionne-t-il ? Exemple avec Google

Les entreprises qui authentifient leurs emails (avec SPF, DKIM et DMARC) doivent fournir leur(s) logo(s) validé(s) à Google grâce à un certificat de marque VMC (Verified Mark Certificate). BIMI va s’appuyer sur les autorités MVA (Mark Verifying Autorities ou autorités de vérification des marques comme Digicert ou Entrust) pour contrôler la propriété du logo et fournir une preuve de vérification. Une fois les emails passés et validés par les filtres Anti-Spam de Google, Gmail va afficher le logo de l’annonceur à la place de l’avatar traditionnellement affiché.

Le certificat de marque VMC (Verified Mark Certificate) est un certificat numérique qui s’appuie sur des MVA (cf. actuellement Digicert et Entrust). L’objectif de ce certificat est de fournir une preuve que le logo associé au domaine a été vérifié par un tiers (cf. les MVA) et sont bien déposés auprès d’un organisme de dépôt de marque (cf. INPI). Point d’attention toutefois sur les MVA, ce sont les fournisseurs de messagerie qui valideront le fait de valider ou non un certificat de marque VMC. Pour résumé :
– Chaque fournisseur de messagerie qui prend en charge BIMI peut avoir différents critères à appliquer pour décider d’accepter ou non les VMC d’un MVA.
– Un MVA peut être tenu de passer par un processus de vérification distinct avec chaque fournisseur de messagerie.
– La validation des VMC d’un MVA par un ou plusieurs fournisseurs de messagerie (qui prend en charge BIMI) ne garantit pas que les VMC du MVA seront acceptés par tous les fournisseurs de messagerie.

Adoption de BIMI

En janvier 2024, Spam Resource publiait un article sur l’adoption de BIMI parmi une liste de domaines principaux (10 millions au total). Il nous indique que seulement 12% d’entre eux (soit 1,2 millions) ont publié un enregistrement DMARC et qu’au final, quasi 17 000 ont publié un enregistrement BIMI sur le domaine principal (il y a toujours une marge d’erreur sur ces calculs, on peut très bien déployer BIMI sur un sous-domaine et ne pas le déclarer sur le domaine principal – même si ça reste un peu bête à mon sens). Ce qui amène un taux d’adoption d’environ 1.4% ! Par contre, 14% des entreprises ont opté pour l’achat d’un certificat de marque VMC en plus du déploiement de BIMI, ce qui reste assez intéressant quand on sait le coût qu’à un tel certificat pour une entreprise !

Pour comparer, j’avais vérifié en août 2023 les enregistrements BIMI des domaines principaux des entreprises du CAC40, le taux d’adoption de BIMI était de 7.5%, soit 3 entreprises sur 40 qui avaient publié un enregistrement BIMI et un seul ayant opté pour un certificat de marque VMC ! Je vous donne rendez-vous en août 2024 pour la première publication de l’adoption de BIMI chez les entreprises du CAC40 (et par la même occasion, la mise à jour de mon article sur l’adoption de DMARC par ces mêmes entreprises).

Quels sont les fournisseurs de messagerie qui soutiennent BIMI ?

Depuis le lancement de BIMI, de nombreux fournisseurs de messagerie ont rejoint le groupe de travail. On peut citer notamment la prise en charge de BIMI par Gmail, Yahoo et Fastmail depuis 2021. Apple a annoncé sa prise en charge sous macOS / iOS16 à partir de l’automne 2022, tandis que La Poste a annoncé sa prise en charge le 29 août 2022.

Fournisseurs de messagerie qui supportent BIMI

Fournisseurs de messagerie qui envisagent de supporter BIMI

Fournisseurs de messagerie ne supportant pas BIMI

Fournisseurs de messagerie supportant BIMI mais non-officialisés par le BIMI Group

Vous pourrez retrouver la liste officielle des fournisseurs de messagerie sur le site du BIMI Group

Quelques exemples d’affichage de BIMI chez les fournisseurs de messagerie

Apple Icloud (Mail sur desktop)

Le logo n’est pas visible dans la boite de réception de l’utilisateur mais seulement à l’ouverture de l’email. Apple fait mention d’une vérification “Digitally Certified” pour valider BIMI (cf. Learn more : This email was verified as coming from the owner of the logo shown and the domain “news.journaldesfemmes.fr”. Apple uses the Brand Indicators for Message Identification (BIMI) standard).

Apple Icloud (Mail sur mobile)

Le logo n’est pas visible dans la boite de réception de l’utilisateur mais seulement à l’ouverture de l’email. Apple fait mention d’une vérification “Verified Logo” pour valider BIMI.

Gmail (Version desktop)

Le logo n’est pas visible dans la boite de réception de l’utilisateur mais seulement à l’ouverture de l’email. Un checkmark bleu est affiché entre le libellé et l’adresse expéditrice. À noter qu’au survol du curseur, Gmail mentionne que l’expéditeur a bien été vérifié et qu’il est certifié.

Gmail (Application mobile)

Le logo est visible dans la boite de réception et à l’ouverture de l’email. Aucun checkmark visible à l’ouverture de l’email.

Yahoo (Version desktop)

Le logo n’est pas visible dans la boite de réception de l’utilisateur mais seulement à l’ouverture de l’email. Un checkmark violet est affiché entre le libellé et l’adresse expéditrice. À noter qu’au survol du curseur, Yahoo mentionne que l’expéditeur a bien été vérifié et qu’il est certifié.

Yahoo (Application mobile)

Le logo est visible dans la boite de réception et à l’ouverture de l’email. Un checkmark violet est affiché après l’adresse expéditrice. À noter qu’au survol du curseur, Yahoo mentionne que l’expéditeur a bien été vérifié et qu’il est certifié.

La Poste (Version desktop)

Le logo est visible dans la boite de réception et à l’ouverture de l’email. Aucun checkmark visible à l’ouverture de l’email.

SFR (Version desktop)

Le logo est visible dans la boite de réception et à l’ouverture de l’email. Aucun checkmark visible à l’ouverture de l’email.

Infomaniak (Version desktop)

Le logo est visible dans la boite de réception et à l’ouverture de l’email. Un checkmark bleu est également visible à l’ouverture de l’email. Infomaniak mentionne que l’expéditeur a bien été vérifié et qu’il est certifié.

Fastmail (Version desktop)

Le logo n’est pas visible dans la boite de réception de l’utilisateur mais seulement à l’ouverture de l’email. Aucun checkmark visible à l’ouverture de l’email.

Quels sont les prérequis d’éligibilité pour BIMI ?

Pour pouvoir prétendre à l’affichage de son logo dans la boite de réception des fournisseurs de messagerie soutenant BIMI, il va falloir passer par 4 étapes distinctes et aussi importantes les unes que les autres.

1. Déposer sa marque et son logo

Enregistrer votre marque et votre logo auprès d’un organisme de dépôts de marque (comme l’INPI) agréé par Digicert ou Entrust ! C’est l’étape la plus importante puisque sans dépôt de marque et d’un logo, vous n’aurez pas la possibilité de prétendre à BIMI avec un certificat de marque VMC (à une exception près avec Yahoo).

Digicert et Entrust, seuls organismes capables de délivrer un certificat de marque VMC aujourd’hui, ont publié sur leur site respectif la liste (évolutive) de tous les organismes de dépôts de marque agréés.
À noter que l’INPI est reconnu par les 2 organismes ! Plus besoin de déposer votre marque à l’échelle européenne si vous ne ciblez que le marché français.

2. Authentifier ses domaines

Authentifier tous les emails de votre organisation avec SPF, DKIM et DMARC ! Cette seconde étape consiste à s’assurer que votre domaine expéditeur (ou domaine organisationnel) possède bien un enregistrement DMARC correctement paramétré. Pour que tous vos emails légitimes soient conformes à DMARC, il faudra donc correctement signés et alignés vos enregistrements SPF (sur le domaine MailFrom) et DKIM (sur le domaine From). Autre contrainte supplémentaire, votre politique de sécurité DMARC devra être soit à QUARANTINE avec un niveau de filtrage à 100%, soit à REJECT avec aucune restriction sur le niveau de filtrage.

L’enregistrement suivant est éligible à BIMI

v=DMARC1; p=reject; rua=mailto:dmarc+658db00214fab9b5c11f1c9a@emailconsul.com,mailto:dmarc@badsender.com; ruf=mailto:dmarc@badsender.com; fo=1;

Nous avons une politique de sécurité DMARC à REJECT avec un niveau de filtrage ici à 100% (valeur par défaut si non déclarée).

L’enregistrement suivant n’est pas éligible à BIMI

v=DMARC1; p=quarantine; pct=10 rua=mailto:dmarc+658db00214fab9b5c11f1c9a@emailconsul.com,mailto:dmarc@badsender.com; ruf=mailto:dmarc@badsender.com; fo=1;

Nous avons une politique de sécurité DMARC à QUARANTINE avec un niveau de filtrage seulement à 10%.

3. Créer son logo au format SVG Tiny 1.2

Pour cette troisième étape, BIMI exigence d’avoir son logo dans un format particulier, il s’agit du format SVG (Scalable Vector Graphics). Et ce n’est pas n’importe quelle version SVG qui est demandée, votre logo devrait donc être au format SVG Tiny 1.2. Il y a 2 options possible quant à la création du logo, soit le faire vous-même avec Adobe Illustrator, soit utiliser le script mis à disposition par le BIMI Group pour Adobe Illustrator. Dans le cas où vous choisiriez l’option 1, voici les différentes actions à réaliser :

• Convertir votre logo du format pixel vers le format vectoriel
• Exporter votre logo au format SVG Tiny 1.2
• Modifier votre logo au format SVG dans un éditeur de texte
• Sauvegarder votre logo au format texte avec l’extension .svg

Retrouver le tutoriel complet sur le site de Digicert

Attention, vous ne pourrez utiliser qu’un logo au bon format et qui a été déposé auprès de votre organisme du dépôt de marque. Sans ça, Digicert ou Entrust ne valideront pas cette étape et vous demanderons de faire le nécessaire pour être conforme.

En ce qui concerne l’hébergement du logo, Google recommande d’héberger votre logo sur le serveur public du domaine (en HTTPS) où sera implémenté BIMI plutôt qu’un hébergement externe même si aujourd’hui vous pourriez très bien l’héberger sur les serveurs d’Entrust ou Digicert.
La hauteur et la largeur de l’image doivent être d’au moins 96 pixels et sa taille doit être spécifiée en pixels absolus (Exemple : width= »96″ height= »96″).
L’image du logo doit apparaître sur un arrière-plan de couleur unie. Les arrière-plans transparents peuvent ne pas s’afficher comme prévu.
La taille du fichier SVG ne doit pas dépasser 32 ko.

4. Acheter un certificat de marque VMC

Même si cette étape est facultative, la quasi totalité des fournisseurs de messagerie qui soutiennent BIMI demande à ce qu’un certificat de marque VMC (Verified Mark Certificates) soit présent sur votre enregistrement BIMI pour pouvoir afficher le logo et/ou le checkmark.

Yahoo & La Poste offrent la possibilité d’afficher le logo dans l’Inbox des utilisateurs sans certificat VMC mais avec quelques restrictions :

• Yahoo exige de l’annonceur qu’il ait une très bonne réputation
• La Poste demande la preuve du dépôt de marque pour valider eux-même via leur formulaire de contact.

Autre point important, votre certificat VMC n’est valable que pour un seul logo donc choisissez le bien pour qu’il soit clairement visible et identifiable dans la boite de réception de vos utilisateurs. Si vous voulez mettre plusieurs logos sur vos domaines, vous devrez acheter par conséquent un certificat VMC par logo.

Prix par certificat au 22 mars 2024 chez :

• Digicert : * Prix d’un certificat VMC pour 1 an : 1 340.00 euros Hors TVA * Coût par domaine supplémentaire : 445.00 euros Hors TVA
• Entrust : * Prix d’un certificat VMC pour 1 an : 1 272.31 euros Hors TVA * Coût par domaine supplémentaire : 488.74 euros Hors TVA

Attention, l’achat d’un certificat VMC pour un logo ne vous permettra de déposer votre enregistrement BIMI que sur un domaine (qui inclus tous ses sous-domaines). Si vous souhaitez déposer votre certificat VMC sur plusieurs domaines, vous devrez vous acquitter d’un surplus par domaine supplémentaire.

La Bad Story de BIMI

Le 6 juin 2023, Forbes publiait un article sur une faille de BIMI chez Gmail. Un ingénieur en Cybersécurité (nommé Chris Plummer) a reçu un email de phishing validé par Gmail avec la totale : logo + checkmark bleu. L’email était parti de Facebook à un Netblock britannique puis à Office 365 pour enfin finir sa route dans la boite de réception de Chris Plummer. Le problème venait que Gmail ne vérifiait que la validation de SPF, la signature DKIM pouvait provenir de n’importe quel domaine (ce qui a permis de tromper Gmail puisqu’il n’y avait aucun problème de validation avec SPF). Pour corriger le tir, Google a renforcé ses vérifications de BIMI avec une validation de DKIM obligatoire avec alignement des domaines, j’entends par là que le domaine signé avec DKIM doit être aligné avec le domaine expéditeur (soit il doit faire parti de la même organisation et on a un alignement SOUPLE, soit il est identique – ce qui reste à mon sens le plus pertinent – pour avoir un alignement STRICT). Depuis, aucune autre mauvaise expérience n’a été remontée chez Gmail (ou un chez un autre fournisseur de messagerie).

Comment paramétrer BIMI sur son domaine ?

Déploiement de BIMI

Pour paramétrer BIMI sur votre domaine, vous devrez d’abord créer un enregistrement de type TXT chez votre hébergeur. Tout comme DKIM, votre enregistrement BIMI va être associé à un sélecteur, celui utilisé par défaut est “default” mais libre à vous d’utiliser vos propres sélecteurs si vous avez par exemple à gérer de multiples domaines / logo, il n’y a aucune limite sur ce point-là.

En ce qui concerne l’enregistrement, il devra comporter les éléments suivants :

• v=BIMI1; ? Donne la version de BIMI
• l=urldelimage.svg; ? Indique l’url où se trouve votre logo au format svg
• a=urlducertificat.pem; ? Indique l’url où se trouve votre certificat de marque VMC au format pem (optionnel)

Voici quelques exemples d’enregistrements BIMI :

• Alan.com : v=BIMI1; l=https://static.alan.com/bimi/alan_sa_tiny_ps.svg; a=https://static.alan.com/bimi/alan_sa_690040353.pem;
• Carrefour-banque.fr : v=BIMI1; l=https://bimi.entrust.net/carrefour-banque.fr/logo.svg; a=https://bimi.entrust.net/carrefour-banque.fr/certchain.pem
• Badsender.com : v=BIMI1; l=https://www.badsender.com/wp-content/uploads/2022/09/badsender-logo.svg; a=;

Un délai d’attente de 48 heures peut être nécessaire avant que vous ne voyez votre logo apparaître dans la boite de réception.

Si aucune image et aucun certificat n’est déclaré (cf. v=BIMI1; l=; a=;) sur un domaine, alors le dit domaine refusera explicitement de participer à BIMI et donc aucun affichage ne sera disponible. Attention, cette notion est tout de même différente d’un domaine où aucun enregistrement BIMI n’a été déclaré.

Comment valider BIMI ?

Le site officiel de BIMI (https://bimigroup.org/) vous donne la possibilité, soit de générer votre logo à partir des URL de votre logo et/ou certificat de marque, soit de tester et valider l’implémentation de BIMI sur votre domaine. Il faudra vous rendre sur leur page web dédiée : https://bimigroup.org/bimi-generator/ et d’entrer votre nom de domaine (domaine organisationnel ou sous-domaine).

Quelle stratégie de déploiement ?

Tout comme DMARC, BIMI fonctionne avec la notion d’héritage. C’est à dire qu’une fois déployée sur votre domaine organisationnel, tous vos sous-domaines hériteront du même enregistrement BIMI. Pratique si l’on a un seul enregistrement et des dizaines de sous-domaines à gérer.

Autre similitude avec DMARC, si un enregistrement BIMI est présent sur un sous-domaine, il fera foi par rapport à l’enregistrement présent sur le domaine organisationnel (pratique si on veut gérer plusieurs logos pour un même organisation).

Si vous souhaitez ajouter un enregistrement BIMI par sous-domaine (et même si c’est exactement le même), vous pourrez également le faire. Par contre, si vous avez une mise à jour de l’enregistrement à faire, vous devrez le faire sur chaque sous-domaine !

Choix n°1 : Déploiement de BIMI uniquement sur le domaine organisationnel

Aucun enregistrement n’a été trouvé sur le sous-domaine, on va chercher la valeur du domaine organisationnel.

Choix n°2 : Déploiement de BIMI sur un sous-domaine

L’enregistrement est présent sur le sous-domaine, aucune recherche n’est faite sur le domaine organisationnel.

Quelques liens utiles pour bien implémenter BIMI

Pour finir ce guide d’implémentation de BIMI, je vous partage quelques liens utiles :

• Le site Officiel de BIMI : https://bimigroup.org/
  • BIMI Inspecteur
  • Guide d’implémentation officiel
• La RFC associée au projet
• Se préparer à BIMI par Google
• Le site d’Entrust dédié au VMC
  • Trademark approuvé par Entrust
• Le site de Digicert dédié au VMC
  • Créer son logo avec BIMI
  • Trademark approuvé par Digicert