:I love you:
Par systèmes vocaux[modifier]
Le développement de la voix sur réseau IP (téléphonie par Internet) fait craindre l'arrivée prochaine sur nos combinés d'un nouveau type de spam, le spam vocal, baptisé SpIT (Spam over Internet Telephony). En effet, des systèmes comme Skype voient déjà une part notable des appels être d'origine non sollicitée, même s'il s'agit encore de contacts personnels plutôt que de sollicitations commerciales.
Par SMS[modifier]
Le nombre de SMS de type spam est en forte augmentation. Début 2009, trois mois après l'ouverture du service, 190 000 signalements avaient été transmis au 33700, le numéro mis en place en France pour lutter contre ce type de spam18. Le principe est en général d'inciter le destinataire du message à rappeler un numéro Audiotel surtaxé (préfixé en « 0899 »)18.
Le « ping call »[modifier]
Une autre forme de spam est apparue fin 2009, appelée « ping call »19: étant appelée par un numéro surtaxé qui ne laisse pas le temps de décrocher (une seule sonnerie), la victime rappelle en fait une boîte vocale, facturée entre 1 et 3 euros20.
Référencement abusif[modifier]
Article détaillé : Spamdexing.
Optimisation abusive des techniques de référencement destinée aux robots d'indexation de moteur de recherche qui consiste à modifier des pages web en utilisant des mots-clés d'une façon abusive pour améliorer le classement dans les moteurs de recherche.
Parmi les techniques utilisées :
La manipulation des mots clés consistant à ajouter une longue liste de mots souvent recherchés (comme « sexe ») répétitivement dans une page (« sexe à UneVille », « sexe à UneAutreVille », « sexe à EncoreUneAutreVille », « sexe à UnVillageTropPetitPourÊtreUneVille », et toute autre variation possible) pour apparaître immédiatement si on fait une recherche avec ces mots. Parfois une page ne contient que les résultats d'une recherche, mis sur le web pour être trouvé et classé par les moteurs de recherche et affiché aux usagers cherchant avec les mêmes mots.
Le bourrage de mots clés populaires, dissimulés au visiteur mais pas au robot, soit en les imprimant blanc sur fond blanc, ou en utilisant la police de caractères la plus petite, ou encore en les utilisant en lignes « commentaire » et « méta » qui ne sont pas affichées à l'usager, ou encore en changeant le contenu de la page après que le logiciel « robot » ou « araignée » l'a lu ou en modifiant le serveur pour envoyer une page au moteur de recherche et une autre aux usagers ordinaires.
Le spam de liens consiste à mettre les liens vers un site qu'on veut promouvoir dans autant d'autres sites externes que possible, incluant les forums publics et les pages de commentaires d'autres sites.
Une ferme de liens (« link farm ») est un site hébergeant des listes de liens vers tous les autres sites qu'on contrôle pour améliorer le classement de ces derniers en les faisant apparaître populaires. Google compte notamment la quantité et l'importance des liens vers un site pour déterminer l'importance du site (le PageRank). Parfois on construit aussi les sites multiples (simulant des sites indépendants et pas simplement des sous domaines du même site) avec presque le même contenu ; chacun contient un tas de liens vers tous les autres pour améliorer leurs classements.
La technique de « bombardement Google » en sa forme originale consiste à placer des hyperliens vers George W. Bush avec des phrases comme « l'idiot du monde » dans autant de sites web que possible. La destination de cet hyperlien est normalement un site externe (dans cet exemple, la page de Bush). Si ce genre de lien figure dans un assez grand nombre de pages web, une recherche pour « l'idiot du monde » va diriger l'usager immédiatement sur Bush, peu importe s'il désire ça et peu importe si ces mots figurent sur son site ou pas.
Une autre variation est le « spam d'affiliation » où une compagnie paye pour chaque visiteur ou chaque client envoyé par des liens affichés par des autres, du genre « affiliez-vous et devenez riche, mettez un lien vers
www.arnaqueur.porno.exemple.com et pour chaque victime qui nous donne tous ses numéros de carte de crédit nous vous donnons un sou ». Les liens venant de ces programmes d'affiliation contiennent le code d'identification d'un affilié de façon
www.arnaquer.porno.exemple.com/donnemoiargent?MonsieurLeSpammeur pour faire savoir qui doit être payé pour avoir posté tous ces liens partout.
Les opérateurs de sites de recherche comme Google cherchent en permanence des moyens de détecter ce genre de choses et les rendre plus difficiles à utiliser effectivement. Par exemple, un nombre excessif de liens provenant de « fermes » comme «
www.ferme-aux-liens-inutiles.spam.exemple.com, peut se solder par une diminution de la pertinence attribuée au site pointé, ce qui est l'effet inverse de celui recherché initialement.
Dans les blogs[modifier]
Article détaillé : Splog.
La présence de liens vers un site web est un critère important de classement dans les moteurs de recherche. Afin d'augmenter artificiellement le nombre de liens pointant vers leurs sites, certains créent des blogs, ou mettent des messages de commentaires dans des blogs préexistants, uniquement pour ajouter des liens vers un ou plusieurs sites web à promouvoir.
L'automatisation de ce genre de pollution a mené plusieurs logiciels de blog à introduire des contrôles (Captcha) qui rendent cette automatisation par une machine plus complexe à réaliser.
Sur les wikis[modifier]
De nombreux expéditeurs de spam ou publicitaires ajoutent des liens vers leurs sites sur des wikis, en particulier ceux modifiables par des personnes non inscrites, comme Wikipédia. En réponse, certains wikis mettent en place des listes noires (liens interdits) ou l'obligation (sauf éventuellement pour les membres inscrits depuis suffisamment de temps) de passer un Captcha pour ajouter un lien vers un autre site lors de la modification d'une page.
Moyens de lutte[modifier]
Article détaillé : Anti-spam.
Pour éviter de recevoir du spam, les internautes font souvent figurer leurs adresses email d'une manière masquée lorsqu'elle doit apparaitre dans un site web ou dans Usenet. Par exemple :
Jean@NOSPAM.exemple.fr pour
Jean@exemple.fr.
Jean chez exemple point fr pour
Jean@exemple.frJean[at]exemple.fr pour
Jean@exemple.fr (l'arrobase se prononçant souvent « at »).
Mais cette méthode est aussi déconseillée car rien n'interdit au spammeur de faire un traitement d'enlèvement des drapeaux les plus communs (NOSPAM, AT, chez etc.).
Une autre méthode consiste à encoder son adresse avec un algorithme quelconque (par exemple, remplacer chaque lettre par la suivante dans l'alphabet), et d'insérer dans la page une fonction javascript qui décode. Ainsi rien ne change pour l'internaute qui peut toujours cliquer sur le lien « envoyer un mail », mais l'adresse n'apparaît pas en clair dans la page. Jusqu'ici, les arroseurs n'exécutent pas le code javascript avant de chercher les adresses (trop long, plus complexe, etc.).
Une autre méthode consiste à encoder son adresse en caractères Hexadécimaux par exemple : &X02&X36... Cela ne sera pas détectable par les robots qui parcourent les pages web parce qu'ils n'ont pas de moteur de rendu (comme un navigateur web internet explorer, firefox, etc. peut le faire), ils lisent juste des caractères alphanumériques. Il existe des petits logiciel pour faire cela, ou même des codes PHP. L'avantage de cette méthode est que c'est le navigateur qui décode, pas besoin de code javascript.
Enfin, on peut choisir de communiquer son adresse par une image, ainsi on ne pourra pas la récupérer « facilement » par un robot. Pourvu que cette image soit étirée et maquillée afin qu'un logiciel de reconnaissance de caractères (OCR) ne puisse reconstituer votre adresse (sur le même principe qu'un captcha). Cette dernière méthode est considérée comme la plus sûre, bien qu'elle ait pour inconvénient majeur de la rendre très difficile à lire pour des personnes ayant un handicap visuel.
La méthode la plus sûre est sans doute de ne pas divulguer son adresse personnelle sur le Net, lieu public par excellence, mais de la communiquer seulement à vos amis et à vos proches. Et encore, les serveurs de messagerie peuvent parfois être hackés (autre méthode pour les arroseurs pour collecter des adresses).
Impacts environnementaux[modifier]
Le spam n'est pas - outre une source de perte de temps et d’argent - qu'une pollution virtuelle ; il se traduit par une hausse significative de la consommation électrique des réseaux et serveurs informatiques :
Ainsi, selon une étude21publiée en avril 2009 ; rien qu’en 2008, 62 milliards de messages indésirables ont consommé une quantité d’énergie (électricité) correspondant pour sa production à l’émission de 17 millions de tonnes de CO2, soit 0,2 % des émissions mondiales de gaz à effet de serre (GES) ou l'équivalent des émissions de GES de 3,1 millions de voitures en un an.
Un peu plus de la moitié (52 %) de cette énergie est consommé à l’ouverture et lors de la suppression du spam par l’utilisateur (18 millions de kWh/an) alors que la circulation de l'émetteur au récepteur n'a consommé « que » 2 % de toute l’électricité dépensée par le réseau Internet. La moyenne d'émission en CO2 d'un seul spam serait de 0,3 gramme de CO2 par spam. Chaque usager professionnel de l’internet a ainsi en 2008 émis indirectement 131 kg/an d’équivalent-CO221. Sur ces 131 kg, environ 29 kg (22 %) l'ont été à cause des spams ; c’est comme si chaque usager brûlait inutilement 3,3 gallons américains (12,5 litres) de fuel par an21. Pour prendre une autre comparaison, les 33 milliards de KWh ainsi gaspillés correspondent environ à l'équivalent de 4 gigawatts de production de base d'électricité ou à la puissance fournie par quatre grandes nouvelles centrales électriques au charbon 21.
Moyens de limiter cette consommation[modifier]
Ce sont principalement :
les filtres anti-spams (qui consomment aussi de l’énergie ; 5,5 milliards de kWh/an21 ; soit 16 % de l’énergie consommée par les spams, ce à quoi il faut ajouter 16 % correspondant à la gestion des « faux positifs »21) ;
le blocage des spams en amont. Par exemple, le 11 novembre 2008, aux États-Unis, un fournisseur d’accès a bloqué l’hébergeur californien McColo Inc (l’un des premiers pourvoyeurs de messages indésirables, l’autre étant le réseau de PC zombies Srizbi) ; le volume de spam mondial a chuté de 70 % le lendemain (équivalent, en émission de GES, de 2,2 millions de voitures en moins sur les routes), pour néanmoins ensuite remonter en deux mois au niveau antérieur21 ;
la législation. Exemple : un hacker américain a été condamné à quatre ans de prison pour avoir créé un réseau de PC zombies.
Aspects juridiques[modifier]
Dans l'Union européenne[modifier]
La directive du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données22 prévoit que les données à caractères personnel doivent être traitées loyalement et licitement, avec le consentement clair de la personne concernée. Ces données ne peuvent être collectées que pour des finalités déterminées et explicites.
La directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques précise l'interdiction d'envoi de messages commerciaux non sollicités en instaurant le principe dit de l'« opt-in » : un opérateur doit obtenir le consentement du destinataire avant de lui envoyer des messages commerciaux.
En France[modifier]
Le principe introduit par la directive européenne a été transposé en France par la loi du 21 juin 2004 pour la confiance dans l’économie numérique et figure désormais à l'article L.34-523 du code des postes et des communications électroniques, repris à l'article L.121-20-524 du code de la consommation :
« Est interdite la prospection directe au moyen d'un automate d'appel, d'un télécopieur ou d'un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d'une personne physique qui n'a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen.»
La Cnil indique qu'un formulaire doit demander le consentement d'une personne à l'envoi de messages commerciaux à son adresse ; la case correspondante ne doit pas être pré-cochée25. Même si le message est envoyé de manière légale, le courrier de prospection doit proposer au destinataire un moyen simple de refuser toute utilisation ultérieure de ses coordonnées.
La récupération des adresses électroniques (sur le web, sur des forums de discussion) de manière automatique est elle-même interdite. L'article 226-18-126 du code pénal, introduit par une loi du 6 août 2004, punit de cinq ans d'emprisonnement et de 300 000 euros d'amende un « traitement de données à caractère personnel concernant une personne physique malgré l'opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale ». Même pour des faits antérieurs à la loi du 6 août 2004, la cour de cassation avait déjà confirmé27 l'interdiction d'utiliser des robots collecteurs d'adresses électroniques en se basant sur l'article 226-1826 du code pénal, qui réprime « le fait de collecter des données par un moyen frauduleux, déloyal ou illicite, ou de procéder à un traitement d'informations nominatives malgré l'opposition de la personne ».
Aux États-Unis[modifier]
Les États-Unis ont développé une législation anti-spam au niveau d'un grand nombre d'États ainsi qu'au niveau fédéral (CAN-SPAM Act du 16 décembre 2003). Le mécanisme est celui de l'opt-out, c’est-à-dire que le destinataire de messages commerciaux doit avoir la possibilité de demander à ne plus recevoir ces messages, alors que le système européen, plus restrictif pour les auteurs de messages commerciaux, exige un consentement a priori du destinataire (opt-in).
Ouverture[modifier]
Techniquement, l'envoi de courriel en masse demande des ressources importantes. Les spammeurs n'en disposent pas forcément, et ils souhaitent en outre masquer ou effacer les traces de leur activité frauduleuse. Pour cela, ils attaquent très couramment des machines tierces, notamment pour les transformer en machines zombies. En France, il est donc fréquent que, du point de vue juridique, les expéditeurs de spam tombent également sous le coup des articles 323-1 et suivants du code pénal 28.