Page d'accueil / Spams / A propos du Spam / Evolution du Spam
L'évolution du Spam
Les débuts
Le spam (publicité non sollicitée envoyée en masse via email) a fait son apparition pour la première fois au milieu des années 1990 i.e. dès que suffisamment de gens utilisaient l'email pour en faire un média rentable. Dès 1997, le spam fut considéré comme un problème et la Real-Time Black List (RBL) ou liste noire est apparue cette même année.
Les techniques des spammeurs ont évolué face à l'amélioration constante des filtres. Dès que les sociétés de sécurité développent des filtres efficaces, les spammeurs changent leurs tactiques pour les contourner. On tombe dans un cercle vicieux où les spammeurs ré-investissent leurs profits dans le développement de nouvelles techniques pour leurrer les filtres de spam. La situation a tourné en spirale infernale.
Le développement des techniques de spammeurs
Mailing direct
A l'origine, le spam était envoyé directement aux utilisateurs. En fait les spammeurs n'avaient même pas besoin de déguiser l'information concernant l'expéditeur. Ce spam était facile à bloquer : il suffisait de mettre sur liste noire l'expéditeur en question ou l'adresse IP utilisée. En guise de contre-attaque, les spammeurs ont commencé à masquer les adresses d'expéditeurs (techniques du spoofing par exemple).
Serveur Relais Ouvert (Open Relay)
Au milieu des années 90, tous les serveurs de messagerie était en relais ouvert – tout expéditeur pouvait envoyer un email à n'importe quel destinataire. Les spams et autres problèmes liés à la sécurité ont conduit les administrateurs à reconfigurer les serveurs de messagerie dans le monde entier. Mais le processus s'est avéré relativement long et tous les propriétaires de serveurs de messagerie et administrateurs n'étaient pas tous prêts à coopérer. Une fois la procédure engagée, les spécialistes de la sécurité ont scanné les réseaux à la recherche de serveurs relais ouvert restants. Les listes noires ont été mises à la disposition, des administrateurs soucieux de bloquer le mail en provenance de serveurs listés. Par ailleurs, les serveurs relais ouverts sont encore de nos jours utilisés pour le mailing de masse .
Pool de Modem
Sitôt que l'envoi de spams par relais ouvert est devenu moins efficace, les spammeurs s'en sont remis aux connections dial-up. Ils exploitaient la façon dont les fournisseurs d'accès à Internet (ISP) structuraient leurs services dial-up et utilisaient les faiblesses du système :
Par définition, un serveur de messagerie ISP fait suivre les messages entrants en provenance de clients.
Les connections dial-up sont supportées par des adresses IP dynamiques. Les spammeurs peuvent alors utiliser une nouvelle adresse IP pour chaque session de mailing.
Pour contrer les combines des spammeurs, les fournisseurs ISP ont commencé à limiter le nombre d'emails qu'un utilisateur peut envoyer lors d'une session. Des listes d'adresses dial-up suspectes, et des filtres bloquants les mails en provenance de ces adresses ont commencé à fleurir sur le Net.
Serveurs Proxy
Le nouveau millénaire a vu les spammeurs passer aux connections Internet haut débit et exploiter les vulnérabilités du hardware. Les connections câble et ADSL ont permis aux spammeurs d'envoyer du mailing de masse rapidement et à moindre frais. En plus de cela, ces troubleurs de fête ont rapidement découverts que la plupart des modems ADSL avaient des serveurs socks intégrés ou des serveurs proxy http. Ces derniers sont de simples utilitaires qui divisent un canal Internet entre des ordinateurs multiples. Le facteur principal est que n'importe qui, de n'importe où dans le monde, pouvaient avoir accès à ces serveurs puisqu'ils étaient démunis de toute protection. En d'autres termes, les rusés pouvaient utiliser les connections ADSL de personnes tierces pour faire ce qu'ils voulaient, y compris bien sûr envoyer du spam. De plus, le spam semblait avoir été envoyé depuis l'adresse IP de la victime. Etant donné que des millions de personnes dans le monde avaient ce type de connections, les spammeurs ont pu s'en donner à coeur joie avant que les développeurs de hardware commencent à sécuriser leur équipement.
Zombie ou réseaux de Bot
En 2003 et 2004, les spammeurs ont envoyé la majorité de leur mailing depuis des machines appartenant à des internautes ignorants et par conséquent à leur insu. Les spammeurs utilisent le malware pour installer des Trojans sur des machines d'utilisateurs, les laissant ouverts pour tout usage à distance. Les méthodes déployées pour infiltrer les machines victimes comprennent :
Trojan droppers et downloaders injectés dans des logiciels pirates distribués via réseaux P2P de partage de fichiers (Kazaa, eDonkey etc.).
Exploitation de vulnérabilités dans Windows Microsoft et dans les applications fortement utilisées à savoir IE & Outlook.
Les vers de messagerie
Celui qui possède le module de contrôle du Trojan qui a infecté une machine, contrôle la machine ou le réseau des machines victimes. Le réseau infecté s'appelle alors réseau de bot et ces derniers sont vendus et commercialisés auprès des spammeurs.
Les analystes estiment que les Trojans sont installés sur des millions de machines dans le monde. Les Trojans modernes sont assez sophistiqués pour télécharger leurs propres nouvelles versions, ainsi que pour exécuter des commandes depuis des sites spécifiques ou des canaux IRC (Internet Relay Chat), envoyer du spam, mener des attaques de DDos et plus encore.
Le contenu du spam
Analyse du contenu
Nombreux sont les filtres anti-spams qui analysent le contenu du message: le sujet et le corps du message ainsi que les fichiers attachés. Les spammeurs d'aujourd'hui dépensent beaucoup sur le développement du contenu qui arrivera à duper les filtres.
Texte simple et HTML