Spam – de quoi s'agit il exactement ?

***


Spam – de quoi s'agit il exactement ?

Afin de combattre le spam efficacement, il est nécessaire d”en donner une definition précise.

La plupart des gens pensent que le spam est un email indésirable. La définition n'est pas tout à fait correcte et provoque la confusion entre la correspondance d'affaires légitime et le vrai spam.

Le spam est un email anonyme, indésirable et envoyé en masse

C'est la description basique utilisée à l'heure actuelle aux Etats-Unis et en Europe pour instaurer une législation anti-spam. Examinons de plus près les termes de cette définition :

Anonyme: le vrai spam est envoyé sous des adresses volées à l'insu d'utilisateurs tiers pour masquer le véritable expéditeur.
Mailing de Masse: le vrai spam est envoyé en très grand quantité. Les spammeurs font de l'argent grâce au petit pourcentage de réponses. Pour que le spam soit rentable, le mail initial doit être envoyé en masse.
Indésirable: les listes de mailing, newsletters et autres matériels publicitaires auxquels les internautes ont souscrits, peuvent ressembler à des spams mais sont en fait des emails légitimes. En d'autres termes, un mail peut être considéré comme spam ou comme mail légitime selon que l'utilisateur ait choisi de le recevoir ou non.

Remarquez bien que le mot publicité n'est pas employé pour définir le spam. De nombreux spams ne sont pas de la publicité. En plus de vanter des produits et des services, le spam peut appartenir aux catégories suivantes :

Messages politiques
Appels à la charité
Arnaques financières
Chaînes de courriels
Faux spam destiné à distribuer des logiciels malveillants

Messages non sollicités mais légitimes

Une proposition commerciale légitime, une oeuvre de bienfaisance, une invitation adressée personnellement à un destinataire ou une newsletter, peuvent être définis comme email non sollicité mais pas comme un spam. Les messages légitimes peuvent être des messages dont la livraison a été interrompue, des messages dont l'expéditeur s'est trompé d'adresse, des messages en provenance des administrateurs systèmes ou bien d'anciens amis qui n'avaient encore jamais correspondu par emails. Ces messages sont effectivement non sollicités, mais pas forcément indésirables.
Comment réagir face au spam

Etant donné que la correspondance non sollicitée peut interésser le destinataire, une solution antispam de qualité doit être capable de faire la différence entre un vrai spam (indésirable, envoi de masse) et la correspondance non sollicitée. Ce genre d'email doit être considéré comme « spam possible » afin qu'il puisse être vérifié ou supprimé à la guise du destinataire.

Les entreprises devraient opter pour une politique du spam, avec des administrateurs systèmes évaluant les besoins des différents services de l'entreprise. Un accès aux différents fichiers de mails non sollicités devrait être donné à différents groupes d'utilisateurs. Par exemple, un chargé de voyages a sûrement besoin de lire les offres de voyage, alors que le département des ressources humaines souhaitera recevoir les invitations diverses à des séminaires et des sessions de stages.

Page d'accueil / Spams / A propos du Spam / Evolution du Spam
L'évolution du Spam
Les débuts

Le spam (publicité non sollicitée envoyée en masse via email) a fait son apparition pour la première fois au milieu des années 1990 i.e. dès que suffisamment de gens utilisaient l'email pour en faire un média rentable. Dès 1997, le spam fut considéré comme un problème et la Real-Time Black List (RBL) ou liste noire est apparue cette même année.

Les techniques des spammeurs ont évolué face à l'amélioration constante des filtres. Dès que les sociétés de sécurité développent des filtres efficaces, les spammeurs changent leurs tactiques pour les contourner. On tombe dans un cercle vicieux où les spammeurs ré-investissent leurs profits dans le développement de nouvelles techniques pour leurrer les filtres de spam. La situation a tourné en spirale infernale.
Le développement des techniques de spammeurs
Mailing direct

A l'origine, le spam était envoyé directement aux utilisateurs. En fait les spammeurs n'avaient même pas besoin de déguiser l'information concernant l'expéditeur. Ce spam était facile à bloquer : il suffisait de mettre sur liste noire l'expéditeur en question ou l'adresse IP utilisée. En guise de contre-attaque, les spammeurs ont commencé à masquer les adresses d'expéditeurs (techniques du spoofing par exemple).
Serveur Relais Ouvert (Open Relay)

Au milieu des années 90, tous les serveurs de messagerie était en relais ouvert – tout expéditeur pouvait envoyer un email à n'importe quel destinataire. Les spams et autres problèmes liés à la sécurité ont conduit les administrateurs à reconfigurer les serveurs de messagerie dans le monde entier. Mais le processus s'est avéré relativement long et tous les propriétaires de serveurs de messagerie et administrateurs n'étaient pas tous prêts à coopérer. Une fois la procédure engagée, les spécialistes de la sécurité ont scanné les réseaux à la recherche de serveurs relais ouvert restants. Les listes noires ont été mises à la disposition, des administrateurs soucieux de bloquer le mail en provenance de serveurs listés. Par ailleurs, les serveurs relais ouverts sont encore de nos jours utilisés pour le mailing de masse .
Pool de Modem

Sitôt que l'envoi de spams par relais ouvert est devenu moins efficace, les spammeurs s'en sont remis aux connections dial-up. Ils exploitaient la façon dont les fournisseurs d'accès à Internet (ISP) structuraient leurs services dial-up et utilisaient les faiblesses du système :

Par définition, un serveur de messagerie ISP fait suivre les messages entrants en provenance de clients.
Les connections dial-up sont supportées par des adresses IP dynamiques. Les spammeurs peuvent alors utiliser une nouvelle adresse IP pour chaque session de mailing.

Pour contrer les combines des spammeurs, les fournisseurs ISP ont commencé à limiter le nombre d'emails qu'un utilisateur peut envoyer lors d'une session. Des listes d'adresses dial-up suspectes, et des filtres bloquants les mails en provenance de ces adresses ont commencé à fleurir sur le Net.
Serveurs Proxy

Le nouveau millénaire a vu les spammeurs passer aux connections Internet haut débit et exploiter les vulnérabilités du hardware. Les connections câble et ADSL ont permis aux spammeurs d'envoyer du mailing de masse rapidement et à moindre frais. En plus de cela, ces troubleurs de fête ont rapidement découverts que la plupart des modems ADSL avaient des serveurs socks intégrés ou des serveurs proxy http. Ces derniers sont de simples utilitaires qui divisent un canal Internet entre des ordinateurs multiples. Le facteur principal est que n'importe qui, de n'importe où dans le monde, pouvaient avoir accès à ces serveurs puisqu'ils étaient démunis de toute protection. En d'autres termes, les rusés pouvaient utiliser les connections ADSL de personnes tierces pour faire ce qu'ils voulaient, y compris bien sûr envoyer du spam. De plus, le spam semblait avoir été envoyé depuis l'adresse IP de la victime. Etant donné que des millions de personnes dans le monde avaient ce type de connections, les spammeurs ont pu s'en donner à coeur joie avant que les développeurs de hardware commencent à sécuriser leur équipement.
Zombie ou réseaux de Bot

En 2003 et 2004, les spammeurs ont envoyé la majorité de leur mailing depuis des machines appartenant à des internautes ignorants et par conséquent à leur insu. Les spammeurs utilisent le malware pour installer des Trojans sur des machines d'utilisateurs, les laissant ouverts pour tout usage à distance. Les méthodes déployées pour infiltrer les machines victimes comprennent :

Trojan droppers et downloaders injectés dans des logiciels pirates distribués via réseaux P2P de partage de fichiers (Kazaa, eDonkey etc.).
Exploitation de vulnérabilités dans Windows Microsoft et dans les applications fortement utilisées à savoir IE & Outlook.
Les vers de messagerie

Celui qui possède le module de contrôle du Trojan qui a infecté une machine, contrôle la machine ou le réseau des machines victimes. Le réseau infecté s'appelle alors réseau de bot et ces derniers sont vendus et commercialisés auprès des spammeurs.

Les analystes estiment que les Trojans sont installés sur des millions de machines dans le monde. Les Trojans modernes sont assez sophistiqués pour télécharger leurs propres nouvelles versions, ainsi que pour exécuter des commandes depuis des sites spécifiques ou des canaux IRC (Internet Relay Chat), envoyer du spam, mener des attaques de DDos et plus encore.
Le contenu du spam
Analyse du contenu

Nombreux sont les filtres anti-spams qui analysent le contenu du message: le sujet et le corps du message ainsi que les fichiers attachés. Les spammeurs d'aujourd'hui dépensent beaucoup sur le développement du contenu qui arrivera à duper les filtres.
Texte simple et HTML