Le Spam ne coûte rien à l'émetteur.

• La lettre d'Assiste.com à laquelle beaucoup d'entre-vous êtes abonnés, ne me coûte rien en frais d'envoi : un peu de temps passé à maintenir la liste des abonnés à jour et rédiger le texte de la lettre. L'envoi est pris en charge par un outil gratuit et il n'y a aucun frais d'envoi. Que je vous expédie ou non cette lettre, je paye mon abonnement de la même manière. Une étude du ePrivacy Group de début 2003 propose une estimation de l'ordre de 100 $ (100 €, 655 Frs !) par million de message [1]. Depuis ma machine, avec un outil gratuit, je peux envoyer plusieurs milliers de correspondances à l'heure.
  
  Voici la publicité d'un spammeur avec ses tarifs (juillet 2006)
  
  
  
  

• S'il me fallait envoyer cette lettre gratuite par la poste, son coût serait monstrueux (papier, impression, enveloppe, temps de mise sous enveloppe, étiquettes, impression des étiquettes, étiquetage des enveloppes, affranchissement des enveloppes, dépôt au bureau de poste...).
  
  

Le prix de la cybercriminalité : Dans un communiqué de presse de début décembre 2007, G DATA, éditeur de logiciels de sécurité informatique, produit une étude sur l'industrie lucrative du spam. Ce commerce est organisé. L'objectif est de séduire et de recruter un maximum de spammers avec des offres personnalisées, des offres d'essai, des tarifs avantageux...  Un marché organisé G DATA a analysé la structure de l'industrie du cyber crime et ses acteurs. Les résultats sont édifiants. On connaissait déjà les attaques DDoS (qui rendent une application informatique incapable de répondre aux requêtes des utilisateurs) ou encore les millions de spams payés à la commission pour une centaine d'euros. Mais maintenant, les cyber-criminels sont organisés en réseaux et proposent une large gamme de « services ». Les « discounter » du spam Ralf Benzmüller, le directeur du laboratoire de sécurité de G DATA, précise qu'aujourd'hui les cyber-criminels sont comme des épiciers. Ils proposent un large choix de prestations pour recruter un maximum de cyber-criminels. Vous pouvez acquérir un outil d'envoi d'e-mails et 5 millions d'adresses e-mails pour 140 euros ou encore 20 millions d'adresses emails à spammer pour seulement 350 euros. Certains fournisseurs vont même jusqu'à offrir les 10 premières minutes de leurs prestations pour convaincre leurs acheteurs. Après, il faut débourser en moyenne 20 US$ par heure ou 100 US$ par jour. G DATA s'est aussi penché sur les jeux en ligne. Un compte au jeu WoW (World Of Warcraft) se vend 6 euros alors que les informations liées aux cartes de crédit se vendent en moyenne à 3 euros ! Vente de failles et chevaux de Troie L'activité la plus lucrative concerne les failles de sécurité et certains chevaux de Troie. En effet, une faille de sécurité peut se vendre 35 000 euros. Et il n'est pas rare d'empocher plusieurs dizaines de milliers d'euros pour un Cheval de Troie. On peut aussi trouver des failles de sécurité dans Windows et Linux pour seulement 500 euros sur le site d'enchères WabiSabiLabi qui se justifie en expliquant que les chercheurs en sécurité se font souvent claquer la porte au nez par les éditeurs de logiciels lorsqu'ils annoncent avoir trouvé une faille dans un de leurs logiciels (ou comment être un WhiteHat tout en en tirant les revenus d'un BlackHat.) WabiSabiLabi prétend ainsi peser sur les éditeurs qui peuvent "racheter" leur faille avant qu'un exploit zero-day ne soit lancé - un papier sur WabiSabiLabi et leur page de mise aux enchères de failles). Une faille "Zero-day" dans Vista a été mise en vente 50.000 US$ selon Trend Micro. Le prix moyen de vente d'informations sur de la découverte d'un faille de sécurité non patchée (à exploiter) se situe entre 20.000 US$ et 30.000 US$ selon la popularité du logiciel et la fiabilité du code de l'attaque. Un zombiificateur et son cheval de Troie sont couremment vendus 5.000 US$ selon Gene Raimund (Trend Micro). Un trojan sur mesure capable de voler des informations sur des comptes en ligne se trouve entre 1.000 et 5.000 US$. Un outil de construction d'un BotNet se trouve entre 5.000 US$ et 20.000 US$. En décembre 2005, Kaspersky découvre que l'exploit permettant l'attaque WMF (Windows Metafile) était proposé par un groupe de Hacker Russe pour 4.000 US$. Ces ventes d'exploits se faisant des milliers de fois pour chaque exploit, Gene Raimund (directeur des technologies chez Trend Micro) est aller jusqu'à dire que "Le marché du malware fait plus d'argent que le marché des anti-malwares". Numéros de cartes de crédit Les numéros de carte de crédit valides avec codes secrets sont vendus pour 500 US$ chacun, tandis que les données de facturation qui incluent un numéro de compte, adresse, numéro de sécurité sociale, adresse du domicile et la date de naissance peuvent être trouvées entre 80 US$ et 300 US$. Location de BotNet Le quotidien russe « Vedomosti » publiait le 10 juin 2005 un courrier électronique reçu d'un informaticien louant ses "services de blocage de systèmes d'information", via une attaque DDoS. Il affichait ses tarifs selon le nombre d'heures de blocage espéré et la taille du site à faire tomber : une journée pour un site "normal" = 150 US$, 1000 US$ pour le site du Kremlin durant une semaine, 80 000 US$ pour celui de Microsoft, etc. … Ce gars là est donc "propriétaire" d'un BotNet et a zombiifié quelques milliers à millions de machines. Achat / Vente de BotNet Le prix d'achat comptant d'un botnet moyen dans sa totalité s'inscrit dans une fourchette de 5.000 US$ à 7.400 US$, selon (mai 2007). Le SANS Internet Storm Center a reçu un rapport indiquant que les prix d'achat sur les botnets ont baissé récemment, grâce en partie à des groupes de Russie prêts à les vendre pour aussi peu que 25 cents par zombi. (Lenny Zeltser)

Le spam rapporte à l'émetteur.
Sur une opération commerciale, par exemple vente de patchs fictifs pour maigrir à 50 € la boite, dont le prix de revient est proche du zéro, il suffit de 2 ventes pour totalement amortir le coût de l'envoi. Un taux de retour ridiculement bas (0.001% est régulièrement avancé) suffit à leur faire engranger des bénéfices colossaux ! Il y a suffisamment de crétins primaires et de débiles profonds (les traiter de naïfs serait une courtoisie) pour assurer la fortune de ces gangs maffieux à coups d'élargisseurs de pénis (histoire de perdre définitivement l'usage de son organe) et de Viagra pour maintenir 24 heures d'érection (faut-il qu'elle soit moche et qu'ils n'en aient aucune envie !).

Le spam coûte au destinataire
Celui qui reçoit du Spam passe un temps fou à le trier et à effacer ces pourriels. Le cabinet Ferris Research à publié une étude estimant le coût du Spam à 8,9 milliards de dollars de perte pour les entreprises US en 2002 et à 10 milliards de dollars en 2003 [3]. En Europe la perte en 2002 serait de 2.5 milliards de $ pour les entreprises! [3]. Les ISP (FAI) US et européen perdraient 500 millions de dollars par an rien qu'en gaspillage de bande passante.

Les faux positif
Les outils anti-spam se vantent d’atteindre des taux record de réussite tournant entre 95 à 98% de détection sans erreur. Il faut donc comprendre qu'il y a, dans les correspondances déclarées Spam, 2 à 5% de correspondances légitimes perdues et, dans les correspondances déclarées légitimes, 2 à 5% de spam (voir, par exemple, le livre blanc des filtres bayésiens). Le but ultime de 100% de discrimination sans erreur dans les 2 classes d'objets n'est probablement pas atteignable (sauf par des solutions comme MailInBlack). Il y a donc toujours un reliquat inexpugnable d'erreurs (faux positifs) qui fait que l'on ne peut jamais détruire automatiquement le courrier classé Spam par un outil anti-spam, au risque de détruire des correspondances légitimes. En entreprise, la destruction automatique de correspondances prétendues « spam » peut conduire à des catastrophes (destruction d’offres de fournisseurs, d’appel d’offres de prospects, de devis, de commandes clients, de contrats etc. …). Le faux positif est une hantise qui oblige au traitement manuel des spams pour ne pas risquer de passer à côté de quelque chose d’important d’où un coût, en main d'œuvre, temps, outils etc. … considérable (certaines estimations sont établies à 1.000 US$ par an et par employé !).

Le spam coûte très cher à l'entreprise destinatrice
Le coût du spam est estimé entre 600 et 1000 US dollars par an et par salarié !

• temps perdu par les employés et payé par l'employeur
• mobilisations des infrastructures
• bande passante
• surfaces disques
• cycles processeur
• boîtes saturées risquant de faire perdre des contrats commerciaux
• faux positifs (perte catastrophiques de correspondances légitimes classées à tord "Spam" par l'outil anti-spam) [2]
• achat d'outils anti-spam, paramétrage, formation, maintenance
• etc. ...
• Il faudrait aussi tenir compte des Spam ouverts et qui
  • compromettent la sécurité.
  • créent une diversion faisant perdre encore plus de temps
  • perte de productivité
  • etc. ...

Ressources

[1] Etude du ePrivacy Group - Poids économique à l'envoi
http://www.eprivacygroup.com/article/articlestatic/58/1/6

[2] Coût des Spam "Faux Positifs"
Coût des spam ("false positives" OR "faux positifs") - recherche Google
http://72.14.221.104/search?hl=fr&q=Co%C3%BBt+des+Spam+%28%22
False+Positives%22+OR+%22faux+positifs%22%29&btnG=Rechercher&lr=lang_fr

[3] Estimation du coût du Spam en 2003 par Ferris Research - Poids économique à la réception
http://www.ferris.com/offer/spam.html
http://www.ferris.com/pub/Upcoming20030201.html
http://news.com.com/2100-1023-979108.html - (en anglais)

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com