Echec des solutions anti-spam ordinaires Faux négatifs et faux positifs

L’une des raisons majeures de l’échec des solutions anti-spam ordinaires réside tout simplement dans leur taux d’erreur, admis mais inadmissible. Il suffit d’une seule erreur, même à l’état potentiel, pour que l’on ne puisse pas faire confiance au produit et qu’il faille continuer à vérifier de visu toutes les réceptions. Or, la très sérieuse revue PC Expert, en son numéro de mai 2005, page 123, déclare : « pas de parade totalement efficace » « mais habilement combinées, elles peuvent permettre de bloquer 90% des spams ». Remarquons que cet article n’aborde pas la technique anti-spam des Tests de Turing⁽¹⁾.

1. Faux négatifs
   Un seul spam passant au travers de la solution anti-spam peut compromettre toute la confidentialité ou la sécurité d’un système et oblige l’utilisateur à ne jamais se reposer sur sa solution anti-spam. Il peut s’agir de tracking et profiling⁽²⁾ commercial, de phishing⁽³⁾, de virus⁽⁴⁾, de l’implantation d’un backdoor⁽⁵⁾, de l’implantation d’un serveur SMPT mettant l’ordinateur au service d’un spammeur (zombie⁽⁶⁾), de l’implantation d’un client de calcul distribué⁽⁷⁾ mettant les ressources de la machine au service de réseaux crapuleux…
   
   Le Journal du Net, le 24 avril 2005 , publie une étude américaine sur les filtres anti-spam : 10 à 20% de dommages collatéraux ! «Revers de la médaille des filtres anti-spam, une partie des e-mails sollicités n’atteignent jamais leur destinataire. Une proportion moyenne évaluée à 22 % par Return Path.». Presque le quart des messages commerciaux légitimes (opt-in) seraient donc totalement perdus, essentiellement à cause des filtres anti-spams côté serveurs de messagerie.
   
   Le traitement anti-spam doit se faire côté client ! Ne pas le sous-traiter au serveur de messagerie !
   
   
2. Faux positifs
   Un seul faux positif (courrier légitime classé par erreur en spam) oblige l’utilisateur à ne jamais se reposer sur son anti-spam, à ne jamais détruire automatiquement ce qui est classé en spam et à lire sa boîte à spam pour en extraire son courrier légitime jeté ! Un devis, une commande qui passe à la trappe et c’est une sérieuse mise à mal de la solution anti-spam et par là, de la confiance dans le service informatique de l’entreprise.
   
   
3. Conclusions
   Si une technique génère un seul faux positif ou un seul faux négatif, l’utilisateur ne peut pas se reposer sur elle ! On peut observer sur le schéma suivant que chaque filtre génère ses propres faux positifs dont le paramétrage provoque généralement la destruction pure et simple, sans espoir de récupération. Quant-aux faux négatifs, ils pénètrent le système. Seule les solutions à base de test de Turing⁽¹⁾ seul, sans utilisation de couche filtrante, sont acceptables, sinon, on canstate 10 à 20% de dommages collatéraux⁽⁸⁾.
   
   
   

Architecture d'un antispam à filtres et règles

Ressources

⁽¹⁾ Tests de Turing
http://assiste.com/p/spam/spam_043_tests_de_turing.php


⁽²⁾ Tracking et Profiling
http://assiste.com/p/internet_attaques/profiler.php


⁽³⁾ Phishing
http://assiste.com/p/internet_attaques/phishing.php


⁽⁴⁾ Virus
http://assiste.com/p/internet_attaques/virus_definition.php


⁽⁵⁾ Backdoor
http://assiste.com/p/internet_attaques/backdoor.php


⁽⁶⁾ Zombie
http://assiste.com/p/internet_attaques/zombie.php


⁽⁷⁾ Client de calcul distribué
http://assiste.com/p/internet_attaquants/iosdt_exe.php


⁽⁸⁾ Les filtres anti-spam : 10 à 20 % de dommages collatéraux !
http://www.journaldunet.com/0504/050420spam.shtml

Rédigé en écoutant