 |
|
 |
|
|
|
Spam direct
|
|
Spam viral
|
|
En vérité je vous le dit :
"Que vous soyez riche ou pauvre, bien portant ou malade
au spam vous avez droit"
|
Le spam, qu'est ce que c'est ?
Spam : envoi non sollicité de courrier électronique non sollicité, généralement publicitaire, mais aussi pour diffuser un virus, une idée ou idéologie etc. ...
C'est l'une des pires plaies du Net, de celles qui risquent de faire basculer notre navigation du gratuit vers le payant. L'e-marketing direct est indispensable à l'économie mais le squatte de nos boîtes par quelques gangs maffieux et le matraquage par quelques crétins pour quelques crétineries vont avoir raison de ce monde communiquant quasi gratuit que nous nous construisons paisiblement depuis des années. La convergence entre le monde de l'e-marketing maffieux et le monde viral accentue l'allergie au spam. Même les annonceurs "légitimes" pâtissent désormais d'un phénomène de rejet viscéral pour toute promotion utilisant cette voie de communication. Le spam rejoint et dépasse l'allergie aux pop-ups. spam :
Les intervenants du spam
- L'annonceur publicitaire "propre"
- L'annonceur publicitaire "maffieux"
- Le gros spammeur
- Le petit spammeur
- Le créateur de virus
- Les sociétés avec serveurs de messagerie ouverts
- Les plateformes off-shore sous-traitant l'envoi de spam
- Les proxy anonymes
- L'internaute moyen et son PC transformé en zombie serveur de spam et de virus
La propagation du spam
Le poids économique du spam
Moyens de constitution de fichiers d'adresses.
Le spam commence par la nécessité de trouver des adresses e-mail. Comment font-ils pour avoir mon adresse ? Généralement par vol, pillage, tromperie, détournement... mais aussi par l'incroyable inconsistance et inconscience d'internautes proches de nous.
Moyens d'être spammé massivement.
Cela peut sembler fou à un particulier mais un administrateur d'un serveur de messagerie peut avoir besoin d'analyser des spams pour savoir quelles sont les méthodes employées pour passer à travers les filtres et pour tester ses propres mises en oeuvre anti-spam. Voici comment avoir quelques adresses bien exposées.
Moyens de contournement des filtres anti-spam classiques.
Malgré tous nos efforts, notre vigilance et l'argent dépensé, les spam passent au travers des utilitaires classiques anti-spam. Comment font-ils ? Quelles contre-mesures les spammeurs emploient pour lutter contre nos propres contre-mesures ?
Des spams d'attaque
Autres informations à connaitre
Etes-vous complice des spammeurs.
Anti-Spam de demain
De nouvelles voies sont explorées dans la lutte contre le spam. Encore à l'état de projet pour certaines, en phase d'évaluation pour d'autres ou bénéficiant déjà d'un aboutissement avancé. Globalement toutes ces techniques relèvent de lutes de pouvoir entre leurs promoteurs pour imposer une solution au détriments des autres. Globalement aussi, tant que le protocole SMTP pour l'envoi de messages n'est pas remplacé à 100% par un nouveau protocole complètement incompatible avec le précédant, interdisant le spoofing, aucune solution n'est viable. Certaines solutions avancées sont de pures utopies ou de joyeuses imbécilités et on se demande s'il ne s'agit pas de noyer le poisson et donner à manger à la presse informatique tandis que d'autres travaux sont élaborés dans le secret des laboratoires.
Anti-spam d'aujourd'hui
L'internaute attaque
- mesures de rétortion
- Des mesures de rétortion par action technique
- Des mesures de rétortion par inversion du transfert de charges
Actuellement, la charge financière du spam est supportée par le destinataire du spam (outil anti-spam, temps perdu, moyens matériels de transport et stockage répercutés dans le prix de la connexion Internet. ...). Le coût d'une campagne publicitaire sur papier autorégule ce type de publicité mais la publicité par e-mail ne coûte strictement rien à l'éméteur. C'est exactement comme si, pour chaque tract ou catalogue déposé dans votre boite aux lettres, on vous demandait de l'argent !
- Le filtre anti-spam passe à l'attaque
- Punir le bénéficiaire
Outils
Le spam est assez mal perçu (le mot est faible) et assez agaçant (là aussi, je reste très réservé par rapport à la pluie de noms d'oiseaux que chacun vomit sur son ordinateur qui n'en peut mais). Le nombre et le volume de ce courrier indésirable peut être tel qu'il vous en coûtera cher, en terme de facture de téléphone, simplement pour prendre le temps de le rapatrier depuis votre boîte aux lettres, bien avant de le lire et de le fiche rageusement à la poubelle, en priant pour que son ouverture afin de le lire n'ai pas déclanché un vers ou un virus mortel pour votre ordinateur et ses données ou pour qu'il n'ait pas eu le temps (de l'ordre d'un millième de seconde) d'installer un spyware, un backdoor, un downloader ou un keylogger etc. ...).
Les adresses e-mail ainsi visées, dont la / les votre(s) sont récupérées de manière brutale par divers robots et autres utilitaires capables de balayer les sites Internet, les forums de discussion etc. ... et divers moyens d'espionnage et de profilage qui permettent de constituer des fichiers de "cibles qualifiées", fichiers ensuite loués à des sociétés commerciales qui vont utiliser des outils de mailing de masse. Les sites pornographiques s'en sont fait une spécialité. Il est assez facile à n'importe qui, y compris aux script-kiddies, de se constituer gratuitement un fichier d'adresses.
Attention - Danger
Mis à part le temps et l'argent perdu à rapatrier, trier, lire, détruire ce courrier dont on n'a rien à faire, qu'est-ce qui est dangereux ?
Les courriers en format "texte simple" (bête écriture noire sur fond blanc, sans aucune mise en page) et sans pièce jointe, ne représentent en principe, à ce jour, aucun danger.
Si vous avez besoin d'envoyer ou de recevoir un document en pièce jointe dans un format amélioré, utilisez le format .rtf (Rich Text Format) et dites à vos interlocuteurs d'en faire autant. Ce format est sain et sûr.
Les documents en pièces jointes "améliorés" (au format Word par exemple ou au format de tout autre traitement de texte avancé) sont susceptibles de contenir des macros commandes piégées car les macro commandes (les macros) utilisent un langage de programmation peu sûr et comportant des failles.
Ne prenez pas le risque d'être le pourvoyeur d'un piège : paramétrez votre antivirus pour qu'il nettoie aussi les courriers que vous émettez, et pas seulement ceux que vous recevez.
Dans tous vos logiciels capables d'exécuter des macros commandes (tous les modules des suites bureautiques comme Word, Excel, PowerPoint, Acces, WordPro, 123, Freelance, etc. ...) activez la détection de macros hostiles ou d'antivirus macros. Cette détection est incorporée dans toutes les versions récentes de ces logiciels - par exemple, dans Excel 2000, allez sur outils > macros > sécurité > niveau de sécurité > et choisissez au moins le niveau de sécurité ".moyen".
N'exécutez jamais une pièce jointe, programme, document, feuille de calcul, photo, image, son, vidéo... ne l'ouvrez jamais sans l'avoir vérifié et certifié au travers d'un très bon antivirus à jour (moins de 24 heures de mise à jour) et au travers d'un anti-trojan également à jour de moins de 24 heures. En environnement professionnel, tous les fichiers, que quelque nature à risque qu'ils soient, doivent avoir été avalisés et certifiés par le noyau sécurité du service informatique.
Tous les courriers reçus mais inattendus doivent être considérés, a priori, comme suspects et piégés, même s'ils viennent d'une personne connue.
D'autre part le simple bon sens doit vous faire repérer facilement les courriers à mettre à la poubelle immédiatement et, surtout, sans les ouvrir. Tout courrier vous envoyant un antivirus est un piège. Pourquoi voulez-vous que quelqu'un que vous ne connaissez ni des lèvres ni des dents vienne vous aider !?! Ne l'ouvrez pas, ne le faite pas suivre, n'alertez personne. Si un nouveau virus est découvert, ce n'est pas vers vous que le découvreur se tourne mais vers son / les éditeurs d'antivirus et mêmes eux ne perdent pas leur temps à vous écrire, il mettent au point l'antivirus et l'injecte dans leur base de signature. Un antivirus professionnel ou de bonne facture va chercher les mises à jour automatiquement et très régulièrement - Norton/Symantec, par exemple, toutes les 4 heures. Même chose pour tout courrier "Important" ou "A lire immédiatement" ou "Confidentiel" ou "Réponse comme demandée" etc. ... direct poubelle.
Toutes les pièces jointes à extensions multiples sont des pièges, virus, trojan, backdoor, spyware, vers etc. ... Détruire sans état d'âme.
La totalité des formats de fichiers média (images, sons, vidéo etc. ...) peuvent être utilisés pour camoufler des pièges exécutables qui peuvent en être extrait par un autre programme banal que vous avez laissé passer, tel les économiseurs d'écran, utilitaires d'écrans de veille etc. ... Le code binaire d'un programme et le code binaire d'une image compressée ou d'un son ou d'une vidéo etc. ... sont très ressembant.
Pour tous les formats et toutes les pièces jointes, il est difficile de faire le distingo entre un e-mail de promotion "sain" (qu'il soit demandé et attendu ou en provenance d'un spameur "sain") et un e-mail piégé, les pièges étant les virus, les vers ou du code permettant l'espionnage ou une action malveillante. Vous devez vous méfier, bien entendu, de toutes les pièces jointes dont l'extension (la fin du nom) est .exe (programme exécutable). Même un correspondant connu et certain peut, par inadvertance, vous faire tomber dans un piège. Avant d'ouvrir la moindre pièce jointe, scannez la au minimum avec votre antivirus et votre anti-trojan. Les pièces en .vbs (Visual Basic Script) sont également une forme de programme et doivent être traitées avec la même prudence. Les pièces en .js (Java Script) également. Les pièces en .doc (Word) et .xls (Excel) peuvent contenir des macros piégées etc. ... Au moins, les pièces jointes des types suivants doivent être certifiées ou détruites ou mises en quarantaine.
| Extensions suspectes (types de fichiers pouvant être piégés) |
| .386 |
.avb |
.class |
.drv |
.hta |
.lnk |
.mpt |
.ocx |
.prc |
.shb |
.tt6 |
.wbk |
.xls |
| .ace |
.ax |
.cmd |
.dvb |
.htlp |
.mch |
.msc |
.oft |
.prf |
.shs |
.url |
.wbt |
.xlt |
| .acm |
.bas |
.cnv |
.dwg |
.htm |
.mda |
.msg |
.ov? |
.pwz |
.shtml |
.vb |
.wIz |
.xml |
| .acv |
.bat |
.com |
.email |
.html |
.mdb |
.msi |
.ovl |
.qpw |
.shw |
.vbe |
.wk? |
.zip |
| .ade |
.bin |
.cpl |
.eml |
.htt |
.mde |
.mso |
.ovr |
.rar |
.smm |
.vbs |
.wml |
|
| .adp |
.boo |
.cpt |
.exe |
.inf |
.mdz |
.msp |
.pcd |
.reg |
.sys |
.vbx |
.wms |
|
| .adt |
.btm |
.crt |
.fon |
.ini |
.mht |
.mst |
.pcI |
.rtf |
.tar |
.vom |
.wpc |
|
| .app |
.cab |
.csc |
.gms |
.ins |
.mhtm |
.nws |
.pgm |
.sbf |
.td0 |
.vs? |
.wpd |
|
| .arc |
.cbt |
.css |
.gvb |
.isp |
.mhtml |
.obd |
.pif |
.scf |
.tgz |
.vwp |
.wsc |
|
| .arj |
.cdr |
.dll |
.gz |
.js |
.mp3 |
.obj |
.pl |
.scr |
.tlb |
.vxd |
.wsf |
|
| .asd |
.chm |
.doc |
.hlp |
.jse |
.mpd |
.obt |
.pot |
.sct |
.tsk |
.vxd |
.wsh |
|
| .asp |
.cla |
.dot |
.hta |
.lib |
.mpp |
.obz |
.ppt |
.sh |
.tsp |
.vxe |
.ww? |
|
| |
|
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
Nous n'allons pas donner plus de détail afin de ne pas attiser la curiosité malsaine des script-kiddies mais le simple fait qu'une image dans un courrier ne soit pas stockée dans le courrier même mais sur un site éloigné transforme cette image en un Web-Bug et permet de vous tracer. Vous devez rapatrier votre courrier, couper la connexion et ne commencer à ouvrir votre courrier qu'une fois la connexion coupée - tout ce qui n'apparaît pas à ce moment là peut être un traceur. Lorsque vous vous abonnez à une lettre de diffusion qui vous donne le choix de la recevoir en format "texte seul" ou en format "html", choisissez toujours le format "texte seul".
Dans les autres formats, toujours connexion coupée, vous devez refuser, au niveau des paramètres de votre outil de messagerie, toute forme de script (Java, JavaScript, ActiveX, VBScript...) pour ne permettre que du html pur.
Le mail bombing est une opération différente qui consiste à saturer la boite d'un internaute par l'envoi massif de courier à cette adresse.
Le poids économique du spam
Poids économique à la réception
http://news.com.com/2100-1023-979108.html (en anglais)
Poids économique à l'envoi
http://www.eprivacygroup.com/article/articlestatic/58/1/6
Contre-mesure
Voir anti-spam.
Question en suspens
Codages que je ne m'explique pas (pour l'instant)
Si on éliminait les MAELER DAEMON et toutes les réponses automatiques des antivirus, anti-spams etc. ... il y aurait d'un seul coup beaucoup moins de prolifération virale et de spam.
|
 |
|
