Eradiquer les spams

Les e-mails sont l'une des portes d'entrée des pirates informatiques pour attaquer les réseaux des entreprises. Face à la sophistication sans cesse grandissante des nouvelles générations de spams, les solutions classiques de sécurité ne suffisent plus.

Un vrai fléau. 93 % des courriers électroniques échangés sur la Toile sont des spams. Selon l'éditeur Surfcontrol, une entreprise de 1 000 salariés reçoit environ 5 000 spams par jour. Les conséquences ? Un réseau internet engorgé, des délais de connexion rallongés, des applications qui fonctionnent au ralenti. Sans compter le temps perdu par chaque collaborateur à faire le tri entre les « bons » messages et les spams qui ont passé les filtres. Pire, selon IBM Internet Security Systems, 1 spam sur 32 contient un virus ou un logiciel espion (spyware). Au total, selon des analystes américains, le coût du spam pour les entreprises s'élèverait à 168 dollars (125 euros) par boîte aux lettres par an. Alors, autant agir.

Repérer les nouvelles menaces

Déjouer l'ingéniosité des spammeurs est un exercice difficile car ils ne cessent d'améliorer leurs techniques. Depuis 2004 et la dernière grande vague de spams, leur nature ne cesse d'évoluer, forçant les éditeurs à une course contre la montre pour adapter la riposte. La grande nouveauté de 2006, généralisée en 2007 : les spams images. Le texte du message est directement intégré dans une image attachée au mail, rendant caducs les filtres se limitant à l'analyse textuelle des messages. Non seulement ils sont difficiles à repérer, mais en plus ils sont lourds (environ 30 Ko) et engorgent les boîtes aux lettres. Selon la même logique, des spams sont aussi cachés dans des fichiers PDF et, depuis cet été, dans des fichiers attachés de type tableur Excel (format XSL).

Derniers-nés : des mails invitant à consulter des vidéos piégées qui contiennent des programmes permettant au pirate de transformer votre ordinateur en PC zombie, susceptible à son tour de relayer des spams. Une nouvelle façon de contourner les listes noires de serveurs identifiés comme relais. Bref, tous les moyens sont bons pour les spammeurs. Et les filtres ont du mal à suivre. Pour preuve, la vague de « postcards » que nombre d'entre nous ont trouvé à leur retour de vacances.

Pour éviter le mécontentement des utilisateurs et l'engorgement de leur réseau, les directions informatiques doivent donc revoir leur copie. Car même les éditeurs reconnaissent que leur système n'est pas parfait. « Il n'existe pour l'instant aucune arme absolue, si ce n'est la vigilance de l'utilisateur final », prévient Thorsten Kaiser, responsable des ventes chez IBM Internet Security Systems. De son côté, l'éditeur danois Spam Fighter reconnaît filtrer seulement 90 % des mails indésirables. Charge aux internautes de signaler, en notant comme indésirables, les spams reçus pour alimenter les bases de données qui recensent les expéditeurs relais. Ainsi, ces derniers seront filtrés à la prochaine tentative. Sauf que les spammeurs détournent parfois le système en indiquant comme expéditeur soit l'internaute lui-même, soit des correspondants présents dans son carnet d'adresses. Un vrai casse-tête.

La lutte patine

La logique, retenue par la quasi-totalité des éditeurs de solutions de sécurité, qui consiste à filtrer des mails entrant pour trier le bon grain de l'ivraie, fait donc figure de fuite en avant. Alexandre Durante, éditeur de l'antivirus F-Secure, en arrive même à la conclusion que pour éradiquer le spam « il faudrait changer de protocole pour l'envoi du courrier électronique en utilisant des moyens d'authentification et de chiffrement ». Mais ce n'est pas à l'ordre du jour même si les grands acteurs de l'informatique, comme Cisco, Microsoft ou Yahoo ! planchent sur une technique de certification de la provenance des mails. Baptisée DomainKeys Identified Mail (DKIM), elle consisterait à appliquer aux messages une signature avec une clé publique et une clé privée pour identifier le serveur d'émission. Mais pour être efficace, il faudrait en faire un standard et s'assurer de son adoption par tous les acteurs.

En attendant, pour se protéger, l'entreprise à deux options. Soit améliorer le filtrage des mails entrants. Soit limiter la réception des mails à des expéditeurs autorisés.

Filtrer les mails entrants

Le filtrage des mails entrants est pour l'instant encore la solution la plus commune. Les logiciels ou boîtiers de sécurité s'installent en amont des serveurs de messagerie de l'entreprise. Ils bloquent les courriers indésirables en fonction de l'expéditeur, lorsqu'il est référencé comme expéditeur de spams dans des listes noires mises à jour par les éditeurs, et en repérant des mots clés (viagra par exemple) dans le corps du texte, les pièces attachées, ou encore les images. Les spécialistes de la sécurité, comme Barracuda Network ou IronPort Systems (Cisco), ont en effet développé des boîtiers antispams images basés sur des techniques de reconnaissance optique de caractères. Avec un taux de réussite de 95 %.

La seconde option, qui consiste à laisser entrer uniquement des mails dont l'expéditeur est identifié par le destinataire, est moins connue et un peu plus contraignante au départ. Mais finalement beaucoup plus efficace. Le destinataire doit au préalable fournir sa liste de contacts, ou liste blanche. Les nouveaux correspondants doivent donc prouver lors de leur premier envoi qu'ils ne sont pas des robots par la méthode du « Captcha » (voir glossaire p. 58). L'adresse du destinataire restant bien sûr invisible pour éviter au robot spammeur de la valider. Un système de quarantaine permet également au destinataire d'accepter de nouveaux correspondants. Résultat : 100 % des spams sont bloqués. En France, cette méthode est proposée sous forme de boîtier de sécurité ou de service en ligne par une jeune entreprise marseillaise, MailInBlack. Déjà, 450 entreprises et organismes l'ont adoptée. Aux Etats-Unis, elle est proposée en option par le fournisseur d'accès Earthlink et par l'éditeur SpamArrest, mais uniquement en mode ASP (service en ligne).

Former les utilisateurs

Le recours à la technologie n'affranchit pas l'entreprise d'une formation de ses salariés. A minima en les informant régulièrement des nouveaux types de spams pour accroître leur vigilance. Mais aussi en les initiant à quelques bonnes pratiques de lutte antispams. La première consiste à protéger au maximum son adresse e-mail, dont les spammers sont friands pour constituer leurs bases de données. Quand ils ne piratent pas un carnet d'adres-ses privé ou ceux des webmail, ils les constituent en parcourant internet à la recherche du sigle arobase (@) dans les mails, les sites web, les forums ou les blogs. Il est donc recomman- dé de remplacer ce caractère par un autre lorsque l'on communique son adresse dans un texte.

Il est aussi bon de rappeler qu'il ne faut jamais répondre à un spam, même pour communiquer son exaspération. En effet, lorsque les serveurs des spammeurs ne sont pas fermés à la réception, cela leur permet de valider une adresse e-mail. Utile aussi d'inciter les salariés à aider les organismes dans leur lutte contre le spam lorsqu'ils sont de retour chez eux. Avoir le reflexe de marquer comme « courrier indésirable » les spams reçus permet d'enrichir les listes noires des éditeurs. En France, le site Signal-Spam permet à tous de se manifester.

Enfin, il est bon de rappeler, notamment aux services marketing, qu'en France la loi pour la confiance dans l'économie numérique du 21 juin 2004, qui transpose une directive européenne, interdit d'utiliser une adresse mail pour prospection commerciale sans avoir obtenu le consentement de la personne concernée. De plus, chaque mail publicitaire doit proposer une option pour ne pas recevoir les messages à venir. Les contrevenants risquent une condamnation à cinq ans de prison et 300 000 euros d'amende. Les Etats-Unis se sont, eux, dotés d'une loi fédérale, le Scan-Spam Act en décembre 2003. Mais rien ne semble arrêter les spammeurs... .