Goufablog

Geek, nouvelles technologies, société et jeux vidéos!
2
févr.
2011
Attention au spam
Technique - par Goufalite - 2739 hits

J'ai récemment été attaqué par un spammeur qui utilisait le système de trackback de mon blog. Non seulement il a mobilisé mon week-end à trouver une solution de sécurité, mais il m'a donné l'inspiration pour rédiger ce billet. Le spam est un fléau qui monopolise la bande-passante, les ressources système et les nerfs d'un bon nombre d'acteurs. Je vais vous présenter l'origine et le fondement du spam, comment s'en protéger et comment le combattre.

Fonctionnement du spam

SPAM SPAM SPAM
SPAM! SPAM! SPAM!

À la base le spam est une marque de jambon épicé en boîte qui a été repris dans un sketch des Monthy Pythons où ils répètent le nom à tue-tête. C'est le côté répétitif qui a donné son nom au principe que je vais décrire plus bas. La francisation du terme est "pourriel".

Le principe

Pour résumer grossièrement, il s'agit de "publicité non sollicitée" comme les prospectus que vous recevez dans votre boîte aux lettres. En détail, nous sommes face à deux situations :

  • C'est la crise, un pauvre développeur (ou son équipe) cherche à grapiller quelques centimes d'euros en présentant une vitrine de produits dont le prix défie gravement la concurrence.
  • Un directeur d'entreprise souhaite vendre ses produits sans passer par une régie de publicité pour des raisons évidentes de coût ou de législation. Par conséquent il exploite (bah ouais qui accepterait de faire une telle magouille illégale) un pauvre développeur, peut-être celui du dessus, pour créer un programme permettant de diffuser massivement son offre.

Dans les deux cas, la technologie est la même : envoi des offres sur tous les supports numériques possibles : mails, commentaires d'articles, forums, trackbacks,... et les sujet sont divers mais assez récurrents :

  • argent facile
  • casinos
  • pilules miracle pour le sexe ou le poids
  • produits de luxe (de contrefaçon évidemment)
  • diplômes gratuits
  • actions boursières
  • logiciels,...

Le système d'envoi

L'envoi par génération de nom est encore utilisé aujourd'hui car c'est simple à mettre en place : un robot génère une multitude d'adresse mail de façon séquentielle et envoie le message à toutes ses adresses. Ce genre de technique est facile à intercepter : pour des raisons de temps, le spammeur va envoyer un mail à plusieurs adresses et ce sera donc possible de reconnaître le mode opératoire.

Exemple d'envoi robotisé
Exemple d'envoi robotisé

L'envoi se fait donc généralement en faisant une collecte des adresses mails sur Internet, nous verrons plus en détail en bas comment s'en prémunir. En gros des programmes parcourent le web et enregistrent les adresses mails visibles, certains détectent des champs de commentaires à peupler.

Dérivés du spam

Le phishing ou hameçonnage est une forme sévère du spam qui utilise la même technique sauf qu'il s'agit d'attirer l'internaute vers un faux site bancaire pour récupérer ses coordonnées bancaires. Ce genre ce site se présente avec une interface simpliste et des fautes d'orthographe. Quand vous recevez ce genre de message, allez sur le site officiel de l'organisme et lisez les conditions de contact, voire contactez l'organisme officiel pour demander plus de lumière.

Les retraits de fonds sont complètement abhérents, ils se présentent par un message du genre :

Bonjour, nous cherchons à retirer un fonds de X Euros dans [nom du pays]. Cependant nous aurions besoin d'un référend dans votre pays qui puisse intercépter la somme et nous vous proposons X% pour vous

Cette combine est fausse car vous allez vous retrouver à payer des sommes supplémentaires pour les aides (transport, pots de vin,...), et au final c'est votre argent qu'ils auront récupéré. Quand vous voyez ce message, signalez-le en tant que phishing et parlez-en autour de vous.

Se protéger et prévenir

Vous n'êtes pas submergé(e)? Patience ça va venir! Voici quelques manipulations importantes qui vont vous permettre de retarder ce grand moment.

Ne jouez pas le jeu des chaînes de mails

"Envoyez ce mail à 20 personnes et vous gagnerez un téléphone, de la chance dans la vie, sinon un dinosaure vous tuera,..." tant de menaces ou d'incitations dans ces chaînes qui vous proposent de faire marcher votre cercle d'amis ou de participer a des concours ou causes bidons, mais c'est surtout une occasion pour un spammeur de recueillir une quantité incroyable d'adresses mails. Un simple parcours des mots avec @ permet de récupérer tous les mails du message et une fonction en PHP permet d'envoyer les mails facilement!

Je suis d'accord sur le fait que vous aimez bien partager quelque chose de rigolo ou d'intéressant, mais dans ce cas je vous propose des manipulations simples pour partager simplement une information :

  • quand vous transférez un mail, effacez les mails présents dans le message pour ne pas les faire re-transferer
  • utilisez le champ "Copie cachée" (ou Bcc) du mail pour transférez quelque chose à plusieurs d'adresses, ainsi le destinataire ne verra que son adresse dans son message
  • s'il vous plaît n'incitez pas vos destinataires à faire suivre votre document, ils choisiront s'ils trouvent intéressant de le partager à leurs contacts.

Grâce à ces manipulations, vous evitez le transfert de votre adresse mail dans une chaîne infinissable et incontrôlable! Enfin, pensez à faire un petit tour sur Hoaxbuster pour vérifier la véracité des contenus.

Ne diffusez pas votre adresse à tout va

Une adresse visible sur Internet est une adresse à manger pour un programme de spam. Il ne faut pas l'afficher ou alors utiliser quelques subtilités :

  • remplacez votre mail par une image sans mentionner de mail dans le nom ou le champ alternatif
  • remplacez les caractères @ ou . par At, chez, dot, point,...
  • préférez un contact par formulaire ou par un compte twitter
  • si vous administrez un site web, remplacez votre mail par du code Javascript, il s'affichera sur votre page mais pas sur votre code :
<script type="text/javascript">document.write("monmail"+"\u0040"+"domaine"+"\u002e"+"com");</script>

Utilisez une adresse jetable

Pour lutter contre le spam, certains forums exigent lors de l'inscription une adresse mail pour prouver l'humanité de l'internaute. Ben entendu ça repousse quelques robots mais surtout les internautes qui n'ont pas envie de fournir leur mail pour ne pas être, justement, spammés.

Il existe cependant des services pour obtenir une adresse temporaire (unmail, zemail,...). En gros vous créez l'adresse, vous en servez pour l'inscription, la relevez pour le code d'inscription et vous l'oubliez elle sera désactivée dans quelques jours! Si vous ne constatez pas de spam après l'inscription alors vous pourrez mettre une adresse fiable à la place.

Si vous possédez un serveur mail ou d'hébergement avec votre propre nom de domaine, vous pouvez vous amuser à créer des adresses poubelle spécifiques du service (poubelleamazon@...) et ensuite contrôler plus facilement l'origine du transfert de votre adresse! Et si elle est spammée, vous la supprimez!

Personnalisez votre système de reconnaissance

Exemple de Captcha, et encore celui-là est facile...
Exemple de Captcha, et encore celui-là est facile...

Petite anecdote : un site d'informatique a posé un système Captcha pour contrer le spam dans ses commentaires. En quelques temps les membres eux-mêmes ont réussi à trouver la faiblesse du système rendant le contrôle pratiquement inefficace.

Le Captcha est un outil permettant d'afficher des lettres déformées dans une image pour que l'internaute dusse les saisir avant de s'inscrire ou poster un message. Avec le temps les déformations sont devenues de plus en plus complexes et étant daltonien, il m'est pratiquement impossible de les résoudre alors les spammeurs arrivent à poster sans soucis. L'autre aspect est qu'il s'agit d'un plugin universel, c'est-à-dire que la plupart des sites se le sont approprié, mais si une faille est détectée, alors tous les spammeurs vont s'y engouffrer.

Il vous faut donc personnaliser votre système de contrôle à votre sauce avec vos phrases par exemple, et utiliser un codage propre pour faire passer les paramètres du formulaire.

Comment combattre le spam

Ca y est, vous commencez à recevoir des messages publicitaires non sollicités, nous allons voir comment ne pas amplifier le phénomène et ne pas dériver.

Ce n'est pas celui que vous croyez!

Bien sûr votre premier réflexe sera de répondre à l'expéditeur pour lui demander de se calmer (on verra ça plus bas) mais il faut savoir qu'un mail est comme une lettre à la poste : on peut mettre ce que l'on veut dans le champ expéditeur, vous ne pouvez pas le faire vous-même car vous êtes bridé(e) par votre logiciel de messagerie!

Si l'expéditeur est une connaissance proche, demandez-lui de faire un scan anti-virus sur son poste. Profitez-en pour en faire un de votre côté.

Sachez différencier le non-sollicité du opt-out

Je ne choisis pas de ne pas choisir de ne pas recevoir des offres qui ne me seront pas envoyées si je ne coche pas la case ci-contre

Quand vous adhérez à un service en ligne ou dans une boutique, vous ne remarquez pas souvent la petite case à cocher qui vous dit "ne m'envoyez pas d'offres de votre service". De ce fait vous recevez de la publicité venant de l'organisme auquel vous avez souscrit.

Ceci n'est pas du spam (du moins par ommission), c'est une manipulation particulière qui s'appelle de l'opt-out :

  • opt-in : c'est vous qui choisissez si vous voulez obtenir des offres
  • opt-out : on vous envoie des offres mais vous pouvez choisir de vous désabonner
  • spam : on vous envoie des offres, que vous le vouliez ou non.

Si vous reconnaissez l'organisme auquel vous avez adhéré, alors vous pouvez cliquer sur le lien de désinscription qui figure au bas du message.

Attention toutefois à l'opt-out non sollicité : un message venant d'un organisme que l'on ne connait pas qui fait de la pub et qui vous propose de vous désinscrire. Il peut s'agir de "partenaires" de l'organisme en question. Pour ma part je ne répond pas et je filtre ces messages, car si je clique sur le lien je prouve que j'existe et s'ils arrêtent de m'envoyer des messages, peut-être que ce sera quelqu'un d'autre...

Ne cherchez pas la provocation ou la vantardise

Tout simplement parce que vous ne savez pas à qui vous avez affaire en face! Il s'agit de quelqu'un qui est motivé pour gagner de l'argent ou pour satisfaire son boss. Mais pour peu qu'il soit un geek, alors il trouvera le temps de se parfaire voire de développer un outil pour vous attaquer directement. Si vous dévoilez votre système de sécurité, alors le spammeur l'exploitera à ses fins.

Pour ma part j'utilise un principe assez particulier : je fais croire au spammeur qu'il a réussi à poster son message en laissant un message d'alerte par défaut. Par exemple, si vous bloquez l'accès à votre site au spammeur en mettant dans votre .htaccess

Deny from <ip>

Alors le spammeur va se rendre compte du blocage (une erreur 403) et va s'adapter. Mais si on lui fait croire qu'il a réussi, alors il générera des visites sur votre site et ne changera pas sa stratégie!

Suivez vos règles de blocage

Mettez-vous à la place du spammeur : quand une règle de postage ne marche plus, il en utilise une autre! Par conséquent vous allez vous retrouver avec une multitude de règles de contrôle dont certaines vont être inutilisés. Comptez-les pour voir lesquelles sont encore utilisées.

Paré au combat

Tout comme les virus biologiques ou informatiques, le spam mute pour passer toutes les barrières de protection. Il ne faut pas désespérer car grâce à cet article vous êtes parré(e) pour empêcher ou combattre ce fléau et rappelez-vous que la prévention est beaucoup plus efficace que le tri sélectif après coup.

+ Sources des images


Vous pouvez aussi lire :

GoufaliteGoufalite - Site Web - Steam - Twitter
Rédacteur et programmeur principal du Goufablog. Ingénieur de profession et avide de connaissances technologiques et scientifiques il partage son savoir à travers ces différents articles. Plus de renseignements sur la page de contact.
RSS Voir ses articles...
CC-BY-SACet article est protégé par une licence CC-BY-SA.


Tags : e-mail, mail, opt-in, opt-out, pourriel, prévention, publicité, spam
Delicious   Facebook   Commentaires(2) | Permalink
RSS:Commentaires du billet Il y a 2 commentaires.
Posté le 23 avril 2013 à 08:56:52 par Mortellus
Très bon billet, merci.

Est-ce toujours d'actualité ?
Posté le 24 avril 2013 à 14:39:26 par Goufalite
Merci pour le commentaire!
Malheureusement oui : beaucoup de gens utilisent encore les e-mails pour communiquer en entreprise ou en famille, et on ne les forme pas assez sur comment détecter une menace sous forme de mails.
Bien sûr l'actualité est plutôt le spam Facebook, dont je parle ici http://blog.goufastyle.org/art...s-le-piege , qui vise plutôt les revenus publicitaires...
Votre avis?
(Obligatoire)

Site et style réalisé par Goufalite
Reproduction interdite sans l'accord de l'auteur.
Valid XHTML 1.0 Transitional Optimisé pour FireFox 2
avec une résolution 1024*768