![]() Geek, nouvelles technologies, société et jeux vidéos! | |||||
J'ai récemment été attaqué par un spammeur qui utilisait le système de trackback de mon blog. Non seulement il a mobilisé mon week-end à trouver une solution de sécurité, mais il m'a donné l'inspiration pour rédiger ce billet. Le spam est un fléau qui monopolise la bande-passante, les ressources système et les nerfs d'un bon nombre d'acteurs. Je vais vous présenter l'origine et le fondement du spam, comment s'en protéger et comment le combattre. Fonctionnement du spamÀ la base le spam est une marque de jambon épicé en boîte qui a été repris dans un sketch des Monthy Pythons où ils répètent le nom à tue-tête. C'est le côté répétitif qui a donné son nom au principe que je vais décrire plus bas. La francisation du terme est "pourriel". Le principePour résumer grossièrement, il s'agit de "publicité non sollicitée" comme les prospectus que vous recevez dans votre boîte aux lettres. En détail, nous sommes face à deux situations :
Dans les deux cas, la technologie est la même : envoi des offres sur tous les supports numériques possibles : mails, commentaires d'articles, forums, trackbacks,... et les sujet sont divers mais assez récurrents :
Le système d'envoiL'envoi par génération de nom est encore utilisé aujourd'hui car c'est simple à mettre en place : un robot génère une multitude d'adresse mail de façon séquentielle et envoie le message à toutes ses adresses. Ce genre de technique est facile à intercepter : pour des raisons de temps, le spammeur va envoyer un mail à plusieurs adresses et ce sera donc possible de reconnaître le mode opératoire. L'envoi se fait donc généralement en faisant une collecte des adresses mails sur Internet, nous verrons plus en détail en bas comment s'en prémunir. En gros des programmes parcourent le web et enregistrent les adresses mails visibles, certains détectent des champs de commentaires à peupler. Dérivés du spamLe phishing ou hameçonnage est une forme sévère du spam qui utilise la même technique sauf qu'il s'agit d'attirer l'internaute vers un faux site bancaire pour récupérer ses coordonnées bancaires. Ce genre ce site se présente avec une interface simpliste et des fautes d'orthographe. Quand vous recevez ce genre de message, allez sur le site officiel de l'organisme et lisez les conditions de contact, voire contactez l'organisme officiel pour demander plus de lumière. Les retraits de fonds sont complètement abhérents, ils se présentent par un message du genre : Bonjour, nous cherchons à retirer un fonds de X Euros dans [nom du pays]. Cependant nous aurions besoin d'un référend dans votre pays qui puisse intercépter la somme et nous vous proposons X% pour vous
Cette combine est fausse car vous allez vous retrouver à payer des sommes supplémentaires pour les aides (transport, pots de vin,...), et au final c'est votre argent qu'ils auront récupéré. Quand vous voyez ce message, signalez-le en tant que phishing et parlez-en autour de vous. Se protéger et prévenirVous n'êtes pas submergé(e)? Patience ça va venir! Voici quelques manipulations importantes qui vont vous permettre de retarder ce grand moment. Ne jouez pas le jeu des chaînes de mails"Envoyez ce mail à 20 personnes et vous gagnerez un téléphone, de la chance dans la vie, sinon un dinosaure vous tuera,..." tant de menaces ou d'incitations dans ces chaînes qui vous proposent de faire marcher votre cercle d'amis ou de participer a des concours ou causes bidons, mais c'est surtout une occasion pour un spammeur de recueillir une quantité incroyable d'adresses mails. Un simple parcours des mots avec @ permet de récupérer tous les mails du message et une fonction en PHP permet d'envoyer les mails facilement! Je suis d'accord sur le fait que vous aimez bien partager quelque chose de rigolo ou d'intéressant, mais dans ce cas je vous propose des manipulations simples pour partager simplement une information :
Grâce à ces manipulations, vous evitez le transfert de votre adresse mail dans une chaîne infinissable et incontrôlable! Enfin, pensez à faire un petit tour sur Hoaxbuster pour vérifier la véracité des contenus. Ne diffusez pas votre adresse à tout vaUne adresse visible sur Internet est une adresse à manger pour un programme de spam. Il ne faut pas l'afficher ou alors utiliser quelques subtilités :
<script type="text/javascript">document.write("monmail"+"\u0040"+"domaine"+"\u002e"+"com");</script>
Utilisez une adresse jetablePour lutter contre le spam, certains forums exigent lors de l'inscription une adresse mail pour prouver l'humanité de l'internaute. Ben entendu ça repousse quelques robots mais surtout les internautes qui n'ont pas envie de fournir leur mail pour ne pas être, justement, spammés. Il existe cependant des services pour obtenir une adresse temporaire (unmail, zemail,...). En gros vous créez l'adresse, vous en servez pour l'inscription, la relevez pour le code d'inscription et vous l'oubliez elle sera désactivée dans quelques jours! Si vous ne constatez pas de spam après l'inscription alors vous pourrez mettre une adresse fiable à la place. Si vous possédez un serveur mail ou d'hébergement avec votre propre nom de domaine, vous pouvez vous amuser à créer des adresses poubelle spécifiques du service (poubelleamazon@...) et ensuite contrôler plus facilement l'origine du transfert de votre adresse! Et si elle est spammée, vous la supprimez! Personnalisez votre système de reconnaissancePetite anecdote : un site d'informatique a posé un système Captcha pour contrer le spam dans ses commentaires. En quelques temps les membres eux-mêmes ont réussi à trouver la faiblesse du système rendant le contrôle pratiquement inefficace. Le Captcha est un outil permettant d'afficher des lettres déformées dans une image pour que l'internaute dusse les saisir avant de s'inscrire ou poster un message. Avec le temps les déformations sont devenues de plus en plus complexes et étant daltonien, il m'est pratiquement impossible de les résoudre alors les spammeurs arrivent à poster sans soucis. L'autre aspect est qu'il s'agit d'un plugin universel, c'est-à-dire que la plupart des sites se le sont approprié, mais si une faille est détectée, alors tous les spammeurs vont s'y engouffrer. Il vous faut donc personnaliser votre système de contrôle à votre sauce avec vos phrases par exemple, et utiliser un codage propre pour faire passer les paramètres du formulaire. Comment combattre le spamCa y est, vous commencez à recevoir des messages publicitaires non sollicités, nous allons voir comment ne pas amplifier le phénomène et ne pas dériver. Ce n'est pas celui que vous croyez!Bien sûr votre premier réflexe sera de répondre à l'expéditeur pour lui demander de se calmer (on verra ça plus bas) mais il faut savoir qu'un mail est comme une lettre à la poste : on peut mettre ce que l'on veut dans le champ expéditeur, vous ne pouvez pas le faire vous-même car vous êtes bridé(e) par votre logiciel de messagerie! Si l'expéditeur est une connaissance proche, demandez-lui de faire un scan anti-virus sur son poste. Profitez-en pour en faire un de votre côté. Sachez différencier le non-sollicité du opt-outJe ne choisis pas de ne pas choisir de ne pas recevoir des offres qui ne me seront pas envoyées si je ne coche pas la case ci-contre
Quand vous adhérez à un service en ligne ou dans une boutique, vous ne remarquez pas souvent la petite case à cocher qui vous dit "ne m'envoyez pas d'offres de votre service". De ce fait vous recevez de la publicité venant de l'organisme auquel vous avez souscrit. Ceci n'est pas du spam (du moins par ommission), c'est une manipulation particulière qui s'appelle de l'opt-out :
Si vous reconnaissez l'organisme auquel vous avez adhéré, alors vous pouvez cliquer sur le lien de désinscription qui figure au bas du message. Attention toutefois à l'opt-out non sollicité : un message venant d'un organisme que l'on ne connait pas qui fait de la pub et qui vous propose de vous désinscrire. Il peut s'agir de "partenaires" de l'organisme en question. Pour ma part je ne répond pas et je filtre ces messages, car si je clique sur le lien je prouve que j'existe et s'ils arrêtent de m'envoyer des messages, peut-être que ce sera quelqu'un d'autre... Ne cherchez pas la provocation ou la vantardiseTout simplement parce que vous ne savez pas à qui vous avez affaire en face! Il s'agit de quelqu'un qui est motivé pour gagner de l'argent ou pour satisfaire son boss. Mais pour peu qu'il soit un geek, alors il trouvera le temps de se parfaire voire de développer un outil pour vous attaquer directement. Si vous dévoilez votre système de sécurité, alors le spammeur l'exploitera à ses fins. Pour ma part j'utilise un principe assez particulier : je fais croire au spammeur qu'il a réussi à poster son message en laissant un message d'alerte par défaut. Par exemple, si vous bloquez l'accès à votre site au spammeur en mettant dans votre .htaccess Deny from <ip>
Alors le spammeur va se rendre compte du blocage (une erreur 403) et va s'adapter. Mais si on lui fait croire qu'il a réussi, alors il générera des visites sur votre site et ne changera pas sa stratégie! Suivez vos règles de blocageMettez-vous à la place du spammeur : quand une règle de postage ne marche plus, il en utilise une autre! Par conséquent vous allez vous retrouver avec une multitude de règles de contrôle dont certaines vont être inutilisés. Comptez-les pour voir lesquelles sont encore utilisées. Paré au combatTout comme les virus biologiques ou informatiques, le spam mute pour passer toutes les barrières de protection. Il ne faut pas désespérer car grâce à cet article vous êtes parré(e) pour empêcher ou combattre ce fléau et rappelez-vous que la prévention est beaucoup plus efficace que le tri sélectif après coup. + Sources des images Vous pouvez aussi lire :
![]() Rédacteur et programmeur principal du Goufablog. Ingénieur de profession et avide de connaissances technologiques et scientifiques il partage son savoir à travers ces différents articles. Plus de renseignements sur la page de contact. ![]()
|
![]() |
||||
|
Malheureusement oui : beaucoup de gens utilisent encore les e-mails pour communiquer en entreprise ou en famille, et on ne les forme pas assez sur comment détecter une menace sous forme de mails.
Bien sûr l'actualité est plutôt le spam Facebook, dont je parle ici http://blog.goufastyle.org/art...s-le-piege , qui vise plutôt les revenus publicitaires...
Votre avis?