Ce billet sur les spams est le 3ème. Celui du 6 octobre 2009 inaugurait la série en faisant un tour d’horizon sur ce qui c’était passé les mois précédents. Quatre mois plus tard, le 4 février, il devenait possible de déceler si les choses évoluaient. Où en sommes-nous aujourd’hui ?
Filtrer les spams puis observer le résultat
Avec l’aide d’Ivona qui s'y connaît en informatique, nous avons mis en place un système assez rudimentaire de filtrage et d’observation pour les quelques adresses e-mails dont je dispose.
Parlons d’abord du filtrage : il se fait à deux niveaux.
Filtrer les spams puis observer le résultat
Avec l’aide d’Ivona qui s'y connaît en informatique, nous avons mis en place un système assez rudimentaire de filtrage et d’observation pour les quelques adresses e-mails dont je dispose.
Parlons d’abord du filtrage : il se fait à deux niveaux.
C’est d’abord le fournisseur d’accès Internet (FAI) auquel je suis abonné qui se charge de mettre sur une voie de garage les messages qu’il considère, lui, comme indésirables et qui fait subir le même sort à ceux dont j’ai désigné l’adresse ou simplement le nom de domaine (ce qui figure après @).
C’est ensuite un logiciel anti-spams (du genre BitDefender, McAfee, Symantec…) qui cherche à faire le ménage parmi ce qui a échappé au premier barrage – là aussi, les suggestions du propriétaire du PC sont prises en compte pour écarter des spams à répétition.
Venons-en à l’observation au fil de l’eau : elle porte uniquement sur des messages qui arrivent jusqu’au bout – en sachant qu’à leur 3ème apparition ils sont caftés au gardien du second barrage… et retenus à ce niveau… et, à leur 10ème manifestation, leur adresse est signalée pour qu’ils soient carrément arrêtés chez le FAI.
Les spams qui arrivent jusqu’à nousDepuis le début de cette aventure (vers août 2009), nous avons identifié dans les 450 émetteurs de spams qui parviennent jusqu’aux boites à lettres – mais, comme nous le verrons tout à l’heure, certains expéditeurs sont les mêmes sous plusieurs appellations.
Au fil du temps, il y en a qui disparaissent, soit spontanément soit parce qu’ils sont désormais bloqués bien avant, tandis que d’autres montrent désormais leur nez : sur les 450, il en est seulement apparu que 155 au 1er trimestre 2010 et 135 au cours de celui qui vient de s’achever. Le renouvellement est important puisque 80% des 155 du début de l’année ne se sont plus manifestés au 2ème trimestre… et que, de même, environ 80% de 135 actuels sont des nouveaux venus du trimestre.
En revanche, le nombre des spams reçus est resté à peu près stable (autour de 250) – ce qui veut dire qu’une activité un peu plus intense a compensé la diminution du nombre des émetteurs.
95% de spams bloqués en amont
Ajoutons que, même si nous ne nous livrons pas à une observation aussi détaillée, nous recevons des informations sur le nombre de messages indésirables bloqués en amont. Sur la base d’échantillons portant sur des périodes de 8 jours pour le premier barrage, et de 2 mois pour le second, un estimation plus ou moins approximative permet d’avancer que ce filtrage a porté environ 4500 messages au cours du trimestre écoulé. Un examen plus approfondi laisse voir que l’immense majorité est rédigée en anglais.
Autre manière de dire les choses : nous échappons à près de 95% de l’avalanche de spams. Et notre analyse des 5% restant que nous visualisons directement porte pour une grande part sur des spams visant un public francophone.
Concentration des émetteurs / hébergeurs de spams
Nous allons, cette fois, progresser encore de quelques pas par rapport aux billets précédents, en nous posant la question : est-ce que, sous des intitulés différents, ce ne seraient pas les mêmes émetteurs de spams qui seraient à l’œuvre ou qui hébergeraient des clients en leur faisant profiter de leur savoir faire ?
Ivona m’a proposé une méthode qu’elle juge simplette mais néanmoins éclairante. Lorsqu’un spam arrive, elle ne se contente pas de le comptabiliser : elle clique du bouton droit pour en connaître les Propriétés et, sous l’onglet Détails, elle déniche son n° IP à une ligne qui commence par Received from… (attention, ne pas s’égarer sur un n° du genre [127.0.0.1] qu’on trouve partout).
Au bout de quelques temps, on s’aperçoit que, malgré la différence apparente des provenances, on a plusieurs fois affaire au même n° IP ou à des numéros très proches. Exemple : acess-public, ilyatout, … renvoient l'un et l'autre à [85.10.136.12].
Et ce n’est pas tout, puisque l’on peut, à partir de ce n° IP, accéder à un descriptif plus ou moins détaillé sur l’intéressé. Il suffit en effet d’aller sur un site du type http://whois.domaintools.com/ et de recopier le n° IP dans le cadre réservé à cet effet, puis de cliquer sur Lookup pour obtenir ces informations. C’est ainsi qu’à partir de :
· [80.118.49. …] (betrousse, defidujour, electrofitness, invitation-luxe, invitation-membre, invitation-mode, invitation-privilege…) on aura la fiche sur Systonic (F-33 Pessac).
· [82.138.77. …] (aroundred, datafnx, deltamailing, epistore…) on aura la fiche sur Edatis (F-75 Paris) - Cogent (Washington - USA).
· [85.243.80.200] (impulse, inforgestion, trioptics, agenceducours…) on aura la fiche sur Telepac (Lisboa - Portugal).
· [94.23.218.214] (imprim-encre, snowreef…) on aura la fiche sur OVH (F-59 Roubaix).
· [198.95.10.19] (newera, newerapub, newera publications…) on aura la fiche sur Church of Scientology (Los Angeles - CA - USA).
Etc.
Hameçonnage (phishing)
S’agissant des tentatives pour extorquer des informations personnelles, bancaires ou financières, la procédure consiste à éviter absolument de leur répondre, à les signaler aux services dits Abuse des sociétés dont l’expéditeur emprunte abusivement le nom, et à les mettre immédiatement sur la Liste rouge qui les rend indésirables.
D’avril à juin, quatre ont franchi les obstacles jusqu’à nos boites à lettres habituelles – ce qui est trois fois moins qu’au trimestre précédent… Il faut néanmoins être conscient que, assez souvent, les tentatives détectées auparavant n’ont pas cessé et qu’elles continuent néanmoins à se manifester : mais comme elles restent retenues derrière le barrage des indésirables, elles ne parviennent pas jusqu’à nous.
Venons-en à l’observation au fil de l’eau : elle porte uniquement sur des messages qui arrivent jusqu’au bout – en sachant qu’à leur 3ème apparition ils sont caftés au gardien du second barrage… et retenus à ce niveau… et, à leur 10ème manifestation, leur adresse est signalée pour qu’ils soient carrément arrêtés chez le FAI.
Les spams qui arrivent jusqu’à nousDepuis le début de cette aventure (vers août 2009), nous avons identifié dans les 450 émetteurs de spams qui parviennent jusqu’aux boites à lettres – mais, comme nous le verrons tout à l’heure, certains expéditeurs sont les mêmes sous plusieurs appellations.
Au fil du temps, il y en a qui disparaissent, soit spontanément soit parce qu’ils sont désormais bloqués bien avant, tandis que d’autres montrent désormais leur nez : sur les 450, il en est seulement apparu que 155 au 1er trimestre 2010 et 135 au cours de celui qui vient de s’achever. Le renouvellement est important puisque 80% des 155 du début de l’année ne se sont plus manifestés au 2ème trimestre… et que, de même, environ 80% de 135 actuels sont des nouveaux venus du trimestre.
En revanche, le nombre des spams reçus est resté à peu près stable (autour de 250) – ce qui veut dire qu’une activité un peu plus intense a compensé la diminution du nombre des émetteurs.
95% de spams bloqués en amont
Ajoutons que, même si nous ne nous livrons pas à une observation aussi détaillée, nous recevons des informations sur le nombre de messages indésirables bloqués en amont. Sur la base d’échantillons portant sur des périodes de 8 jours pour le premier barrage, et de 2 mois pour le second, un estimation plus ou moins approximative permet d’avancer que ce filtrage a porté environ 4500 messages au cours du trimestre écoulé. Un examen plus approfondi laisse voir que l’immense majorité est rédigée en anglais.
Autre manière de dire les choses : nous échappons à près de 95% de l’avalanche de spams. Et notre analyse des 5% restant que nous visualisons directement porte pour une grande part sur des spams visant un public francophone.
Concentration des émetteurs / hébergeurs de spams
Nous allons, cette fois, progresser encore de quelques pas par rapport aux billets précédents, en nous posant la question : est-ce que, sous des intitulés différents, ce ne seraient pas les mêmes émetteurs de spams qui seraient à l’œuvre ou qui hébergeraient des clients en leur faisant profiter de leur savoir faire ?
Ivona m’a proposé une méthode qu’elle juge simplette mais néanmoins éclairante. Lorsqu’un spam arrive, elle ne se contente pas de le comptabiliser : elle clique du bouton droit pour en connaître les Propriétés et, sous l’onglet Détails, elle déniche son n° IP à une ligne qui commence par Received from… (attention, ne pas s’égarer sur un n° du genre [127.0.0.1] qu’on trouve partout).
Au bout de quelques temps, on s’aperçoit que, malgré la différence apparente des provenances, on a plusieurs fois affaire au même n° IP ou à des numéros très proches. Exemple : acess-public, ilyatout, … renvoient l'un et l'autre à [85.10.136.12].
Et ce n’est pas tout, puisque l’on peut, à partir de ce n° IP, accéder à un descriptif plus ou moins détaillé sur l’intéressé. Il suffit en effet d’aller sur un site du type http://whois.domaintools.com/ et de recopier le n° IP dans le cadre réservé à cet effet, puis de cliquer sur Lookup pour obtenir ces informations. C’est ainsi qu’à partir de :
· [80.118.49. …] (betrousse, defidujour, electrofitness, invitation-luxe, invitation-membre, invitation-mode, invitation-privilege…) on aura la fiche sur Systonic (F-33 Pessac).
· [82.138.77. …] (aroundred, datafnx, deltamailing, epistore…) on aura la fiche sur Edatis (F-75 Paris) - Cogent (Washington - USA).
· [85.243.80.200] (impulse, inforgestion, trioptics, agenceducours…) on aura la fiche sur Telepac (Lisboa - Portugal).
· [94.23.218.214] (imprim-encre, snowreef…) on aura la fiche sur OVH (F-59 Roubaix).
· [198.95.10.19] (newera, newerapub, newera publications…) on aura la fiche sur Church of Scientology (Los Angeles - CA - USA).
Etc.
Hameçonnage (phishing)
S’agissant des tentatives pour extorquer des informations personnelles, bancaires ou financières, la procédure consiste à éviter absolument de leur répondre, à les signaler aux services dits Abuse des sociétés dont l’expéditeur emprunte abusivement le nom, et à les mettre immédiatement sur la Liste rouge qui les rend indésirables.
D’avril à juin, quatre ont franchi les obstacles jusqu’à nos boites à lettres habituelles – ce qui est trois fois moins qu’au trimestre précédent… Il faut néanmoins être conscient que, assez souvent, les tentatives détectées auparavant n’ont pas cessé et qu’elles continuent néanmoins à se manifester : mais comme elles restent retenues derrière le barrage des indésirables, elles ne parviennent pas jusqu’à nous.
Aucun commentaire:
Enregistrer un commentaire