jeudi 4 février 2010

Obésité pourrielle 10-début



Il y a quatre mois environ, Ivona m’avait donné un coup de main pour estimer l’importance du flux de spams qui cherchaient le chemin des boites à lettres de mon PC.

Dans le billet du 6 octobre nous en étions arrivés à une dizaine par jour et par adresse e-mail, dont les trois-quarts étaient arrêtés par le fournisseur d’accès à Internet (FAI), avant de franchir le seuil du micro (messages dits indésirables). Parmi les spameurs, on pouvait repérer un petit nombre (20%) qui totalisaient à peu près la moitié de ce qui arrivait.

Nous avons depuis mis en place quelque chose pour essayer de filtrer un peu mieux… mais tout en pouvant continuer d’observer ce qui se passait. Pas facile car plus le barrage est efficace, moins on a d’information sur ceux qui ont été éliminés.

… Première mesure prise : Dès qu’un nouveau spameur se manifeste il est pré-signalé au logiciel anti-spams du PC qui en fait ce qu’il veut… et au bout de trois fois, il est mis sur la liste de filtrage obligatoire – ce qui systématise la protection. Cette liste comporte actuellement une bonne trentaine d’éléments – mais cette information n’est pas très importante pour ce qui suit : elle nous sert surtout à aiguiller les intrus sur une voie de garage et éviter d’encombrer notre Boite de réception.

Quand un spameur s’est manifesté une dizaine de fois, nous le mettons d’office sur la liste des indésirables du FAI. Nous en sommes à presque 30 adresses ou domaines d’expéditeurs de spams – ce qui est parfaitement gérable… mais à moins d’y aller voir en détail, nous ne suivons plus ces spameurs individuellement.

… En sens inverse, quand un spameur ne s’est plus manifesté depuis trois mois, nous arrêtons de le suivre – c’est ce qui s’est passé pour 80 d’entre eux que nous avons mis aux oubliettes.

Au bout de ces quatre mois, que constatons-nous ?
Pour l’essentiel, que le flux des spams s’est ralenti : 8 spams par jour et par adresse e-mail au lieu de 10. Mieux encore, en tenant notamment compte de nos indications, le barrage préventif du FAI est devenu plus efficace : il n’en laisse passer que 10% au lieu de 25%. En combinant ces deux effets, c’est une division par 3 de ce que nous avons à traiter.

On est progressivement arrivé à une liste de 160 spameurs en observation actuellement – et ce nombre a l’air d’être stable. Comme nous éliminons ceux qui ont arrêté de se manifester pendant trois mois, cela suppose désormais un rythme de croisière d'une douzaine d'arrivées chaque semaine, qui compensent autant de départs (indésirables et oubliettes).

Les gros spameurs avaient d’ailleurs été rejetés dès les premiers mois pour être filtrés en amont comme indésirables par le FAI – quelques-uns sont cités dans le billet du 6 octobre. Il n’y en a presque plus de cette importance à être apparus depuis. Les plus prometteurs pour le futur couperet semblent être, dans le désordre :


contact(arobase)achat-nom-domaine.fr
info(arobase)campaigns.betrousse.com
[bonplandujour (ou ludikado)](arobase)bonplan.netitmail.net
webmaster(arobase)datamel.net
mailing(arobase)distrifly.fr
[annonceur](arobase)emt-a.fr
[invite(ou update)+(référence)](arobase)facebookmail.com
news(arobase)hitheq.net [ou bien : newsletter(arobase)hitheq.fr]
France-Loisirs(arobase)infos.franceloisirs.com
News(arobase)InsideApple.Apple.com
contact(arobase)lingerieprecieuse.com
contact(arobase)concours.mandellia.fr
france(arobase)pandasecurity.com
info(arobase)newsletter.plandefou.com
email(arobase)planetegourmande.fr
info(arobase)prixbombe.com
ml2(arobase)tableandco.com

Pour éviter d’être systématiquement éliminés par le filtrage, certains annonceurs font appels à plusieurs spameurs. C’est ainsi le cas de Carrefour (via hitheq.net, puresdeal.com, buysmartandcheap.info…) ou de Sofinco (via hitheq.net, letter.plan-denfer.com, projet-sofinco.com…). On trouve aussi : Nouvelles Frontières, Securitas, Toner services… Exemple d’une autre astuce : un jour on voit apparaître un Sylvain.PICARD puis un autre jour PICARD.Sylvain.

Pour finir ce billet, un mot sur le hameçonnage (phishing), message qui arrive sous un en-tête et une présentation apparemment honorables et cherche soit à vous séduire soit à vous faire peur pour vous extorquer des informations personnelles ou financières. Les expéditeurs faussement mentionnés sont le plus souvent parmi vos propres fournisseurs via Internet (ex : votre FAI) ou un intermédiaire financier (ex : Paypal). Ces cas ont représenté l’équivalent de 1 à 2% des spams arrivés dans la Boite de réception.

La dernière chose à faire est de cliquer dessus ou d’y répondre. En relecture, on trouve souvent des détails curieux (orthographe par exemple). Nous le mettons aussitôt sur la liste des indésirables du FAI.

Ce que nous faisons alors est une recherche totalement séparée afin de nous adresser directement à expéditeur désigné (et non de répondre à l’envoyeur masqué), et lui transférer le message suspect ainsi reçu avec quelques mots d’explication. Il a généralement vite fait de confirmer que cela ne vient pas de chez lui et de nous conseiller de détruire un tel message. Et on suppose qu’il se met rapidement en piste pour retrouver l’expéditeur indélicat et le neutraliser car au bout de 3 ou 4 variantes reçues et signalées, on n’en entend plus parler.

Aucun commentaire: