Grâce à Ivona, plus experte que moi en ce domaine, nous avons pu analyser les spams et autres hameçons qui sont parvenus à nos boites à lettres e-mails au cours des trois derniers mois. Cette 4ème édition (le dernier message sur le sujet date du 2 juillet) confirme donc le rythme devenu trimestriel que nous donnons à notre propos
Bref rappel : filtrage amont à 90%Cette analyse concerne les spams qui sont passés entre les mailles de filets déjà installés en amont, d’abord par le fournisseur d’accès Internet (FAI) puis par le logiciel antispams installé sur le PC. A partir de quelques 260 messages considérés comme indésirables et bloqués par le FAI au cours de la dernière semaine (ceux d’avant avaient été effacés au fur et à mesure), on est tenté de déduire que le rythme est passé à près de 37 par jour. A ces 37 spams, il faut en rajouter 4 qui ont franchi les barrages (360 repérés au total entre juillet et septembre).
Ce qui conduit à deux types de remarques :
- Si cela se confirmait, ce serait une accélération très importante, au regard de la dizaine par jour que l’on avait notée au cours des mois précédents. Il se peut aussi que cette dernière semaine ait été exceptionnelle. Mais cette nouvelle poussée n'est-elle pas confirmée par les 360 spams qui ont réussi à se frayer leur chemin jusqu'au bout au cours d'un été où les marketeurs et informaticiens prennent pourtant des vacances ? Ce score représente une grimpette de 30% par rapport aux 270 d’avril à juin et de 45% par rapport aux 240 du 1er trimestre 2010.
- Le taux de filtrage en amont serait alors redescendu à 90% du total des spams, alors que dans notre analyse de juillet nous nous réjouissions qu’il ait progressé de 90 à 95 entre le 1er et le 2nd trimestre.
Rappelons enfin qu’en bonne part les spams bloqués en amont sont souvent rédigés en anglais et que ceux qui passent à travers le sont en français (bénéficieraient-ils d’un régime de faveur ?).
D’où viennent ces spams ?En matière de sources, on peut distinguer trois niveaux :
- Le plus immédiat est celui des offres ou entreprises à l’origine de la proposition : particuliers cherchant à écouler des logiciels à prix réduit, proposant une formation au théâtre ou une invitation à un concert, dans certains cas. Messages de la part de Nestlé, Sofinco, Carrefour, Allianz, Meetic, EDF, Facebook, Maeva, Le Monde, Marionnaud, Hertz, etc. la plupart du temps. La démarche artisanale qui est la nôtre a exclu de s’encombrer d’une collecte systématique et donc d’une esquisse statistique à ce niveau.
- Vient ensuite ce qui apparaît dans l’adresse e-mail de l’expéditeur (ex : "Veronique de Paddhoue" noreply(arobase)auto-verte.info). Depuis un an, nous avons collecté près de 600 adresses de ce genre, qui se renouvellent assez régulièrement : c’est ainsi que nous n'en avons respectivement eu que 156, 145 et 178 au cours des 3 premiers trimestres de 2010 – mais ce n’étaient pas automatiquement les mêmes d’une fois sur l’autre.
- Et enfin le n° IP de l’émetteur qui est souvent un hébergeur de plusieurs expéditeurs : nous en avons recensé dans les 330 depuis le début. Mais, en poussant un peu plus loin, c'est-à-dire en regroupant les émetteurs dont l’intitulé était semblable, on descend au-dessous de 200. C’est dire que l’on a affaire à des hébergeurs qui accueillent des expéditeurs de spams.
Les hébergeursPrenons des IP des séries [92.243.xxx.xxx] et [95.142.xxx.xxx] comme [92.243.31.222] (émetteur : xvm-31-222.ghst.net – expéditeur : "Regroupements de crédits")
Autres gros hébergeurs en xxx.do05.net, dans la série [80.118.49.xxx] et en wanadoo.fr (généralement de la part de petites entités ou de particuliers). Viennent ensuite xxx.amenworld/-pro.com… xxx.ccemails.com/net… xxx.rev.gaoland.net…
Fastidieux en 17 étapes, voire inutileOn comprend dès lors que les recommandations faites à leurs clients par certains FAI pour contribuer à éliminer les spams ("Nous avons fait notre part du boulot, à vous de jouer maintenant...") sont fastidieuses ou inutiles – voire les deux.
Leur recette est, à partir du message reçu, de retrouver l’IP du spammeur grâce au Jeu de l'Oie suivant : (1) "Propriétés" puis (2) "Détails" puis (3) trouver la bonne ligne "Received: from" et (4) recopier l’adresse IP qu’on y trouve.
Il faut ensuite (5) ouvrir un site Internet spécialisé dont ils donnent l’adresse, (6) aller à la page permettant de retrouver les coordonnées du titulaire de l’IP, (7) y copier cette adresse et attendre l’arrivée des coordonnées, (8) rechercher dans le flot d’information l’adresse e-mail de leur Service dit "Abuse" qui est censé faire la police chez eux.
Il s’agit maintenant d’envoyer un message circonstancié – c’est-à-dire donnant les informations nécessaires et utiles à ce Service "Abuse". Ce qui, en pratique, nécessite de (9) préparer un message à destination dudit Service "Abuse", (10) de lui raconter – si besoin dans sa langue (*) qu’on a reçu un spam venant de son adresse IP et (11) qu’il s’arrange parce qu’on ne veut plus en recevoir, puis lui mettre les points sur les "i", ce qui demande au préalable (12) de revenir à l’étape n° (2) et poursuivre (13) vers la "Source du message", (14) de le sélectionner / surligner en entier, (15) d’en préparer la copie (ex : via CTRL.C) et (16) la déposer (ex : CTRL.V) à la fin du message que l’on pourra (17) alors gratifier d’une formule de politesse, signer, envoyer et prier le Ciel qu’il y ait une suite favorable.
(*) D’une part, il n’est pas rare de tomber sur des interlocuteurs anglo-saxons qui vous avouent avec une grande franchise ne s’exprimer qu’en anglais. D’autre part, si (outre ceux en .fr) les hébergeurs en .biz - .com - .eu - .info - .net - .org sont au rendez-vous, d’autres en .br - .ch - .cl - .de - .es - .gr - .it - .ke - .ma - .pl - .rs - .ru - .tw - .uk ne manquent pas non plus.
Démarche fastidieuse comme on vient de le voir, d’autant plus que les spammeurs de niveau 1 savent passer par plusieurs canaux. NESTLE, par exemple, utilise aussi bien
Démarche potentiellement douteuse puisque, dans presque la moitié des cas, on atterrit chez un hébergeur qui a un confortable portefeuille de spammeurs et dont on imagine que le Service "Abuse" aura appris avec le temps comment gérer les conflits d’intérêts de sa boite entre le nerf de la guerre et quelques plaintes d’isolés.
Avant ou après le tsunami ?
Dans le numéro de septembre dernier, qui inaugure la fusion entre les principaux mensuels de la presse française dédiée à la micro (L’Ordinateur individuel et SVM), Jean-Christophe Le Toquin qui vient d’être élu président de Signal-Spam affirme que la guerre au spam est déclarée.
L’espoir qui émane de cette déclaration se nourrit du parcours de l’intéressé : spécialisé en propriété industrielle, il a notamment, pendant cinq ans, été délégué permanent de l’AFA (association qui regroupe les FAI) dont il a rédigé un code de déontologie, et a eu pour mission d’expliquer les tenants et aboutissants de ce genre de métier aux médias et aux politiques.
Le bémol vient de ce que Signal-Spam, qui existe depuis quelques années, est plus ou moins une émanation des leaders de la vente à distance. L’expérience que nous en a relaté un particulier qui, comme bien d’autres, avait été incité à s’y inscrire pour signaler des spams sur leur site n’a pas été enthousiasmante : information pratiquement à sens unique (vers Signal-Spam) doublé d’une efficacité pratiquement nulle quant à voir disparaître la pression de la part des spammeurs signalés.
Aucun commentaire:
Enregistrer un commentaire