Il y a environ trois mois (billet du 17 octobre), nous en étions, en matière de spams, à quelques constats et interrogations. En même temps, avec le concours d’Ivona notre conseillère en techniques avancées, l’analyse s’affinait.
Constat d’une recrudescence de spams et interrogation sur l’efficacité des annonces de cette rentrée d’automne pour une lutte intensifiée face à ce phénomène. L’analyse proposée permettait aussi de distinguer entre les entreprises (ou associations) qui cherchent à vous vanter leurs produits, les expéditeurs (adresse de courrier électronique) qui vous mettent cela sous enveloppe virtuelle, et les centres d’hébergement et de diffusion, identifiables par leur adresse Internet (IP).
Notre capacité d’analyser est, sur certains points, devenue encore plus précise. Il faut même avouer qu’à relire les premiers billets sur le sujet, parfois élaborés sur la base de griffonnages sur des nappes en papier de bistrot, notre bonne foi et notre bonne volonté ont été prises en défaut. Nous ne les avons pas réécrits a posteriori : traînent ici ou là quelques erreurs manifestes.
Que peut-on dire sur le dernier trimestre de 2010 ?
Un effondrement de ce qui parvient à notre fournisseur d’accès à Internet (FAI) et que celui-ci arrête de façon systématique. On est ici dans le très approximatif puisque l’on regarde la liste des messages que ce FAI a bloqués au cours de la semaine précédente et que l’on multiplie par 13 semaines, pour avoir une idée sur l’ensemble du trimestre écoulé.
Les fois précédentes les chiffres avaient oscillé entre 2000 et 4500. On se trouve cette fois à moins de 500. Il y a certes eu, surfant sur une période de Noël plutôt porteuse, la trêve des confiseurs… Mais elle n’explique pas tout. On voit surtout que l’ancien déluge de spams anglo-saxons s’est considérablement tassé – soit que (des bruits en avaient couru, pour les vendeurs de Viagra, par exemple) les sources correspondantes ont été neutralisées, soit que le FAI ait décidé de les ignorer.
Ce qui fait que, contrairement aux périodes précédentes, la part de messages bloqués, à partir d’adresses de spammeurs insistants, et principalement francophones, que nous avions nous-mêmes signalés, devient désormais visible, voire prépondérante.
Intéressons nous maintenant aux spams qui ont franchi le barrage amont du FAI.
Rétrospectivement, la période d’été apparaît comme un pic et l’on est peut-être revenu au niveau antérieur. Celui-ci oscillait entre 240 et 290 spams par trimestre et avait connu une pointe à 360 entre juillet et septembre. Nous en sommes à 260 pour la fin de l’année.
Si nous utilisons une définition un peu différente – le nombre d’expéditeurs (voir plus haut) et non plus le nombre de messages – la tendance à la baisse est encore plus caractéristique : il y en a deux fois plus à sortir du circuit qu’à y entrer. Le phénomène de renouvellement n’est pas nouveau : on savait qu’autour des deux-tiers des expéditeurs présents au début disparaitraient au cours du trimestre… mais ils étaient jusqu’alors, pour le moins, remplacés. Ce n’est plus le cas : les trois-quarts s’en vont, et beaucoup moins se présentent à l’entrée. C’est ce que montre le graphique à droite de l’illustration.
Au sein des messages que nous voyons directement arriver, il en est de trois sortes :
- Les bons messages : nous n’en tenons pas un décompte précis mais il doit s’agir de plus d’une dizaine par jours, à destination de l’ensemble de nos adresses e-mail.
- Les spams non encore étiquetés comme tels car nous les découvrons pour la 1ère ou la 2nde fois : 115 ont été dénombrés pour le trimestre qui vient de s’achever (contre 171 pour le précédent).
- A la 3ème fois, nous déclarons les spams à notre propre logiciel anti-spams pour que celui-ci les range aussitôt dans le dossier qui leur est consacré : 141 y ont été rangés pour le dernier trimestre (contre 188). Si l’insistance est trop forte – nous avons choisi : 10 fois – nous les dénonçons à notre FAI qui les refoule en amont de son barrage.
Pour terminer, vous pouvez jeter un œil à la partie gauche de l’illustration du début. Elle permet – sur l’ensemble des cinq derniers trimestres – d’identifier les principaux expéditeurs des spams que nous voyons arriver ainsi que les principaux hébergeurs (adresse IP et intitulé, selon le WHOIS) et comment ils se rattachent entre eux.
A titre d’exemple, l’expéditeur dont la fin d’adresse e-mail est en …do05.net (et, à un moindre titre, …emm02.net) fait appel à l’hébergeur SYSTONIC-LDCOM (IP : 80.118.49.***). Wanadoo, bien placé mais qui semble tout seul, travaille avec son propre jeu d’IP pour une foultitude de petites structures qui cherchent à attirer l’attention sur elles (idem, semble-t-il pour Yahoo).
Si on ne s’en tenait qu’à l’automne 2010, on remarquerait que plusieurs de ces expéditeurs continuent de prospérer : …ccemails.net (ou .com), …milkyway.com, ...unitead.info, ...edt02.net (plutôt que .com), ...emv2(ou 5).net.
Parmi ceux qui ont pointé ou pointent leur nez :
...facebook.com a eu un tel succès qu’il a rapidement atteint les 10 manifestations spam. Il a ainsi été signalé au FAI qui le bloque avant même qu’il arrive jusqu’ici – on n’en n’entend plus parler.
Un nouveau venu – qui, à son rythme actuel, va rapidement être signalé au FAI – est …helenemail.com (IP dirigeant vers NET-BILNET, implanté à Istanbul, et peut-être aussi au Pakistan). Sa pub est ciblée pour Gala Hotels. Dans son cas, WHOIS ne donne pas explicitement d’adresse e-mail abuse, qui permettrait de lui exprimer des doléances.
....cybercartes.com a profité d’une carte de vœux qui nous a été envoyée à Noël pour nous suggérer de dire Merci à l’envoyeur – ce qui a été fait… et a ensuite cherché à nous enrôler par de multiples propositions. Il est bien parti pour suivre le même chemin que …facebook.com.
Aucun commentaire:
Enregistrer un commentaire