Savez-vous que vous êtes un spammeur ?

Le spam (envoi de mails non sollicités) est un fléau majeur du Net, et nul ne peut l’ignorer. Si vous n’avez jamais reçu de publicité pour le Viagra, un prêt immobilier américain, ou l’obtention facile de diplôme, rassurez vous : cela viendra.
Comme les spammeurs à l’origine de cela sont des gens courageux (!) ils utilisent de nombreuses techniques pour éviter qu’on les trouve (car, bien sûr, le spam est illégal).
Dans ces nouvelles tendances du spam, les méchants se font passer pour vous. Voire, plus subtil, deviennent vous !

Pourquoi recevez-vous du spam ?

Une élève me demandait récemment comment il était possible de ne jamais recevoir du spam. Ma réponse l’a semble-t-il un peu démoralisé : il suffit de ne pas avoir de mail, de ne jamais se connecter à Internet.

Les moyens de se retrouver dans une liste de spam sont très nombreux, en voici une liste (non exhaustive) :

Vous voulez être contacté…

Vous vous êtes inscrit pour en recevoir. Cela arrive, paraît-il. Vous savez, lorsque vous vous abonné à un service, et qu’une case à cocher vous propose de recevoir des offres de partenaires. C’est à dire que votre mail sera au mieux utilisée par le site pour vous envoyer des offres de ses partenaires (dans le respect de ses abonnés et de la loi, cela arrive). Et au pire, votre adresse sera diffusée massivement à qui veut bien l’acheter.

Vous avez utilisé un service de carte postale virtuelle. Et donc laissé votre mail, ainsi que celui du destinataire de la carte. Si la plupart sont honnêtes, certains se servent de ces services pour collecter des mails.

Vous avez un site Web, et naturellement laissé un mail pour vous contacter. Les spammeurs utilisent des robots pour surfer et collecter les mails qui traînent.

Vous avez répondu à un spam pour demander à être désinscrit ; grave erreur ! C’est le meilleur moyen de prouver que votre adresse est valable, et que vous consultez vos messages. Et donc possède une valeur supérieur sur le marché du spam. Pour être dans les fichiers, qui seront (souvent) revendus…

Identifiant de messagerie

Vous avez la chance d’avoir votre prénom comme identifiant de mail ? roland@test.com ? Heureux homme… Les spammeurs utilisent des générateurs de mails, qui arrosent chaque prénom, associé à chaque domaine : richard@test.com, daniel@test.com, eric@test.com … Et les variantes numérotées : richard1@test.com, richard2@test.com, richard3@test.com…

Dans le même ordre d’idée, vous avez un travail. Vous êtes webmaster. Vous allez donc avoir comme adresse webmaster@test.com, c’est à dire une adresse générique. Comme contact@test.com, account@test.com, admin@test.com et j’en passe…

Votre entreprise, ou votre FAI utilise une charte de nommage classique, initiale du prénom, suivi d’un point, suivi du nom de famille. Les méchants vont donc utiliser les lettres de l’alphabet, associées aux dictionnaires de nom de famille : a.martin@test.com, b.martin@test.com, c.martin@test.com…

Nom de domaine

Vous avez déposé un nom de domaine. Les coordonnées que vous avez saisi (qui sont obligatoires) sont de fait devenues publiques. Y compris, et surtout, votre adresse email (il suffit d’utiliser un service WHOIS en accès libre).

On le voit à travers ces quelques exemples, difficile d’y échapper. Et c’est d’ailleurs logique. Compte tenu que l’expédition d’un mail ne coûte rien, il peut y avoir de la perte. Sachant que les gens achètent parfois les produits vantés dans le spam (2% à 10% selon les études), les frais sont rapidement couverts…

Précisons le à toutes fins utiles : n’achetez jamais via ce canal. Ce serait encourager ces pratiques (en outre, il est rare que le Viagra vendu en soit du vrai…).

C’est pas moi, c’est lui

Les condamnations tombent parfois, les plus gros spammeurs que sont les américains sanctionnent régulièrement de gros poissons, mais force est de constater que le phénomène prend chaque jour de l’ampleur… Ce n’est pas dissuasif à 100% (les enjeux sont trop importants pour cela), mais force les spammeurs à essayer de ne pas se faire prendre.

Et pour cela, rien de plus simple : il suffit de laisser croire que ce n’est pas eux qui envoient le spam, mais vous, moi, n’importe qui…

Là encore, quelques méthodes, non exhaustives.

SMTP ouvert, sans authentification

Pour faire simple, quand on envoie un mail avec Outlook (ou tout autre logiciel de messagerie), on expédie notre message au serveur SMTP de notre FAI. Ce dernier va vérifier que vous êtes abonné chez lui, et alors autoriser l’expédition vers le destinataire. Il est rare qu’il en demande plus (il pourrait faire en sorte que votre identifiant et mot de passe soit précisé).

Certains, par une volonté de liberté d’expression, par incompétence ou ignorance, voire par une connivence rémunératrice, laisse ces serveurs ouverts à tous, permettant ainsi aux spammeurs de passer par eux.

Le plus souvent d’ailleurs, les mails ainsi expédiés passent de relais ouverts en relais ouverts.

De fait, vous recevez un spam semblant venir de aol.com ou free.fr alors qu’il provient d’ailleurs.

Protocole mal conçu

Au début du mail, Internet était un espace de jeux pour universitaires. Cela se passait dans un univers clos, de confiance. Nul besoin de sécurité réelle, puisque tout le monde se connaissait plus ou moins.

Ainsi, lors de la mise au point du fonctionnement des mails (des protocoles de communication), il suffisait d’avoir configuré sa messagerie pour que l’on sache qui expédiait le message : en regardant la zone expéditeur, tout simplement. Hélas, Internet a explosé dans son nombre d’abonnés, et les méchants sont venus. Mais le protocole initial, lui, n’a pas changé.

Il est relativement simple quand on expédie un mail de modifier cette fameuse zone expéditeur, en saisissant simplement from: ;nimportequoi@test.com. Si cela ne résiste pas à une analyse approfondie des entêtes du mail, le destinataire voit arriver un mail en provenance de nimportequoi@test.com qui se trouve être quelqu’un de confiance ; et donc l’ouvre.

C’est ainsi que certaines institutions ou entreprises se sont retrouvées expéditrices de nombreux mails, dont fbi.gov, ebay.com, bnpparibas.fr et j’en passe. Et plus proche de nous (de moi en tout cas) de rcarlier.com ou rcarlier.net. Où n’importe quel nom de domaine bien entendu, au hasard si possible.

Formulaire mal protégé

Sur votre site, et pour éviter de laisser votre adresse mail à disposition des robots moissonneurs de mail (voir plus haut), vous avez mis en place un formulaire contact, dont le but est de vous envoyer un mail à vous. Ce que font d’ailleurs la plupart des formulaires.

Il est hélas techniquement très simple pour un spammeur de détourner ce formulaire pour y adjoindre des destinataires multiples. Ainsi, vous recevrez votre message, ainsi qu’une centaine d’autres personnes. Bien sûr, le message saisi dans la zone de formulaire aura un contenu hautement publicitaire. Le tout piloté par un robot qui passera régulièrement par le formulaire pour y balancer son poison, en changeant les destinataires.

Transformant ainsi votre serveur en plate-forme de spam, dont l’expéditeur se trouve être vous, pour de vrai (et pour le coup, il est quasiment impossible de remonter au spammeur). Transformant également de nombreux forums de discussion en étals publicitaires.

Les protections possibles se font à deux niveaux, et sont relativement simples à mettre en place également (et il faut le faire !) :

• Au niveau du programme qui traite les données du formulaire (php, asp, perl…), on vérifiera que les champs saisis ne possèdent aucun retour à la ligne. Et tout particulièrement ceux où l’internaute entre son nom, son mail, ou le sujet du message. Ces zones là composent l’entête des mails, et en les trafiquant on y ajoutera facilement des destinataires en copie.
• Au niveau de la saisie des données, on utilisera ce que l’on appelle un CAPTCHA. C’est à dire ces images qui présentent à l’internaute quelques lettres et chiffres bizarrement disposés à la lecture difficile, et qu’il doit retaper tel quel. Les robots spammeurs, qui ne savent pas lire et donc pas reconnaître les caractères, seront refoulés.

Votre ordinateur est un zombi

Et pourquoi ne pas faire croire que c’est un particulier, chez lui, qui expédie des milliers de messages ? Et pourquoi, d’ailleurs, ne le ferait-il pas ? A son insu, bien entendu…

Le principe est simple : un programme installe sur votre ordinateur (nous verrons comment) un serveur SMTP, le transformant ainsi en machine à spammer. A intervalle régulier, il récupèrera des listes de destinataires, et des contenus, qu’il se chargera alors d’expédier. Ou bien, il servira de relais de spam (voir plus haut, SMTP ouvert) en prenant soin de nettoyer les entêtes réels des mails.

Dans tous les cas, l’utilisateur infecté passera pour l’expéditeur réel du spam (ce qu’il sera, d’un point de vue technique).

Comment s’installent ces programmes ? De trois méthodes différentes :

• La première se présente sous la forme d’un mail que vous recevez, qui possède une pièce jointe. En cliquant sur la pièce jointe en question (ne jamais le faire !) vous déclenchez l’installation sur votre machine.
• Le second passe par des programmes que vous installez vous même : certaines barres d’outils que vous ajoutez à votre navigateur par exemple (pas toutes, heureusement). A l’installation, l’utilitaire s’installe, ainsi que le programme malicieux.
• La troisième variante, utilisera plutôt une faille système pour s’installer. Pour faire simple là encore, certains ordinateurs ne sont que très mal protégés, et il est facile d’y installer des programmes, à distance.

Pour se protéger de cela, deux réflexes à avoir : un peu de bon sens (ne jamais ouvrir les pièces jointes), et quelques programmes pour se protéger (firewall, antivirus, mise à jour système…)

Conclusion : la résistance (ne) s’organise (pas)

On le voit, les méchants spammeurs sont prêts à tout pour que l’on ne remonte pas jusqu’à eux. Et pour cause, ils utilisent des moyens illégaux pour vendre des produits parfois eux même illégaux (les fameux Viagra et autres, qui sont le plus souvent des contrefaçons).

Les nouvelles tendances du spam vont donc se baser sur un manque de sécurité des programmes installés sur les serveurs Web (systématisons les CAPTCHA), et / ou sur les faiblesses du protocole d’expédition des mails, afin de transformer n’importe quel serveur, n’importe quel internaute en spammeur. Réel (car sa machine est détourné), ou virtuel (car seul l’entête est faussé), mais spammeur quand même.

Les grandes instances de l’Internet réfléchissent à modifier le protocole SMTP, rendant obligatoire l’authentification avant l’expédition. D’autre réfléchissent à rendre payants les mails, pour freiner les gros consommateurs (et tous les utilisateurs honnêtes du même coup). Mais les enjeux financiers sont tels qu’il faudra sans doute attendre de nombreuses années avant que l’on arrive à une évolution quelconque.

Le spam a donc encore de beaux jours devant lui…