Courrier indésirable en 2006

  1. Evolution des programmes malveillants en 2006
  2. Programmes malveillants pour UNIX et systèmes d’exploitation apparentés
  3. Les virus mobiles en 2006
  4. Bilan des Attaques Internet 2006
  5. Courrier indésirable en 2006

Bilan de l’année

  1. La part de courrier indésirable dans le trafic russe d’Internet oscille entre 70 et 80% du volume global de messages envoyés. La valeur minimale (44,1 %) a été enregistrée le 4 janvier 2006. Le pic (91 %) a quant à lui été enregistré le 26 novembre 2006.
  2. La majorité des messages non sollicités que reçoivent les internautes russes provient de Russie, des Etats-Unis et de Chine.
  3. L’année 2006 aura été l’année de l’exploitation des technologies « graphiques » dans le courrier indésirable.
  4. Les diffuseurs de courrier indésirable continuent de dissimuler des messages sous les traits de messages personnels afin d’obliger le destinataire à les lire et à réagir de la manière attendue (téléphoner au numéro indiqué, cliquer sur le lien, etc.).
  5. Le contenu des messages varie en fonction de la langue :
    • Les messages en russe portent sur des offres de formation et diverses marchandises, depuis des bustes de Poutine jusqu’à des appareils permettant d’interpréter les aboiements des chiens ;
    • Les messages en anglais proposent des publicités, du viagra et des logiciels bon marché.
  6. Les conseils juridiques et les services d’audit figurent parmi les nouveaux sujets présentés traités par le courrier indésirable en russe.
  7. La dérive criminelle du courrier indésirable s’accentue. Les spammeurs russes exploitent les services SMS.

Kaspersky Lab reçoit et analyse quotidiennement entre 300 000 à 600 000 messages non sollicités. Ce chiffre atteint parfois le million. Ce trafic provient de pièges spéciaux mis en place, et de prélèvements dans les flux de messages non sollicités reçus par nos clients et partenaires. Tout le trafic qui entre dans le système est analysé automatiquement. Une partie de ce trafic est également analysée manuellement. Le répertoire unique du courrier indésirable permet d’étudier en détails la répartition thématique et quantitative des messages non sollicités.

Part du courrier indésirable dans le trafic de messagerie : 70% – 80%

L’année qui vient de se terminer a démontré que le courrier indésirable1 n’était pas prêt de disparaître. Selon les données recueillies par Kaspersky Lab, le courrier indésirable représente au moins 70 % du volume global des messages expédiés (ce pourcentage s’affaiblit aux alentours des fêtes de fin d’année et l’on enregistre également des chutes ponctuelles au cours de l’année).

Bien entendu, il s’agit là de valeurs moyennes. La part de courrier indésirable peut être supérieure sur les serveurs de services de messagerie gratuits, cibles préférées des spammeurs et inférieure sur les serveurs de messagerie électronique d’entreprises. Toutefois, la part de courrier indésirable est très rarement inférieure à 50%. Il s’agit d’un chiffre important et il est intéressant de remarquer que, d’après les observations des analystes de Kaspersky Lab, ce tableau est identique aussi bien en Russie qu’en Occident.

La valeur minimale (44,1 %) a été enregistrée le 4 janvier 2006. Le pic du courrier indésirable dans le trafic russe d’Internet a été atteint le 26 novembre 2006 avec une valeur de 91 %. Dans l’ensemble, le diagramme de la distribution du courrier indésirable au cours de l’année 2006 est plus « plat » que pour la période allant de 2003 à 2005 : il ne présente pratiquement aucune augmentation ou chute marquée de plus d’un ou deux jours. La seule baisse notable se situe pendant les fêtes de fin d’année.

La ventilation du courrier indésirable au cours de l’année 2006 donne les résultats suivants :

  • En janvier, le pourcentage de courrier indésirable atteint le niveau le plus bas (4 et 5 janvier) avec 44% du volume global de messages.
  • On observe ensuite une progression jusqu’au pic de 86,5% en février (14-17 février).
  • Quelques sursauts supplémentaires avec des variations entre 63,8 et 81,2 %.
  • Le courrier indésirable se maintient dans une fourchette stable de 70 à 80 % du mois de mars jusqu’au milieu du mois de novembre.
  • Une faible augmentation de la part de courrier indésirable s’est toutefois manifestée vers la fin du mois de juillet 2006.
  • Quelques soubresauts ont été également enregistrés au cours de cette période suite à de grandes opérations de diffusion massive de courrier indésirable.
  • De la mi-novembre à la fin de l’année, la part de courrier indésirable s’est maintenue très près de 80%. Le pic de 91% a été enregistré le 26 novembre 2006.

Taille des messages non sollicités

Les messages non sollicités, à l’instar des messages normaux, varient en taille :

Environ 35% des messages non sollicités ou normaux ont une taille comprise entre 1 et 5 Ko. La deuxième catégorie la plus représentée (28,4%) comprend les messages non sollicités de 10 à 20 Ko. Ce pic n’est pas présent dans les messages normaux. La majorité des messages non sollicités compris entre 10 et 20 Ko sont des messages « illustrés » (cf. ci-après).

La majorité des messages non sollicités (95,6%) se retrouve dans la fourchette de 5 à 40 Ko. Parmi le courrier indésirable, on trouve moins de messages « légers » dont la taille ne dépasse pas 1 Ko (1% dans le courrier indésirable contre 13,7 % dans le courrier normal) et moins de messages « lourds » dont la taille est supérieure à 80 Ko (3,4% dans le courrier indésirable contre 16,3) que dans le courrier normal.

Provenance du courrier indésirable

Le courrier indésirable qui inonde le segment russe d’Internet provient principalement de Russie (22%), suivi par les Etats-Unis (20 %) et la Chine (11%). Ces deux derniers pays sont les deux principaux pays spammeurs au monde.

Technologies exploitées pour la diffusion du courrier indésirable en 2006

Les principales technologies utilisées pour créer et diffuser les messages non sollicités en 2006 sont inchangées :

  • les réseaux de zombies sont toujours exploités pour diffuser le courrier indésirable. Ces réseaux sont composés principalement d’ordinateurs personnels infectés en milieu domestique et contrôlés par les individus mal intentionnés.
  • Les astuces employées pour déjouer les filtres des logiciels de protection contre le courrier indésirable sont toujours la génération automatique de texte sur la base de modèles, l’utilisation de l’HTML pour dissimuler le texte spécial chargé de tromper les filtres et l’affichage du message publicitaire dans des images jointes au message.

Le diagramme suivant représente la répartition géographique des réseaux de zombies identifiés par les experts de Kaspersky Lab :

Les Etats-Unis et la Chine devancent la Russie en termes de nombre de zombies utilisés pour la diffusion du courrier indésirable vers des destinataires appartenant à l’Internet russophone. Cela s’explique peut-être par le fait que seuls les habitants des grandes villes en Russie ont accès à des connexions Internet à haut débit et qu’un spammeur ne gagne rien à utiliser les ordinateurs d’Internautes qui n’ont pas accès à un Internet « rapide ».

2006 : année du courrier indésirable « illustré »

Bien que l’année 2006 n’ait été marquée par l’apparition d’aucune nouvelle technologie révolutionnaire en matière de courrier indésirable, il faut toutefois souligner l’élément suivant : les spammeurs ont considérablement amélioré les techniques de diffusion du courrier indésirable sous la forme d’images en pièce jointe. L’idée de présenter le texte du message non sollicité sous la forme d’une image et non d’un texte à proprement parler n’est pas nouvelle. La technologie du courrier indésirable sous forme d’images modifiées a fait ses débuts en 2003-2004 et elle a rapidement stagné en raison du manque de puissance de calcul pour produire différentes images au cours d’un même envoi. Les spammeurs se sont vite rabattus sur l’utilisation des moyens offerts par le langage HTML.

En 2005, les techniques employées pour déjouer les systèmes de protection contre le courrier indésirable visaient à accélérer la diffusion des messages. En 2006, la majorité des dispositifs de lutte contre les messages non sollicités étaient capables, d’une manière ou d’une autre, de réagir plus vite que par le passé aux envois. Privés de la possibilité d’augmenter sensiblement les vitesses de diffusion, les spammeurs décidèrent de revenir à l’ancienne astuce consistant à modifier chaque message non sollicité.

En 2006, les spammeurs se sont à nouveau intéressés aux images. Nous pouvons même affirmer que l’année 2006 aura été marquée par le courrier indésirable sous la forme d’image.

Deux technologies en particulier ont remporté un certain succès pour le recours aux messages non sollicités sous la forme d’images :

  • les techniques de modification des images au sein d’un même envoi ont été perfectionnées (les paramètres de l’image jointe sont modifiés dans chaque type d’envoi) ;
  • et la nouveauté 2006 : les animations dans les messages non sollicités.

Outre l’amélioration du format des diffusions de messages non sollicités, les spammeurs ont au cours de cette année planché sur la réduction du temps nécessaire pour un envoi (les technologies les plus récentes dans ce domaine permettent d’envoyer des centaines de milliers de messages en quelques dizaines de minutes) et ils ont intégré des méthodes psycholinguistiques pour influencer le lecteur. En d’autres termes, les spammeurs continuent à travailler avec le texte et parviennent à lui donner l’apparence de messages personnels.

Images jointes aux messages non sollicités : expériences sur la couleur et le texte

Depuis le début de l’année 2006, les spammeurs ont tenté à plusieurs reprises d’améliorer les technologies de présentation d’images dans le courrier indésirable. Par exemple, le remplacement de chacune des lettres par leur représentation graphique, l’utilisation d’alphabets rares dans les « images avec le texte » tels que l’alphabet gothique, l’inclinaison de quelques degrés du texte dans les images et bien d’autres encore. Dans la pratique, les spammeurs ont à nouveau assimilé les techniques qu’ils maîtrisaient en 2003. Mais il semblerait que ces tentatives n’aient pas remporté tellement plus de succès en 2006 et c’est la raison pour laquelle elles n’ont pas suscité l’engouement.

Vers la fin de l’année, les spammeurs étaient parvenu à produire des « images » polymorphes, c’est-à-dire des images avec des arrière-plans, des textes, etc. dynamiques. Le but poursuivi par ces « expériences graphiques » était d’empêcher les filtres de courrier indésirable d’identifier les messages individuels au sein d’un envoi comme des messages contenant le même message publicitaire et d’identifier dans le texte des images les mots et les expressions clés des messages non sollicités (impossibilité d’utiliser les technologies de reconnaissance de caractères). Pour atteindre ce double objectif, les images jointes contenant le message publicitaire identique changent de couleur de fond, de police et de taille de caractère et modifient également le découpage du texte. Ces expériences furent poussées tellement loin que dans certains cas il était pratiquement impossible de lire le texte de certains messages. La technologie de l’envoi de messages non sollicités avec des images se trouvaient une fois de plus dans l’impasse.

Voici quelques exemples de messages au contenu identique qui illustrent la nouvelle technologie employée par les spammeurs :


La difficulté de filtrer ces messages s’expliquaient également par le fait que du point de vue de leur structure et de leur présentation, il était pratiquement impossible de les soupçonner :

  • les champs d’en-tête du message falsifiaient un des champs d’une des versions de MS Outlook les plus répandues.
  • Et les moyens d’insertion de l’image dans le message imitaient également ceux de cette même version de MS Outlook. Le message ne se différenciait en rien d’un message que l’utilisateur aurait créé dans MS Outlook et auquel il aurait ajouté une image dans le texte à l’aide de la souris.
  • Le message reprenait, en plus de l’image, des extraits de texte les plus divers téléchargés depuis des sites Internet très consultés.

Les éditeurs de logiciels de lutte contre le courrier indésirable et les principaux opérateurs de services de messagerie ne sont pas restés inactifs et ils ont développé diverses parades contre ce type de messages non sollicités. Tout d’abord, il était possible d’identifier un ensemble de facteurs qui distinguaient les images des messages non sollicités des images reprises dans le courrier normal. Parmi ces indices, citons la présence d’une grande quantité de texte dans l’image, l’utilisation de peu de couleurs différentes dans l’image, la répartition inhabituelle de la palette des couleurs, etc. Ils ont mis au point des méthodes de regroupement des images utilisées dans un même envoi, ce qui permit d’interrompre celui-ci après un nombre réduit de messages.

Ces « nouvelles » technologies de lutte contre le courrier indésirable contenant des images apparues en 2006 n’étaient que le résultat du développement des systèmes mis en place après 2003.

Images jointes aux messages non sollicités : animations

En août 2006, les spammeurs ont introduit la technologie du courrier indésirable avec des animations. Les premiers messages non sollicités avec des animations ont été relevés par les analystes de Kaspersky Lab à la fin du mois d’août 2006. Le pic de ce type de message s’est manifesté en septembre-octobre et à partir du mois d’octobre la part des messages non sollicités avec des animations a fortement chuté.

Les spammeurs ont recours aux animations GIF car elles sont reconnues et reproduites par la majorité des navigateurs les plus répandus. Ces animations contenaient de 3 images à quelques dizaines. Et parmi celles-ci, un très petit nombre d’entre elles étaient importantes car elles contenaient les informations. Les images cadres devaient servir à « brouiller » l’animation. Elles n’étaient pas porteuses de sens et contenaient uniquement des éléments d’arrière-plan, des figures géométriques, etc.

Les images contenant les informations étaient affichées de quelques secondes à 10 minutes tandis que les images connexes n’apparaissaient que quelques dixièmes de secondes, à tel point que l’œil humain ne pouvait même pas les voir. L’illustration tournait ensuite. Voici trois images tirées d’une animation GIF :

Au mois d’octobre, les spammeurs avaient amélioré la technique : le texte du message était réparti sur plusieurs images à raison d’une ou deux lignes de texte par image. Les images s’empilent et en fin de compte, le destinataire peut lire le texte complet du message non sollicité. Ces animations conservent au début et à la fin des images qui servent au « brouillage ».

Cette stratégie vise vraisemblablement les technologies de reconnaissance de caractères que les éditeurs de logiciels de lutte contre le courrier indésirable utilisent.

Bien que l’émergence des animations dans le courrier indésirable n’ait pas été sans poser quelques difficultés aux éditeurs de lutte contre le courrier indésirable, le problème n’était pas insurmontable d’un point de vue technique et ce type de courrier indésirable ne représente pas une menace sérieuse pour le courrier. Pour autant bien sûr que le courrier soit protégé par des filtres contre le spam.

Courrier indésirable et psychologie

L’envoi rapide d’un message et sa délivrance en passant au travers des mailles des systèmes de lutte contre le courrier indésirable est un des éléments importants de la diffusion, mais ce n’est pas suffisant. Il importe à l’auteur des messages non sollicités que le destinataire lise le texte et réalise les actions escomptées (composer un numéro de téléphone, cliquer sur un lien, etc.).

Les spammeurs ont poursuivi tout au long de l’année 2006 leur apprentissage des moyens psychologiques permettant d’influencer le destinataire. Afin d’attirer l’attention du destinataire et de l’inciter à lire le message, les spammeurs entreprennent tout pour faire croire à celui-ci qu’il s’agit de messages personnels. Au début de l’année, les astuces utilisées par les spammeurs étaient primitives : ils ajoutaient simplement les initiales RE ou FW au début de l’objet du message pour faire croire qu’il s’agissait d’une réponse à un message antérieur ou d’un message en provenance d’un destinataire connu. Vers le milieu de l’année, ces astuces « élémentaires » ont été améliorées par des masques plus raffinés.

Les spammeurs se sont penchés directement sur le texte du message. Il existe désormais des courriers non sollicités qui, d’un point de vue stylistique et lexical, ressemblent à des messages personnels. Il arrive même parfois que les spécialistes soient trompés au premier regard par ce subterfuge. Cela donne une idée de l’efficacité de cette méthode chez des utilisateurs moins expérimentés. Ces messages sont souvent très impersonnels (ne contiennent pas de salutation ou contiennent des éléments tels que « amie », « petit », etc.) pour faire croire au destinataire que le message lui est bel et bien adressé. Parfois, le faux message personnel contient également des noms. Quel que soit le cas, l’utilisateur va chercher à voir d’où vient ce message, de quoi il traite. Il va se demander également s’il ne doit pas le transférer à quelqu’un d’autre et au minimum, il lira le message.

Voici quelques exemples de courriers non sollicités qui se présentent sous la forme de messages personnels:

Très chère Maman,

Voici des nouvelles de Sacha et de Mashenka. Je sais que tu as beaucoup de travail, mais je voulais simplement te rappeler que demain c’est l’anniversaire de Macha et qu’elle va aller à l’école cette année… N’oublie pas de la féliciter…

Notre vie a été tellement chamboulée après que tu ais pris tes nouvelles fonctions. Papa nous a dit que ton travail est important : CHEF-COMPTABLE. Nous sommes fiers de toi maman !

La chaleur de ton sourire et la douceur de ta voix nous manquent… Papa n’a toujours pas appris à cuisiner et comme si cela ne suffisait pas, il jure avec des mots incompréhensibles : dettes, crédits…

Il dit également que si ton programme 1C était pris en charge par des spécialistes sérieux à l’aide de technologies modernes, tu ne serais pas retenue par ton travail.

Appelles-les au {xxx-xx-xx}. Ils t’aideront. Revient plus tôt à la maison, nous te ferons à manger… S’il-te-plaît… Qu’en dis-tu ?!!

Amicalement,

Sacha et Mashenka.


Salut MON POTE !

Tu te rappelles comme tu te plaignais des dépenses élevées pour ton bureau ?

J’ai trouvé des types qui t’aideront à réaliser de méchantes économies.

Ils m’ont fournit trois cartouches pour 900 roubles, paiement par carte et ils ont apporté tous les documents. Mon comptable mijote.

Voici leur numéro {xxx-xx-xx}. N’aies pas peur de les appeler 🙂

A+

Ventilation des sujets du courrier indésirable en 2006

Le diagramme suivant illustre les thèmes2 les plus fréquents abordés dans les messages non sollicités :

№№ Groupe thématique Courrier indésirable formant le noyau de ce groupe %%
1 « Médicaments, marchandises/services pour la santé » Publicité pour viagra, cialis et autres médicaments 16,0
2 « Escroquerie informatique » Hameçonnage, arnaque nigérienne, fausses notifications de gains à la loterie nationale, etc. 14,3
3 « Formation » Publicité pour des séminaires et des formations 13,2
4 « Finances personnelles » Proposition d’achat d’actions à un prix incroyablement bas 8,6
5 « Ordinateurs et Internet » Publicité pour des logiciels bon marché et des cartouches d’imprimante 8,3

Principaux groupes thématiques de l’année 2006

Ces principaux groupes thématiques sont composés majoritairement de messages non sollicités en anglais (à l’exception du groupe « Formation » qui contient principalement des messages en russe).

Les experts de Kaspersky Lab estiment que les utilisateurs du trafic russe d’Internet « russophone » ne sont pas le public cible du courrier indésirable en anglais. Le fait qu’ils reçoivent ces messages en anglais s’explique par l’ampleur des attaques des spammeurs. Une diffusion de courrier indésirable n’a rien à voir avec une « frappe chirurgicale ». Il s’agit plutôt d’un bombardement intensif : le résultat est atteint grâce au volume des messages envoyés. Ce volume s’exprime maintenant en millions : en général, une publicité pour un service de diffusion massive de message mentionnera la possibilité d’envoyer le message à 3 ou 5 millions de destinataires.

Le groupe « Autres biens et services » représente le plus grand segment sur le diagramme. Il s’agit principalement de publicités pour de petits vendeurs et producteurs : chauffage pour sièges de voiture, cendrier en malachite, bustes de Poutine et portrait du président en grain d’ambre, lampes de poche sans piles, stylos encre invisible, appareils pour faire des tresses et interprète en 5 langues d’aboiements de chiens. C’est précisément ce type de courrier indésirable dans l’Internet russophone en 2006 qui regroupe les messages en russe.

Le courrier indésirable en russe a été pendant longtemps trop désordonné et diversifié pour permettre d’identifier des sous-groupes mais à la fin de l’année 2006 on assistait à l’émergence de nouveaux groupes thématiques propres à l’Internet russophone. Il s’agit des offres de services juridiques et immobiliers ou de détecteurs de mensonge. Au cours du dernier trimestre 2006, les parts de ces offres ont augmenté pour atteindre leur valeur actuelle et elles se répartissaient de la manière suivante (par rapport au volume global de courrier indésirable) :

Catégorie thématique octobre novembre décembre moyenne trimestrielle
Services juridiques et audit 8,0% 2,1% 2,1% 4,0%
Immobilier 5,0% 2,5% 2,3% 3,3%
Détection de mensonge 2,0% 2,0% 2,3% 2,1%

La liste des principaux groupes thématiques de courrier indésirable en russe contient les éléments suivants :

  1. Formation
  2. Vacances et voyages
  3. Services de publicité électronique
  4. Services juridiques et audit (dans le diagramme, ils sont repris dans le groupe « Autres biens et services »)
  5. Immobilier (dans le diagramme, ils sont repris dans le groupe « Autres biens et services »)

Poursuite de la dérive criminelle du courrier indésirable

La dérive criminelle du courrier indésirable s’est manifestée pratiquement dès le début. Les causes de ce phénomène sont l’anonymat et l’absence d’un cadre législatif efficace.

Signes de la poursuite de la dérive criminelle du courrier indésirable en 2006 :

  • Augmentation de la part de catégorie « Escroquerie informatique3 » par rapport au courrier indésirable global ;
  • Emergence de nouveaux types de messages d’escroquerie ;
  • Dérive criminelle du courrier indésirable des autres catégories (comme cela se produit par exemple pour le groupe « Finances personnelles ») ;
  • Recours pour la diffusion du courrier indésirables de méthodes en violation des législations de divers pays (par exemple, les réseaux de zombies) ;
  • Maintient de l’utilisation du courrier indésirable comme voie de propagation des programmes malveillants ;
  • Recours au courrier indésirable pour le vol de données personnelles (hameçonnage) ;
  • Démonstration des moyens des spammeurs dans la résistance contre les éditeurs de solution de protection contre le courrier indésirable : plusieurs attaques ont été menées contre le service anti-spam Blue Frog, ce qui a entraîné l’arrêt du projet.

Nous reviendrons ci-après sur quelques-uns de ces indices.

Catégorie de courrier indésirable « Finances personnelles »

L’accélération sensible de la croissance du groupe thématique « Finances personnelles » s’est amorcée en août 2006 et elle s’est maintenue jusqu’à la fin de l’année. Voici une représentation de la dynamique de la part de ce groupe en 2006 :

La majorité des messages non sollicités de la catégorie « Finances personnelles » à l’origine de la croissance de ce groupe en particulier, sont des messages qui invitent le destinataire à investir dans des actions (Stock Spam). Ainsi, en septembre (début du boum « boursier »), la part du courrier indésirable financier représentait 66% des messages de la catégorie « Finances personnelles » et près de 9% du volume global de courrier indésirable.

Les spammeurs incitaient les utilisateurs du courrier électronique à acheter des actions de sociétés inconnues. Bien que les spécialistes aient classé ce type de courrier dans la catégorie « Finances personnelles » , il s’agit clairement de messages à caractère criminel. Ces « publicités » contiennent des informations mensongères et une évaluation exagérée de la hausse potentielle de la valeur des actions :

Dérive criminelle du courrier indésirable dans le trafic russe d’Internet

Une des escroqueries les plus répandues dans le trafic russe d’Internet en 2006 reposait sur l’exploitation des failles mythiques des systèmes de paiement en ligne (WebMoney, Yandex-diengi, etc.). Selon les dires des spammeurs, ces vulnérabilités permettent d’augmenter le solde du compte des utilisateurs d’une certaine somme : l’utilisateur n’a qu’à déposer de l’argent dans un porte-monnaie électronique indiqué dans le message et attendre les retours de son investissement. L’origine de ce mythe est inconnue mais les histoires sur les « porte-monnaie magiques » de WebMoney sont largement répandues et il semblerait qu’elles ont permis aux spammeurs d’engranger des sommes considérables.

Seul un utilisateur inexpérimenté peut se laisser prendre par de tels messages et le fait est que le nombre d’utilisateurs de l’Internet russophone ne fait qu’augmenter. Et un grand nombre de ces nouveaux utilisateurs sont inexpérimentés, jeunes et crédules.

Les spammeurs qui sévissent sur le trafic russe d’Internet ont développé de nouvelles escroqueries en 2006 dont certaines exploitent des éléments propres au contexte russe.

En automne, les « porte-monnaie magiques » ont été remplacés par des SMS « magiques ». Le modus operandi des escrocs est identique : les spammeurs parviennent, en invoquant diverses raisons, à convaincre l’utilisateur de transférer de l’argent sur un compte appartenant au spammeur. Mais dans ce cas, l’argent n’est pas transféré à l’aide d’un service de paiement en ligne mais à l’aide de services de SMS spécialisés (des services conçus pour transférer de l’argent d’un compte de téléphone mobile à un autre compte, de téléphone ou non).

Afin de transférer l’argent via le service SMS, il faut envoyer un SMS au contenu déterminé au numéro indiqué. Pour convaincre l’utilisateur d’agir de la sorte, le spammeur doit avancer une raison convaincante. Ainsi, l’auteur de ce message non sollicité signale au destinataire qu’il a remporté le premier prix d’une loterie inexistante par exemple.

La résistance en dehors de la dimension technique

Le présent rapport se penche avant tout sur les aspects techniques de la diffusion de courrier indésirable et de son contenu. Mais la problématique du courrier indésirable dépasse ce cadre restreint. Ce rapport ne peut aborder tous les problèmes connexes. C’est ainsi que les aspects juridiques et sociaux ne sont pas abordés. Toutefois, certains événements de l’année écoulée ont été tellement marquants que nous ne pouvons les ignorer.

Législation russe contre le courrier indésirable : premier pas en avant

Le 1er juillet 2006 marque l’entrée en vigueur de la nouvelle loi sur la publicité de la Fédération de Russie. Dans sa nouvelle mouture, la législation contient une section qui réglemente la publicité « diffusée par les moyens de communication électronique ». Cela signifie que pour la première fois, le courrier indésirable tombe partiellement sous le coup de la législation russe.

Cette loi concerne seulement une partie du courrier indésirable car elle vise à réglementer les relations dans le domaine de la publicité. Mais tous les messages non sollicités n’ont pas un caractère publicitaire (c’est-à-dire qu’ils ne correspondent pas tous à la notion de « publicité » telle qu’elle est définie dans la loi). Parmi les différents types de courrier indésirable, il existe le « courrier indésirable politique », les envois de contrôle pour valider les bases de données d’adresses, les courriers d’escroquerie et quelques autres types de courrier indésirable.

Les spammeurs ont réagi aux amendements introduits plus vite et de manière plus active que les autres utilisateurs d’Internet. Dès le mois de mai 2006, on a pu voir dans l’Internet russophone des messages non sollicités diffusés massivement pour faire la publicité des services de spammeurs. L’argument avancé en faveur de la nécessité de commander une diffusion de courrier indésirable était justement la prochaine entrée en vigueur de la nouvelle loi : « Commandez votre diffusion avant l’entrée en vigueur de la nouvelle loi sur la publicité. Travaillez dans le respect de la législation ». Tel était le message des spammeurs qui faisaient référence aux amendements. La part de publicité pour les services de diffusion de courrier indésirable a augmenté jusqu’au début du mois de juillet et il semblerait que cette campagne ait fortement contribué à l’augmentation des campagnes de spam en juin et en juillet.

Mais à la fin du mois de juillet, on observait déjà une réduction du nombre de messages non sollicités dans le courrier. Il se peut que les clients aient été indécis et qu’ils aient choisi d’attendre les premiers effets de l’entrée en vigueur de la loi. Il se peut également qu’ils aient épuisé leur budget publicitaire pour cette période. Il est difficile de connaître les causes exactes de cette baisse mais les faits sont là : vers la fin de l’été 2006, le volume de courrier indésirable était en recul et ce recul était le plus perceptible dans la tranche des publicités pour des marchandises.

Nous pouvons supposer que cette situation a été une source d’inquiétude pour les spammeurs et que ceux-ci se sont mis activement à la recherche de nouveaux clients. Ce processus est parfaitement illustré dans le diagramme de répartition du courrier indésirable appartenant au groupe « Service de publicité électronique » au cours des trois mois estivaux :

Cette fois-ci, les spammeurs ont également fait référence à la nouvelle loi, mais d’un tout autre point de vue. Ils expliquaient comment les messages non sollicités seraient diffusés sans violer les dispositions légales. Ce mode d’opération repose sur la signature d’un accord formel pour l’offre de services d’informations (et non pas de services publicitaires) qui ne sont pas concernés par la loi sur la publicité.

La chute du courrier indésirable dans le volume global de messages s’est arrêté en septembre 2006 et à la fin du mois de novembre, le courrier indésirable représentait jusqu’à 80% ou plus du volume globale.

Il semblerait que la nouvelle législation ne dispose pas encore d’instruments réels pour faire respecter la loi. Il n’existe aucune information claire sur la manière dont l’utilisateur peut obtenir des informations sur l’un ou l’autre type de message non sollicité afin qu’il puisse obtenir des preuves matérielles pour déposer une plainte. Pour l’instant, les solutions technologiques telles que les programmes qui filtrent le courrier indésirable, sont plus compréhensibles et plus conviviaux que le recours à la loi.

L’union des spammeurs fera-t-elle leur force ?

Le projet Blue Frog a du être interrompu en mai 2006. Il s’agissait d’une solution de lutte contre le courrier indésirable qui reposait sur la création d’une liste d’adresses électroniques dont les propriétaires ne désiraient pas recevoir du courrier indésirable. L’idée n’est pas neuve, mais les auteurs du projet l’avaient mise en pratique avec une certaine agressivité. Lorsqu’un commanditaire d’une diffusion massive ignorerait les demandes d’exclusion de la base de données d’adresses, son site recevait automatiquement des milliers de requêtes émanant des ordinateurs des participants au projet. Dans un sens, cela ressemblait à une attaque distribuée mais à la seule différence que les organisateurs du projet Blue Frog ne cachaient pas leur identité et faisaient clairement état de leurs intentions. Nous pouvons débattre de l’éthique de ce genre de lutte mais toujours est-il que les spammeurs commencèrent à ressentir l’efficacité de l’action au fur et à mesure que le nombre de participants au projet augmentait. Finalement, ils décidèrent de passer aux représailles.

Le projet du être interrompu suite aux attaques menées par les spammeurs contre le serveur principal de Blue Frog. Les propriétaires de la ressource craignaient que les participants au projet dont l’adresse figurait dans la base Blue Frog ne deviennent victime à leur tour de l’action des spammeurs. Le fournisseur d’accès manifesta des préoccupations similaires au sujet des utilisateurs qui n’étaient pas impliqués dans le projet. En fin de compte, Blue Frog fut fermé.

Le cas Blue Frog a démontré la capacité des spammeurs à se regrouper rapidement pour lutter contre les éditeurs de solutions de protection contre le courrier indésirable. C’est un avertissement : l’absence apparente de liens entre les spammeurs (à l’instar de ce qui existe entre les pirates informatiques) n’est qu’une illusion. En réalité, les spammeurs entretiennent des contacts relativement étroits, sans quoi ils ne parviendraient pas à s’organiser aussi vite pour lutter contre leurs ennemis communs.

La consolidation et la centralisation potentielles des spammeurs au niveau international présentent une nouvelle menace pour la sécurité des communications électroniques.

Pronostics

L’année 2006 a démontré qu’au niveau technologique les éditeurs de solutions contre le courrier indésirable avaient déjà réussi à offrir une défense fiable. Mais le volume et la part du courrier indésirable ne vont pas diminuer et la problématique sera bientôt résolue. La tendance du développement du courrier indésirable en 2007 est évidente :

  1. Il est fort peu probable que le courrier indésirable disparaisse de nos boîtes aux lettres ou que son volume diminue sensiblement. Les spammeurs vont chercher des moyens de contourner les défenses et les éditeurs de logiciel de protection contre le courrier indésirable continueront à les bloquer.
  2. Il est fort peu probable que de nouvelles technologies révolutionnaires en matière de courrier indésirable fassent leur apparition en 2007 mais les technologies existantes continueront à être développées.
  3. Selon toute vraisemblance, les spammeurs vont poursuivre dans la voie des « illustrations ». Mais cela ne va pas constituer une grande perspective pour le courrier indésirable. Les principaux éditeurs de logiciels contre le courrier indésirable sont parfaitement capables de bloquer cette voie.
  4. Le développement de technologies capables de produire de grandes quantités de message sur la base d’un modèle va se poursuivre, peut-être avec l’introduction d’algorithme linguistique et non plus au hasard comme cela se produisait auparavant.
  5. La dérive criminelle du courrier indésirable va se poursuivre tant au niveau de l’adaptation du courrier indésirable anglophone à la réalité russe qu’au niveau de l’émergence de nouvelles escroqueries informatiques propres à l’Internet russophone.


1 La législation russe ne définit pas la notion de courrier indésirable. Les experts de Kaspersky Lab utilisent donc leur propre définition du phénomène. Dans ce contexte, le courrier indésirable est « tout message anonyme non sollicité diffusé en masse par des moyens de communication électroniques, principalement via courrier électronique ».


2 Un groupe thématique contient les messages non sollicités qui peuvent être mis en rapport avec un même domaine d’activité sur la base de leur contenu. Ainsi, le groupe thématique « Formation » regroupe tous les messages non sollicités proposant des publicités pour des séminaires, des cours de langues étrangères, du matériel de cours, etc.


3 Le groupe thématique « Escroquerie informatique » reprend les hameçonnages, les arnaques nigériennes, les faux avis de gains à la loterie et les messages similaires dont l’objectif est d’obtenir de l’argent ou des données personnelles en trompant le destinataire.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *