Si l'on en croit les nombreuses études des cabinets de sécurité qui auscultent en permanence le monde du Net, les courriers indésirables (appelés spams) représentaient fin 2008 pas moins de 90 % du trafic mail. Il suffit en effet d'ouvrir sa boîte aux lettres pour voir tomber, chaque jour, son lot de «pourriels». Outre le fait qu'ils mobilisent une large part de la bande passante et nous obligent à constamment faire le ménage dans nos messages, les spams hébergent des virus ou sont la première étape d'une tentative d'escroquerie. Aussi, à l'instar des autres dangers du Net, il convient de bien les connaître pour mieux les combattre.

Publicités classiques, arnaques, virus...

À l'origine, Spam n'est qu'une marque alimentaire d'outre-Atlantique (de viande en boîte), qui a fait sa renommée non sur la qualité de ses produits, mais sur le caractère répétitif de ses campagnes de publicité. Un mode de communication agressif qui, à n'en pas douter, caractérise également la gestion des courriels indésirables qui encombrent nos messageries. Bien sûr, parmi les nombreux pourriels reçus, nombre d'entre eux sont des publicités classiques qui signalent des promotions, l'arrivée de nouveaux produits ou services. Le plus souvent, ces spams sont adressés par des sites sur lesquels des achats ont déjà été faits, où en tout cas une adresse mail a été laissée par le visiteur. Toutefois, d'autres messages indésirables ne sont en fait qu'un moyen de soutirer de l'argent au destinataire par un moyen ou un autre. Tout le monde connaît les fausses loteries dont chacun d'entre nous a déjà été l'heureux gagnant, les lettres dites « nigérianes », qui conduisent l'héritière d'un milliardaire d'un pays en guerre à nous choisir pour rapatrier sa fortune en France, ou encore la promesse de retrouver une nouvelle jeunesse sous les draps grâce à des pastilles bleues... En plus de ces vieilles arnaques (qui néanmoins trompent encore de nombreux internautes), il faut maintenant compter avec le célèbre phishing. Derrière ce terme (hameçonnage en français) se cache une technique d'escroquerie redoutable. Dans la pratique, l'internaute reçoit un courriel lui annonçant que la banque X ou le magasin Y, dont il est client, a besoin pour une raison quelconque (travaux de maintenance technique, données égarées, réactualisation du système...) qu'il se connecte au service en ligne (par le biais d'un lien proposé dans le courriel) de la dite société. L'internaute clique sur le lien, le site de la société apparaît ainsi qu'un formulaire de saisie de données. Or, soit le site est faux, soit le formulaire, ou les deux, et si l'internaute tente de se connecter, il transmet de fait ses coordonnées bancaires. Le tour est joué. Enfin, il faut également rappeler (cf. dossier du mois dernier) que les courriels sont aussi largement utilisés pour véhiculer des chevaux de Troie, vers et autres virus en tout genre. Il convient ainsi de traiter ces courriers non désirés avec la plus grande prudence.

Comment réagir ?

Il existe différentes stratégies pour lutter contre les spams. La première, la plus simple, mais pas la moins onéreuse, est de confier la gestion de son système de messagerie à un prestataire extérieur. Dans ce cas, l'hébergeur aura pour mission de contrôler le flux de courriels entrants grâce à des logiciels filtrants. Ces derniers pourront soit marquer les messages douteux avant de les adresser au destinataire, soit les détruire. En mode local, il est également possible d'utiliser des logiciels filtrants associés à la messagerie. Moins performants que les filtres utilisés par les professionnels, ces systèmes permettront cependant d'identifier et de traiter un nombre important de spams. Inclus dans le système de messagerie (Thunderbird) ou sous la forme de programmes associés (SpamPal, SpamFighters avec Outlook Express), ces outils sont simples à utiliser et présentent l'intérêt d'être évolutifs, c'est-à-dire d'apprendre avec l'aide de l'utilisateur à distinguer avec plus de précision les spams des courriels. Enfin, comme avec les virus, les logiciels et les machines ne peuvent pas tout et il convient d'adopter quelques règles de prudence pour ne pas voir sa boîte aux lettres crouler sous les pourriels.

Ce qu'il faut savoir sur l'externalisation de sa messagerie

Les logiciels filtrants déployés dans les services informatiques des grandes entreprises et par les hébergeurs s'appuient souvent sur les « black lists » pour identifier les pourriels. Ces bases de données mutualisées ont pour objet le recensement des adresses utilisées par les spammeurs pour envoyer leurs courriels. Une fois qu'une adresse y est inscrite, tous les messages émis à partir de cette dernière se voient rejetés. Or, de nombreux spammeurs détournent (par le biais de virus notamment) les adresses de tiers, les condamnant ainsi à voir leurs courriels détruits, avant d'être lus, par les destinataires protégés.
Pour éviter cette situation, il est recommandé de demander au prestataire un marquage des courriels douteux plutôt qu'un simple rejet. Ainsi, les messages suspects verront leur « sujet » s'enrichir d'une marque spécifique (**spam**, par exemple) ce qui permettra au destinataire de les identifier et de les traiter pour les stocker dans un répertoire particulier. Dès lors, ils n'encombreront plus le répertoire principal et pourront être « repêchés » en cas d'erreur de marquage.

Ne pas oublier la Cnil

La Commission nationale informatique et libertés a pour mission de veiller au respect des règles de création et d'administration des fichiers automatisés à caractère nominatif (c'est-à-dire permettant d'identifier des personnes physiques). Cette commission vérifiera par exemple que la collecte des données s'est faite avec le consentement des personnes fichées, et que le droit de ces dernières à ne plus faire partie de ces fichiers est bien respecté. Pour faciliter ces opérations de contrôle, la Cnil a mis en place un partenariat avec une association baptisée Signal-Spam (www.signal-spam.fr) qui propose un outil téléchargeable permettant à tout internaute de signaler d'un simple clic l'arrivée sur sa messagerie d'un pourriel. Le message est ensuite transmis à la Cnil qui, si elle constate qu'il est issu d'un fichier « illégal », pourra condamner l'entreprise française utilisatrice à une amende pouvant aller jusqu'à 300 000 euros.
Apparu depuis quelque temps, le spam sur téléphone portable est en passe de devenir à son tour une véritable nuisance. Aussi, le gouvernement français a mis en place depuis le mois de novembre un numéro de téléphone, le 33 700, sur lequel les utilisateurs de mobiles sont invités à transférer les SMS indésirables reçus afin de permettre aux autorités d'identifier et de poursuivre les spammeurs.

Quelques règles de bon sens

- Ne rien laisser traîner
Les spammeurs utilisent des robots pour récolter les adresses électroniques. Dès lors, que ce soit sur un site, un blog, ou une fiche de présentation, il est conseillé de « maquiller » son adresse en remplaçant par exemple le @ par [@] ou par [at], ce qui permettra de tromper une machine, mais non une personne douée de raison.

- Changer d'adresse pour les opérations en ligne
Il faut éviter de donner son adresse mail à « n'importe qui ». Or, pour utiliser certaines applications ou pour acheter en ligne, il est impératif d'en communiquer une. Si, le plus souvent cette dernière ne sert qu'aux échanges entre l'internaute et le service en ligne, quelquefois elle finit dans les fichiers d'un spammeur. Aussi, pour réaliser ce type d'opération en ligne, il convient d'utiliser non pas son adresse professionnelle ou celle de son domicile, mais une autre que l'on aura créée gratuitement auprès d'un prestataire tel que Gmail ou Yahoo!.

- Faire le mort
La règle fondamentale en matière de spams est de ne jamais donner suite, même si dans le message il vous est proposé de cliquer sur un lien pour ne plus jamais recevoir de courriel publicitaire. En effet, en répondant, vous confirmerez que votre adresse est valide (elle pourra alors être vendue plus cher).

- Un peu de bon sens
Aucune banque, aucune entreprise de vente en ligne ne vous contacteront par courriel pour vous demander des références bancaires ou un mot de passe. Si néanmoins vous souhaitez en avoir le coeur net, n'utilisez jamais le lien qui vous est proposé dans le courriel (il pointe sans doute sur un faux site) ou le numéro de téléphone fourni (il est sans doute surtaxé) pour contacter cette banque ou cette entreprise.

Article du 05/02/2009 - © Copyright SID Presse - 2009