Les auteurs sont consultants indépendants, spécialisés dans l´optimisation de l´usage d´Internet en entreprise, co-auteurs de l´ouvrage « Halte au Spam » (Eyrolles) et co-organisateurs de la première conférence française sur ce sujet. Ils sont membres du Groupe de contact « Spam » mis en place par le gouvernement français.

Quel est le point commun entre une entreprise privée de messagerie pendant une semaine, une mère qui découvre que sa fille de huit ans étudie une offre pour « allonger son pénis » et un internaute accusé à tort de diffuser des messages pédophiles ? La réponse tient en un mot : Spam. Année après année, les opposants au Spam ont cru détenir « LA » solution qui mettrait fin à ce fléau. Si l´actualité se focalise sur les futures solutions d´authentification des emails (Sender ID, SPF, Domain Keys etc.), la première démarche a été de bloquer la réception des messages en provenance de certaines adresses email sources, nom de domaine et adresses IP. Le filtrage sur liste noire s´est rapidement imposé, et il demeure, pour de multiples raisons, encore largement employé.

L´efficacité, les apports et les inévitables effets de bord de cette pratique n´avaient jamais été évalués. Nous venons onc de publier une étude sur ce sujet (disponible intégralement sur le site www.halte-au-spam.com ). Ce document didactique répond aux questions les plus fréquentes, telles que : Qui gère les blacklists ? Comment se trouve-t-on blacklisté ? Quelle est l´efficacité réelle de ce filtrage ? ... et comporte une série de conseils pour éviter de figurer sur les listes noires, ou pour en sortir plus rapidement. Cette analyse basée sur une campagne de mesures, s´est déroulée de mars à octobre 2004. La mise à l´index d´une soixantaine d´entreprises et d´administrations françaises par une vingtaine de blacklists anti-spam telles que Spamcop, Spamhaus, Spews ou Orbs a été enregistrée.

Plus de la moitié de ce panel (53% exactement) a été indexée pendant cette campagne. Certaines de ces mises au pilori semblent abusives. Ainsi, une grande entreprise est blacklisté car l´une de ses filiales n´a pas correctement renseigné le Whois... Dans la plupart des cas toutefois, le traitement est justifié, souvent par l´existence d´un serveur SMTP en relais ouvert, d´un proxy ouvert, voire de PC zombies au sein des entreprises. Ces failles ont effectivement été exploitées par les spammeurs pour effectuer leurs envois, car certaines listes noires sélectionnées utilisent comme critère d´entrée la réception de pourriels sur des boites pièges, de type honeypot.

Sans surprise, c´est un FAI qui décroche la palme de l´entité mise à l´index par le plus grand nombre de listes, le plus souvent et le plus longtemps. Quel pourcentage réel des courriels émis par ses clients a finalement réussi à atteindre sa destination ? La durée la plus longue en liste échoit à une grande administration, pour cause de relais ouvert.

Toute mise à l´index est préjudiciable pour l´image d´une entreprise. Mais l´impact est directement mesurable sur le fonctionnement même de la messagerie. Ainsi, courant octobre, l´un des constructeurs automobiles français s´est retrouvé blacklisté par Spamcop pendant trois jours. D´après nos hypothèse, cette société aurait vu au moins 25.500 de ses messages bloqués durant ce laps de temps ! Une étude Clearswift de mars 2004, a révélé que dans 62 % des cas il fallait plus d´une journée pour sortir de ces listes. Pour 21 % des répondants, il leur a fallu plus de cinq jours. A cela, il faut ajouter un certain temps de latence, pendant lequel l´entreprise n´a pas conscience de sa mise à l´index. Notre expérience de terrain nous incite à confirmer ces chiffres.
Cette mauvaise expérience laisse souvent des traces. A l´issue d´une de nos récentes missions, l´administrateur de messagerie nous confiait son analyse a posteriori : « J´ai eu l´impression de me déplacer en aveugle, à tâtons et de ne comprendre, ni ce qu´on me reprochait, ni ce que je devais faire pour obtenir l´absolution. Aujourd´hui, je me prends encore pour un convalescent et vérifie régulièrement que nous n´apparaissons pas dans ces listes noires... ».

Il existe des milliers de façons de se retrouver blacklisté. Par exemple, quand les spammeurs profitent des mailbox avec « réponse automatique », pendant les congés des collaborateurs... Mais le danger peut également venir de l´intérieur ! L´un des collaborateurs, membre d´un groupe de musiciens amateurs, a annoncé son prochain concert en diffusant des courriels depuis son poste de travail. Un destinataire, trouvant le message intrusif et non respectueux des pratiques en vigueur, peut dénoncer votre domaine auprès d´une liste noire.

La sortie de ces listes est quelque fois laborieuse. Il est vrai que les gérants de ces blacklists restent très discrets sur leurs méthodes. Ainsi, Steve Linford, animateur de Spamhaus, a indiqué avoir reçu des menaces de mort dans une interview qu´il a accordée en juin 2004. Son site a été la cible d´attaques, notamment en juillet 2003 par SoBig.E et Fizzer.

Les listes noires ont constitué ces dernières années l´un des seuls remparts contre le spam et ont permis à l´infrastructure Internet de résister, dans l´attente de mesures plus efficaces. Nous les créditons de deux apports indéniables. Elles sont assimilables à un véritable dispositif « d´alarme » pour les administrateurs réseaux et créent de plus une sorte de « barrière à l´entrée » pour les spammeurs débutants. Mais quelle est leur efficacité face aux spammeurs aguerris ?

Notre réflexion s´est étendue également à l´usage des listes noires pour se protéger du Spam. Le choix de la liste est une première étape. Comme nous l´a confié Steve Linford, animateur de Spamhaus, « La grande majorité des blacklists est gérée par des personnes isolées, comme un hobby, et sont totalement hors contrôle. Chacun peut, créer sa propre liste en quelques minutes, selon les critères de son choix, et bloquer le monde entier s´il le désire. Bien fou celui qui retiendrait cette liste ». De plus, nous recommandons de n´utiliser l´information délivrée par une liste que comme l´un des critères pris en compte par un filtre faisant appel à plusieurs techniques (à pondérer suivant la confiance que l´on place dans la liste ou selon ses critères) et non pas pour prendre une décision binaire (rejet ou acceptation). Enfin, utiliser plusieurs listes noires, c´est risquer d´additionner les effets pervers (c´est-à-dire les faux positifs) pour une protection légèrement meilleure.

Le Spam - et certaines mesures anti-spam - force les exploitants de messagerie à monter en compétences. En parallèle de la sophistication accrue des techniques utilisées par les spammeurs, leur tâche est de plus en plus complexe. Il ne leur suffit plus de veiller aux respects des standards, mais également de respecter les habitudes de chacun s´ils veulent que leurs messages soient correctement véhiculés et délivrés.



Autres News Malwares

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 145556
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI

Réduire