Dossier sécurité : Spam et Phishing

07 juin 2005 à 17h22
0
La démocratisation d'Internet et du haut débit a fourni aux Français de nouveaux moyens de communication et d'information puissants et rapides. Malheureusement, Internet n'est pas sans failles et sans risque pour ses utilisateurs, loin de là même. Ils doivent désormais être particulièrement vigilants quant aux actions qu'ils entreprennent et aux informations auxquelles ils accèdent. La faute à des personnes malintentionnées qui exploitent les failles et parfois la naïveté d'internautes pas suffisamment informés pour les polluer, ou pire, les arnaquer.

Aujourd'hui, sur Internet, la pollution et l'arnaque sont réunies et désignées, sous deux principaux termes : le SPAM et le « phishing ». Dans ce dossier/article, nous avons donc décidé de vous exposer les tenants et les aboutissants de ces deux « phénomènes néfastes » afin de vous informer au mieux. Nous évoquerons également une « partie pratique » pour vous aider à vous protéger de ces menaces d'un nouveau genre.

Le SPAM, qu'est ce que c'est ?

00FA000000062105-photo-spam.jpg
À l'origine, le SPAM désigne une marque de pâté américaine / jambon en boîte réputée bon marché, mais de mauvaise qualité. Cette marque a été évoquée à l'occasion d'un sketch des Monty Python dans lequel le mot SPAM envahit la conversation et le menu d'un petit restaurant.

En informatique, il désigne également quelque chose de néfaste et de mauvais : la distribution en masse de courriers électroniques à caractère publicitaire et non sollicités. Si le SPAM (pourriel chez nos amis québécois) rime très bien avec pollution numérique, c'est qu'il est difficile de s'en défaire une fois pour toutes.

En effet, une fois qu'un « Spammeur » a inscrit votre adresse mail dans ses listes de distributions, vous allez recevoir de façon hebdomadaire ou journalière, des courriers publicitaires redondants. Attention toutefois à ne pas confondre les listes de distribution classiques (newsletter, promotions de magasins...) avec du SPAM. La principale caractéristique qui différencie le SPAM et ces listes de distributions « légales » se situe au niveau des possibilités de désinscriptions. Avec des listes de distributions classiques, il est généralement très facile de se désinscrire pour ne plus recevoir des mails provenant de tel ou tel site ou de tel ou tel magasin. Pour cela, il suffit généralement de cliquer sur un simple lien placé dans l'un des mails reçus.

Dans le cas du SPAM, le lien en question peut être absent et s'il est présent (simplement pour des raisons légales), les demandes de désinscriptions sont tout bonnement ignorées. Ainsi, l'utilisateur continu, malgré ses demandes répétées, à recevoir des courriers qui vantent les vertus, les prix particulièrement bas, l'exclusivité de certains sites commerciaux, de médicaments miracles ou de tel ou tel produit révolutionnaire. Bien entendu, ces annonces pour attirer le chaland sont, n'hésitons pas à le dire, purement et simplement des arnaques ! Cliquer sur un supposé lien de désabonnement dans un SPAM est d'ailleurs une très mauvaise idée, car cette action peut permettre au spammeur de savoir que sa publicité a été bien reçue et bien lue, du coup il n'hésitera pas une seconde à vous "bombarder" avec d'autres email. Il pourra également diffuser votre adresse à d'autres spammeurs ...

Le SPAM est né quelques temps après l'émergence du courrier électronique aux États-Unis au milieu des années 90. La démocratisation d'Internet dans le monde a été suivie par une vague de « spammeurs » qui a pris de l'ampleur avec le temps. Ainsi, aujourd'hui, il n'est pas rare qu'un internaute reçoive plusieurs dizaines, voire plusieurs centaines d'emails « SPAM » dans sa boîte électronique chaque jour ! Ce qui provoque rapidement un ras-le-bol quand il s'agit de classer / trier son courrier électronique... Comme si les nombreux prospectus en tout genre reçus dans la boîte aux lettres, physique elle, ne suffisaient pas !

Une issue au problème ?

00FA000000075976-photo-spam-boite-au-lettre.jpg
Conscientes des problèmes divers et variés que peut provoquer le SPAM, plusieurs grandes entreprises et plusieurs gouvernements se sont penchés sur cette pollution numérique. Cela a donné naissance à quelques projets / lois, comme la CAN-SPAM aux États-Unis qui visent à s'attaquer directement aux responsables d'envois de SPAM.

Malheureusement, ces actions / lois n'ont pas été totalement couronnées de succès. Certes, certains Spammeurs ont arrêté leurs activités, mais pour le moment le phénomène du SPAM a atteint une telle ampleur que les autorités, entreprises et utilisateurs ont l'impression de se battre contre une hydre : coupez une source de SPAM, il y'en a cinq autres qui poussent à la place... Le problème vient principalement du fait que de nombreuses sources qui génèrent du SPAM proviennent de plusieurs pays asiatiques (20% des SPAM viennent de Chine et de Corée du Sud). Ces pays se sont engagés à lutter contre le SPAM, mais les résultats et les actions concrètes dans ce domaine continuent à se faire attendre, malheureusement !

Pour le moment, il est utopique d'espérer un avenir proche sans SPAM, alors que peut faire l'utilisateur contre cette pollution ? La réponse est finalement assez simple : installer et configurer un client AntiSpam sur son ordinateur ! Nous allons donc vous exposer maintenant comment installer, configurer et exploiter une telle solution logicielle.

Installer et configurer un anti-SPAM

00FA000000110880-photo-spamihilator.jpg
Pour ce dossier, notre choix logiciel s'est porté sur la solution Spamihilator car il s'agit d'une solution complète, gratuite et efficace, amenée à évoluer avec le temps. Nous avons pu l'évaluer pendant plusieurs mois maintenant et il n'est pas exagéré de dire qu'elle est en mesure de se hisser au niveau des AntiSpam commerciaux !

Pour commencer, vous devez télécharger Spamihilator, que vous pouvez bien entendu retrouver gratuitement dans notre logithèque. À noter que cette solution a l'avantage d'être compatible avec l'ensemble des différentes versions de Windows, malheureusement, à l'heure actuelle, Spamihilator n'est pas encore disponible pour les utilisateurs de systèmes d'exploitation basés sur Linux ou sur Mac OS X. Spamihilator permet de « filtrer » les comptes mail utilisant des technologies POP3 ou IMAP. Pour faire simple, disons que l'essentiel des boîtes mails que vous relevez avec un client comme Microsoft Outlook / Outlook Express, Thunderbird, Eudora exploitent un serveur POP3 ou IMAP. Sachez également que certains fournisseurs d'accès à Internet ou d'adresses mails gratuites comme Hotmail intègrent bien souvent une technologie antispam sur leurs serveurs. Si cette protection peut suffire, il est aussi possible qu'elle ne vous convienne pas totalement, dans ce cas l'utilisation de Spamihilator peut encore être envisagée.

Après le téléchargement, vous pouvez lancer l'installation de Spamihilator et appuyer sur suivant au premier écran. Ensuite, le programme vous demande quels modules vous désirez installer. Par défaut tout doit être coché, vérifiez donc que c'est bien le cas et validez. Le programme devrait ensuite vous demander si vous souhaitez activer les « DCC Filter ». Laissez le choix sur « Enable DCC Filter », nous reviendrons plus tard sur cette fonctionnalité. Enfin, le programme vous invite à entrer un emplacement pour l'installation de Spamihilator, vous pouvez laisser celui qui est proposé par défaut et cliquer sur « Install ». Une fois l'installation terminée, Spamihilator lance automatiquement son assistant pour configurer votre client email avec cet antispam. Restez sur Install et cliquez sur « Next ». L'assistant vous propose alors de choisir le client email (Thunderbird, Outlook Express, Outlook 2000/2003...) que vous utilisez sur votre machine. Si vous utilisez celui qui était fourni par défaut avec votre PC, il suffit de choisir Outlook Express. Si vous avez installé un autre client email pour traiter votre courrier électronique, choisissez-le dans la liste et cliquez sur « Next ».

012C000000132746-photo-spamihilator-accueil.jpg
012C000000132748-photo-spamihilator-install-full.jpg


012C000000132751-photo-spamihilator-wizard.jpg


On doit ensuite vous présenter l'ensemble des comptes email que vous avez envie de filtrer avec Spamihilator. Cochez-les tous ou cochez seulement ceux sur lesquels vous recevez du SPAM. Une fois passée cette étape, l'assistant se charge de configurer votre messagerie pour qu'elle fonctionne avec Spamihilator. Seul problème, l'assistant de Spamihilator a parfois du mal à configurer tout ce petit monde correctement. Je vous invite, après cette préconfiguration, à essayer de relever votre courrier électronique pour voir si tout fonctionne correctement. Avec la dernière version de Spamihilator, il ne devrait pas y avoir de problème. Si jamais l'opération se déroule mal et que vous n'arrivez pas à relever votre courrier correctement, voici les quelques informations à vérifier / rectifier :

1. Dans votre client email

Rendez-vous dans les propriétés de chaque compte email (sous Outlook Express cela se trouve dans Outils > Comptes puis double cliquez sur le compte). Vérifier les données au niveau du serveur (onglet serveur dans Outlook Express). Le champ (serveur) courrier entrant POP3 ou IMAP doit comprendre « localhost » (sans les guillemets). Le champ SMTP doit toujours être celui de votre fournisseur d'accès / d'email (exemples : smtp.nerim.net , smtp. Wanadoo.fr, smtp.laposte.net).

012C000000132750-photo-spam-outlook.jpg


Désormais le champ « nom du compte » doit se présenter de cette façon : nom_du_compte_pop&adresse_de_l'utilisateur. En pratique cela peut donc nous donner pour Monsieur Tim chez Wanadoo : « [email protected] » (sans les guillemets). Votre mot de passe n'a pas dû être modifié, mais en cas de problème vous pouvez tenter de le taper à nouveau. Il faut enfin noter le port utilisé pour les comptes POP3 ou IMAP (onglet avancé dans Outlook Express). De manière générale le il s'agit du numéro 110.

012C000000132749-photo-spamihilator-port.jpg


2. Dans Spamihilator

Dans les configurations, partie « Connexion ou Connection », vérifiez que les Ports POP3 ou IMAP correspondent bien à ce que vous avez noté dans votre client email, sinon corrigez-le dans Spamihilator. Il est important de noter que certaines applications ne sont pas très conciliantes. C'est par exemple le cas de quelques antivirus qui n'aiment pas partager le port 110 pour les connexions POP3. Le très bon (et très gratuit) Avast n'a pas eu ce problème, mais dans certains cas, il ne nous a pas été possible de faire fonctionner correctement le client email, l'antivirus et l'antispam avec le port 110. Dans ce cas, nous sommes simplement passé au port 111 et tout est rentré dans l'ordre.

Pour finir cette partie « installation et configuration » nous allons désormais passer le logiciel en français afin de vous simplifier la vie. Pour cela rien de plus simple ! Il suffit de vous rendre dans la partie « Language » du panneau de configuration de Spamihilator (clique droit sur l'icône du logiciel près de l'horloge Windows, puis « Configuration ») et de cliquer sur le bouton « Check Now ». Le logiciel devrait télécharger tout seul les différents packs de langue et choisir le français par défaut.

Exploiter l'antispam Spamihilator

1. L'apprentissage

Si vous avez réussi à relever votre courrier électronique correctement, vous aurez remarqué la présence d'une petite « Pop-up Spamihilator » qui s'affiche désormais lorsque vous récupérez vos emails. C'est à ce moment-là que Spamihilator se charge de filtrer votre courrier. Il élimine ainsi, de façon automatique, ce qu'il considère comme étant du SPAM et ne laisse passer dans votre logiciel de messagerie que les messages qui ne sont pas considérés comme du « pourriel ». Toutefois, pour que Spamihilator fonctionne de façon optimale, il a parfois besoin d'être « éduqué » par l'utilisateur. En effet, le logiciel a besoin d'une petite phase d'apprentissage au cours de laquelle on lui expliquera comment différencier le SPAM des courriers électroniques normaux que l'on souhaite recevoir.

Pour cela, il suffit de faire un clique droit sur l'icône Spamihilator et de se rendre ensuite dans « la zone d'apprentissage ». Le logiciel vous affiche alors l'ensemble des emails que vous avez reçu et que vous n'avez pas encore qualifié. Dès lors, si un SPAM particulier est passé entre les mailles des filtres de Spamihilator, vous pouvez indiquer au logiciel que tel ou tel message est bien un SPAM et qu'il faut désormais filtrer ces messages à l'aide du bouton « SPAM ». Au contraire, pour les messages qui ne sont pas des SPAM, l'utilisateur peut les marquer avec le bouton « pas SPAM ». Une fois que vous avez fait ce petit classement, vous pouvez appuyer sur le bouton « apprendre » du logiciel.

012C000000132752-photo-spamihilator-apprentisage.jpg


Spamihilator va alors générer un algorithme à l'aide des données (taille, termes employés, organisation du mail, expéditeur...) des emails qualifiés par l'utilisateur. Cela permettra d'exploiter automatiquement un nouveau filtre qui devrait encore améliorer l'efficacité du logiciel. À noter que vous pouvez également récupérer les emails qui ont été qualifiés par le logiciel comme du SPAM alors qu'ils sont des courriers légitimes. Ces emails sont conservés pendant plusieurs jours dans la « corbeille » (icône « recyclage ») de Spamihilator avant d'être définitivement supprimés.

2. Les DCC Filter

012C000000132747-photo-spam-exemples.jpg
Également appelé « P2P Plugin / P2P Filter », la technologie du DCC Filter exploite un réseau partagé appelé « Distributed Checksum Clearinghouse » pour référencer les SPAM. En effet, les serveurs DCC Filter auxquels les utilisateurs peuvent se connecter grâce à des logiciels comme Spamihinilator, ont pour but de référencer les mails qui ont été classés comme des SPAM par des milliers d'utilisateurs. Les bases de référencements qui sont partagées et accessibles via la technologie P2P permettent aux utilisateurs de profiter d'une analyse complète et dynamique des SPAM les plus rencontrés dans le monde.

Par défaut, Spamihilator configure de nombreux serveurs DCC (voir la configuration et l'onglet DCC Filter), libre à vous ensuite d'ajouter / supprimer des serveurs DCC. Vous trouverez d'ailleurs une liste complète des serveurs DCC sur ce site. À noter que pour fonctionner correctement, les serveurs DCC demandent l'ouverture du port UDP 6277 au niveau du pare-feu : si vous avez quelques soucis avec cette technologie, pensez donc à vérifier ce port. Si vous avez mis à jour une ancienne version de Spamihilator sur votre ordinateur, il est parfois nécessaire de désinstaller et de réinstaller complètement le logiciel pour pouvoir exploiter correctement les DCC Filter.

Pour aller plus loin...

00FA000000075793-photo-halte-au-spam.jpg
L'un des autres atouts de Spamihilator réside dans sa possibilité à accueillir des modules (« add-ons »). Ces derniers pourront notamment vous offrir la possibilité de notifier l'arrivée de nouveaux mails ou encore d'améliorer le filtrage. Vous pouvez trouver ces quelques plug-ins en téléchargement sur cette page. Pour ne pas bloquer l'arrivée des listes de distribution auxquelles vous vous êtes abonnés, vous trouverez également dans la configuration de Spamihilator un onglet « groupe de news » dans lequel vous pouvez définir les « expéditeurs autorisés de liste de distribution » qui ne seront donc jamais classés comme des expéditeurs de SPAM.

Sur le même principe, vous pouvez définir quelques adresses emails sûres (comme celle des vos amis) dans la zone expéditeurs / ami. Tout ceci devrait vous aider à vous constituer une solution très efficace contre le Spam, sans pour autant remettre en cause la bonne réception « d'emails normaux ». Maintenant que nous en avons terminé avec cette première partie consacrée au SPAM, il est temps de nous attaquer à un second problème auquel les internautes doivent faire face : je veux bien entendu parler du « phishing ».

Le Phishing : « tu te fish de moi ? »

0000012C00131551-photo-phishing.jpg
Le « phishing » ou « hameçonnage », est un nouveau type d'arnaque qui s'appuie sur Internet et sur le courrier électronique. Son nom provient du terme anglais « Fishing » qui désigne la pêche et qui en reflète particulièrement bien le principe de fonctionnement. Pour l'internaute, l'aspect premier du « phishing » prend généralement la forme d'un email classique. Le corps du texte de l'email incriminé vous informe d'une information « importante » qui concerne votre compte en banque, votre compte d'enchères ou tout autre compte menant à des données personnelles sensibles. Ces textes sont toujours accompagnés d'un lien hypertexte qui cache en réalité une véritable supercherie.

Théoriquement, les liens en question doivent conduire au site d'un établissement bancaire ou alors à celui d'un site marchant. La réalité est évidemment bien différente et ils conduisent en définitive à de parfaites copies de sites légitimes ! Comme les sites originaux, ces copies vous proposent d'entrer vos identifiants pour accéder à vos données personnelles. Seulement, une fois entrés, ces identifiants ne sont pas dirigés vers un serveur sécurisé : ils sont interceptés par des utilisateurs malintentionnés qui procèdent ainsi au vol d'informations importantes comme votre mot de passe ou votre numéro de carte de crédit, qu'ils pourront utiliser à votre place en toute impunité.

0190000000132993-photo-exemple-phishing.jpg

Exemple d'un email exploitant la technique du phishing


La supercherie pourrait être facile à débusquer si les liens envoyés par mail n'étaient pas « truqués » pour faire apparaître dans le texte une adresse tout à fait sécurisée comme « www.bnp.fr ». Bien sûr, il n'est alors pas question de vous emmener sur le site de la fameuse banque, mais bien vers une toute autre adresse. En règle générale, les emails liés au « phishing » sont distribués en masse comme un véritable SPAM. Pour se protéger, le plus simple est de toujours se poser la question de l'authenticité d'un message théoriquement en provenance d'une banque ou d'un site marchand : pourquoi ce dernier voudrait-il vous contacter et pourquoi vous envoie-t-il un lien direct vers votre compte ?
00FA000000116785-photo-phising-illustration-elimparcial-com.jpg
De manière générale, pour se protéger des arnaques par « phishing » voici les quelques règles élémentaires à suivre :

- Lorsque vous recevez un courrier électronique, ne cliquez jamais sur un lien conduisant à un site bancaire / marchand : préférez taper l'adresse manuellement dans votre navigateur.

- Posez-vous la question de savoir si oui ou non vous avez déjà communiqué votre adresse de courrier électronique à cet établissement / site.

- Sur les sites supposés de confiance, vérifier qu'un cadenas est présent en bas dans la fenêtre de votre navigateur au moment d'entrer un numéro de carte bancaire. Cela signifie que le site en question exploite une connexion sécurisée / cryptée. Les « faux sites » ne peuvent, a priori, pas exploiter de telles connexions. Mais se baser sur ce seul critère peut être parfois dangeureux, si jamais un site "malveillant" arrive à mettre en place une "fausse connexion sécurisée".

- Vérifiez dans les emails reçus si des données personnelles (numéro de client, numéro d'agence...) sont indiquées. Si ces données sont présentes, il est peu probable que l'email soit un courrier dédié au « phishing ». Les emails liés au « phishing » sont généralement formatés pour ne contenir que des données classiques (nom ou prénom, adresse email...), mais il est très rare qu'ils contiennent des informations très précises et vérifiées.

- Si vous identifiez un email comme étant un courrier formaté pour le « phishing », n'hésitez pas à l'ajouter à votre filtre « AntiSpam » : cela n'éliminera pas définitivement les emails « phishing », mais permet tout de mettre en place un obstacle supplémentaire à leur réception.

À noter que la loi commence à s'attaquer sérieusement aux « amateurs de pêche aux internautes ». Ainsi, en France, l'auteur d'une telle escroquerie a été condamné à un an de prison avec sursis, il a également été dans l'obligation de verser une amende de 8500 euros à titre de dommages et intérêts. Cet étudiant a abusé 12 clients du Crédit Lyonnais, dont il avait détourné les identifiants et mots de passe avec une copie du site Web de la banque. Il aurait ainsi pu récupérer la somme de 20 000 euros. Malgré les multiples plaintes déposées à travers le monde, il faut tout de même savoir que les arnaques par « phishing » explosent littéralement !

Les responsables de serveurs placés sur Internet doivent également être particulièrement vigilants au niveau de la sécurité de leurs machines. Certains pirates n'hésitent pas à détourner les contenus de certains sites (à l'issu de leurs responsables), en exploitant certaines failles, pour y placer des copies de sites qui serviront la cause du "phishing". Non seulement la pratique pose des problèmes légaux, mais les responsables des sites ainsi piratés s'exposent à des plaintes pour contrefaçon, qui peuvent être entamées par les responsables des établissements bancaires ou des services d'enchères, d'annonces, de ventes ...

012C000000040439-photo-dvd-arnaques-crimes-et-botanique.jpg

Le phishing, même les personnages déjantés "d'arnaque, crime et botanique" n'y avaient pas pensé !


Les développeurs de logiciels commencent à se pencher sur le problème posé par le phishing et plusieurs clients emails / navigateurs devraient aider l'utilisateur à éviter et à repérer ces arnaques, Mozilla Thunderbird, Netscape 8 et Internet Explorer 7 devraient proposer de telles possibilités. En attendant, la meilleure arme de l'internaute reste la vigilance. A noter que certains navigateurs comme Firefox ou Internet Explorer 6 (avec les dernières mises à jour) sont capables de détecter les adresses avec redirection qui se présentent sous cette forme : "http://[email protected]/" (affichage de l'adresse www.Google.com dans la barre d'adresse mais affichage d'un autre site comme members.tripod.com), mais qui sont moins utilisées pour le Phishing.

Inutile toutefois de sombrer dans la paranoïa. Après avoir lu ce dossier et en respectant les différentes règles de base que nous vous proposons, vous devriez être à l'abri de ces mauvais tours. N'hésitez d'ailleurs pas à « éduquer » et à « sensibiliser » vos proches à ce sujet... Plus que jamais, un internaute averti en vaut deux !

A voir également :

Spyware : les éviter, s'en débarrasser
Haut de page