Les actions anti-spam

Cette page cite des actions anti-spam, dont l'efficacité est vérifiée par la pratique pour certaines, discutée pour les autres.

La lutte anti-spam n'est pas simple, mais plus les victimes seront nombreuses à réagir, plus la vie des spammers deviendra difficile.

Filtrer le spam

Le filtrage des e-mail permet de les supprimer automatiquement sur le serveur ou dans votre logiciel de messagerie, à condition de trouver les règles de filtre adéquates.
Même si des filtres sophistiqués (comme les expressions régulières par exemple) permettent de faire le tri, parfois ils en laissent passer ou au contraire bloquent des emails à tort.
De plus il faut les télécharger sur son ordinateur quand le fournisseur ne propose pas de filtre, mettre à jour les filtres qui finissent par être obsolètes, vérifier et vider la poubelle des emails supprimés, et surtout ça ne tarira pas la source.

Administration à distance des emails

Logiciel permettant de voir la liste des emails en attente sur le serveur du fournisseur, avec les informations essentielles (sujet, expéditeur, date, taille), de supprimer les indésirables avant de télécharger les autres sur votre ordinateur.

Bounce (retour à l'envoyeur)

Faites croire aux auteurs du spam que votre adresse e-mail est invalide en lui retournant le message "utilisateur inconnu" ( "user unknown" ) :

·                                 par un logiciel spécialisé, mais il faut l'utiliser plusieurs fois par jour

·                                 par répondeur automatique avec message personnalisé chez votre fournisseur d'email

Cette ruse anti-spam permet de réduire nettement le flot de spam, même si certains spammeurs insistent.

Demandez Conseil

Signalez-le à votre fournisseur d'adresse e-mail ( abuse@fournisseur.domaine ou postmaster@fournisseur.domaine ) pour l'aider à lutter contre le spam, dont il est aussi victime, en joignant l'email complet ( le corps et l'entête ).

Pour renforcer la lutte globale contre le spam , adhérez à des associations anti-spam et participez aux forums de discussions dédiés aux abus ( avec une adresse e-mail maquillée obligatoirement ) :

·                                 <news:fr.usenet.abus.rapports>

·                                 <news:fr.usenet.abus.d>

Porter plainte directement

Il faut tout d'abord identifier le FAI du spammer grace à l'adresse IP dans l'entête de l'email ( pour de l'aide postez une copie complète dans le forum de discussions fr.usenet.abus.d ) et envoyez-lui une plainte courtoise car il n'y est souvent pour rien ( abuse@fournisseur.domaine ou postmaster@fournisseur.domaine ), en joignant l'email complet ( dans un fichier compressé ).

Le spam étant illégal en Europe, vous pouvez aussi porter plainte auprès du procureur de la République.

Spam Cop

spamcop.net permet de dénoncer les auteurs des spams, ainsi que toutes les sociétés qui figurent dans le spam (les sites Web objets de la pub). Ce service analyse automatiquement votre email et vous propose d'envoyer une plainte à tous les fournisseurs (d'adresse et de site Web) identifiés dans le spam.

Vous vous inscrivez en donnant seulement une adresse email, une heure plus tard vous recevez un numéro identifiant à partir duquel vous vous connecterez à spamcop.
Pour dénoncer un spammer, un formulaire vous demande le courrier complet (entête inclue). Pendant quelques secondes spamcop analyse le courrier et détecte :

·                                 dans l'entête : l'adresse du fournisseur d'email de l'émetteur où adresser la plainte

·                                 dans le corps : le site Web de chaque lien et l'adresse de plainte associée

Vous décidez ensuite d'envoyer le rapport à chacun des deux catégories (il peut y avoir plusieurs sites Web référencés et parfois plusieurs adresse email). Il y aussi un associé de spamcop dans la lutte anti-spam qui peut être destinataire du rapport.

Avant de l'envoyer au service de plainte du site Web, soyez sûr que le spammer l'utilise bien. Ce n'est pas parce qu'un spammer fait la pub d'un client, que ce dernier est forcément coupable.

ATTENTION: Report only those e-mail addresses and web sites that you think your spammer has used. Avoid checking any boxes left empty unless you know that your spammer has used the addresses or sites thus identified. Each false report that you submit means wasted time for a network administrator, so take care. The last thing SpamCop wants are network administrators so accustomed to false claims that they no longer take these spam reports seriously.

Traduction :

ATTENTION : signalez uniquement les adresses e-mail et les sites Web que le spammer a utilisé. Evitez de cocher toutes les cases, décochez-les à moins que soyez sûr que le spammer a utilisé les adresses et les sites en question. Chaque plainte erronée que vous envoyez signifie du temps perdu pour des administrateurs réseau, donc faîtes attention. La dernière chose que SpamCop souhaite est que les administrateurs soient tellement habitués aux plaintes sans fondement, qu'ils ne prennent plus en compte ces rapports de spam.

Le spam anti-spam

Le but du jeu est d'envoyer des spam à une adresse e-mail de spammer :-)).
Vous récupérez une adresse de spammer que vous collez sur votre site Web en espérant qu'un spambot (logiciel de recherche d'email à spammer) finisse par la récupérer. Ne polluez pas les newsgroups, forums et autres : n'en rajoutez pas !

Où trouver une adresse de spammer ? dans votre boîte aux lettres ?
Vous pouvez aussi ajoutez sur votre site Web une page remplie de fausses adresses email, voire d'adresses de spammers. Vous trouverez des listes chez caspam.org.


Ces contre-attaques sont efficaces contre certains auteurs de spam, mais d'autres trafiquent leur adresses IP, ouvrent une boite aux lettres gratuite, postent pendant quelques jours et abandonnent l'adresse. Contre ceux-là je ne connais pas de méthode parfaitement efficace, sauf qu'ils risquent de se fatiguer assez vite puisque leur technique est assez lourde à mettre en oeuvre.

 

Protégez votre adresse e-mail

Adresse e-mail privée et adresse e-mail publique

Réservez une adresse e-mail privée à l'exclusivité de vos proches. Créez une autre adresse e-mail publique : si elle est attaquée, vous garderez l'adresse e-mail privée intacte.

Adresse e-mail anti-spam

Des aspirateurs d'e-mail ( des programmes de spam ) fouillent tous les médias publiques d'Internet ( forums, newsgroups, sites Web ) à la recherche d'adresse e-mail pour se livrer au spam.

Méthode simple

Pour prévenir le spam très simplement, publiez votre adresse e-mail en ajoutant à droite du '@' une chaîne quelconque. Par exemple : catherine@fai.fr ----> catherine@e-mail-fai.fr

Un homme s'en aperçoit car la partie droite correspond à un fournisseur connu. Ou il reçoit vite un e-mail d'erreur "adresse inconnue" ( vite car c'est la partie droite qui n'existe pas ). Par contre les aspirateurs d'e-mail n'y voient que du feu ... et vous polluez les bases de spam avec des fausses adresses ;-)

NB Falsifier la partie droite limite l'utilisation du réseau au maximum, la vérification est simple et rapide. Si c'était la partie gauche catherine@fai.fr ----> catherine-e-mail@fai.fr la détection prendrait plus de temps et encombrerait le réseau encore un peu plus.

Il faut que le vrai domaine fai.fr reste facile à deviner, évitez les complications. N'utilisez pas comme beaucoup "...@NO-SPAM..." mais une chaîne personnelle qui sera efficace plus longtemps.

Pour attirer davantage l'attention humaine sur la falsification de l'adresse e-mail et être conforme à la prochaine norme sur les newsgroup, ajoutez ".invalid" à droite : catherine@fai.fr ----> catherine@e-mail-fai.fr.invalid

Autres méthodes

Remplacer le @ (par '[AT]' par exemple) est une autre solution intéressante. Un logiciel de messagerie bloquera immédiatement l'envoi avec une telle adresse.

Il existe un cryptage logiciel de l'adresse e-mail (en javascript sur les sites Web) qui renforce encore la confidentialité, mais j'ai vérifié l'efficacité de la méthode simple.

Adresse e-mail usurpée

La dernière génération de virus par email (vers) fouillent dans le carnet d'adresse de la victime et prennent deux adresses au hasard : le destinataire et l'émetteur. Si la victime du virus a votre adresse et celle d'un de vos contacts, vous pouvez recevoir un e-mail infecté provenant, soi-disant, de ce contact : en fait le virus a usurpé l'adresse de l'émetteur.

Mot de passe sûr pour caramail, hotmail, excel, windows ...

Un bon mot de passe (statique)

Difficile à deviner, il combine majuscules, minuscules, chiffres et caractères spéciaux ( ponctuation, diacritiques ... ) sur huit caractères au moins et ne figure dans aucun dictionnaire ( généraliste ou spécialisé ).

Un bon mot de passe est unique pour chaque service Internet et n'est jamais réutilisé quand vous en changez.

Un mot de passe est statique dans le sens où il est valable pendant un certain temps, jusqu'à ce que vous en changiez. Le paragraphe Authentification par un service distant abordera les mots de passe dynamiques.

Ne le communiquez à personne

Même les services techniques de votre Founisseur d'Accès Internet (FAI), et autres applications Internet, ignorent votre mot de passe ( il est crypté dans leurs fichiers ) et leurs administrateurs n'en ont jamais besoin ( l'authentification est faite automatiquement ).
Si un soi-disant administrateur vous le demande par email ou au téléphone, c'est une tentative de piratage ( par Social engineering ).

Mémoriser son mot de passe

Un bon mot de passe doit aussi être facile à mémoriser. Inventez votre propre méthode mnémotechnique, par exemple :

·                                 Supprimez les doublons dans un mot assez long et ajoutez la longueur originale. Exemple : "suppression" donne supresion-11

·                                 Concaténation de plusieurs mots avec leur longueur. Exemple : "nuit blanche" donne Nuit4-Blanche7.

·                                 Choisir une phrase et prendre les premières lettres de chaque mot. Mettre en majuscules les mots importants, ajouter des signes de ponctuation et des chiffres ( ou prendre le nombre de lettres de chaque mot ).
Exemple : "http://eservice.free.fr, créé en 2002, traite de la sécurité Internet" donne heff,ce2002,tdlSI ( inutile d'essayer ;-) )

Toute autre méthode qui donne de tels résultats est bonne à prendre.

Un mauvais mot de passe

Les progrès des logiciels de décryptage et la puissance des ordinateurs "bon marché" sont tels qu'un mauvais mot de passe est deviné en quelques minutes. De même une personne qui vous connaît peut le deviner.

Exemples de mauvais mots de passe :

·                                 vide

·                                 nom d'utilisateur

·                                 nom commun ou propre ( dictionnaire )

·                                 votre numéro de téléphone

·                                 votre numéro de plaque minéralogique

·                                 votre surnom

·                                 un prénom

·                                 abcdef

Le mot de passe idéal

Un mot de passe d'accès à un service Internet a entre 8 et 16 caractères. C'est suffisant avec un bon logiciel de contrôle distant, qui limite le nombre de tentatives de connexion par exemple : il est alors quasi impossible de deviner un bon mot de passe ( mais certains logiciels sont trop restrictifs : taille du mot réduite, refus de certains caractères ... ).

Mais pour des fichiers cryptés, il n'existe aucune restriction : le pirate attaque directement, et autant de fois qu'il le veut, l'email chiffré ou le fichier crypté (avec un logiciel de décryptage).
C'est pourquoi un logiciel de cryptage de fichier (et d'email) propose une phrase de passe, qui peut dépasser les 100 caractères.

Enregistrer un mot de passe ?

Dans un contexte multi-utilisateurs d'un même ordinateur ou dans un réseau local d'entreprise, évitez de noter votre mot de passe sur un papier qu'on finit par laisser trainer n'importe où. Ne l'enregistrez pas non plus sur votre ordinateur ( décochez l'option d'enregistrement ).
A vous d'adapter ces précautions générales en fonction de l'exposition du système et de la nature des informations à protéger.

Un mot de passe unique pour chaque service ?

Oui dans l'absolu, mais en pratique, au fur et à mesure des souscriptions diverses, on se retrouve avec une liste qu'il est difficile de retenir. On ne peut pas éviter de les noter ou les enregistrer. Quitte à les enregistrer, on peut le faire dans un simple fichier texte, sur lequel on applique un cryptage fort (par un logiciel de cryptage de fichier).

Authentification par un service distant

L'authentification consiste à prouver l'identité d'une "personne", ici par mot de passe. Lors de votre connexion à Internet, vous tapez votre code utilisateur et votre mot de passe sur votre ordinateur, ces deux informations sont envoyées sur le réseau jusqu'à l'ordinateur d'authentification de votre Fournisseur d'Accès Internet (FAI). Un programme spécifique regarde dans ses fichiers si votre code utilisateur existe et si votre mot de passe est correct, auquel cas il autorise votre connexion, sinon il vous renvoie un message de refus.

Le mécanisme est le même pour un service Internet (caramail, hotmail ...) ou un réseau local (windows ...).

Le problème posé est que si vos code utilisateur et mot de passe sont interceptés pendant leur acheminement, il vont pouvoir être utilisé pendant un certain temps - d'où le nom de mot de passe statique - par une personne non autorisée à s'en servir. En effet un pirate pourrait se brancher sur un point de passage et capturer les chaînes d'authentification.

Changer de mot de passe ?

Une première idée est de changer régulièrement de mot de passe. La transmission et le stockage à distance représentent un risque à terme. Même si le pirate a trouvé un filon pour intercepter votre mot de passe, si vous en changez il lui faudra courir à nouveau un risque.

Ce n'est pas une mauvaise solution, à condition que :

·                                 la précédure de changement soit sécurisée. Pour changer votre mot de passe de connexion Internet n'utilisez l'email que si vous le cryptez. Il faudrait aussi que vous signiez votre email pour authentifier votre identité.
Sinon utilisez le site Web de votre Founisseur d'Accès Internet (FAI), le téléphone ou le courrier postal.

·                                 et de ne pas en changer trop souvent. Sinon à force on risque la confusion ou l'oubli, on finit par noter le mot de passe sur un papier qu'on laisse trainer n'importe où (ou on l'enregistre sur son ordinateur), donc à terme on baisse fatalement le niveau de sécurité.

A quelle fréquence ? Fonction du nombre d'utilisateurs du service, de l'exposition du système et de la nature des informations à protéger.
Si votre abonnement Internet est facturé prorata temporis, surveillez votre facture chaque semaine. Changez le mot de passe dès qu'un accès vous paraît anormal, et prévenez votre FAI.

Cryptage de la transmission

Le cryptage de la transmission du code utilisateur et du mot de passe (entre l'ordinateur de l'utilisateur et l'ordinateur authentifiant), réduirait déjà pas mal le risque d'interception.
Mais c'est valable si le résultat du chiffrement change à chaque fois, ce qui n'est pas si facile. Il me semble que cela revient à la solution des mots de passe dynamiques.

Mots de passe dynamiques ou jetables (one-time passwords)

La meilleure solution est sans doute les mots de passe dynamiques ou à usage unique, jetables, non rejouables (one-time passwords). Ca consiste à changer de mot de passe à chaque connexion. S'il est intercepté, ça ne servira pas à grand chose puisqu'il sera valable jusqu'à ce que vous vous déconnectiez et changera la fois suivante.
Malheureusement ce système n'est pas simple à mettre en oeuvre : voir "En savoir plus (ailleurs)".

Conclusion

Si les mots de passe dynamiques ne sont pas dans vos moyens, choisissez chaque mot de passe avec votre propre méthode mnémotechnique et changez-le assez régulièrement en fonction du risque.