"Phraude" : la "satisphaction" de combattre le spam
Transcription
"Phraude" : la "satisphaction" de combattre le spam
Avis d’expert Phishing, Pharming et "Phraude" : la "satisphaction" de combattre le spam De René Wienholtz, Directeur de la Technologie, STRATO AG, Berlin Au cours de ces dernières années, les très nombreux développements en matière d’anti-spam ont font des mails publicitaires gênants un véritable sujet d’étude. La réalité sur le sujet démontre qu’il n’y a là pas matière à se réjouir : rien que chez STRATO, plus de 98% des e-mails entrants sont des spams, parfois jusqu'à un milliard par jour ! Si cette tendance venait à se renforcer, l’intégralité du réseau de courrier électronique mondial pourrait bientôt se trouver au bord de l'effondrement. Et investir dans d’avantage de capacités de traitement pour les filtres anti-spam, ce qui signifie mettre à disposition de plus en plus de serveurs, n'est en aucun cas la solution, puisque ces nouvelles capacités se trouveraient rapidement détournées par les spammeurs. Une puissance accrue des systèmes anti-spam génère donc indirectement davantage de spams. En réalité, pour garantir la pérennité des messageries mail, il ne s'agit pas de développer des filtres antispam à plus forte capacité de traitement, mais au contraire de proposer des filtres plus intelligents. Une coopération entre science et industrie Depuis 2005, STRATO développe, en collaboration avec l'université Humboldt de Berlin et l'Institut d'Informatique Max-Planck, un système de filtre anti-spam intelligent modulaire, avec un double objectif : d’une part, délivrer de façon fiable tous les e-mails souhaités et, d’autre part, atteindre le taux le plus élevé possible de reconnaissance des spams. Il est en effet plus facile pour les utilisateurs d'effacer de temps en temps quelques spams isolés que de devoir en permanence rechercher ceux qu’ils souhaitent conserver parmi des centaines d'e-mails automatiquement classés en spam par un filtre « trop manichéen ». Il est clair que si vous ne pouvez pas faire confiance à votre système anti-spam, vous risquez de passer davantage de temps dans votre dossier de courrier indésirable que dans la boîte de réception. C'est pour cette raison qu’il est crucial pour les opérateurs de garantir une distinction intelligente entre e-mails souhaités et e-mails indésirables, de sorte que les utilisateurs n'aient plus jamais à regarder dans leur dossier spam. C’est avec cet objectif en tête que STRATO a développé, en collaboration avec deux institutions scientifiques, différents modules anti-spam qui intègrent notamment la « reconnaissance des e-mails désirés ». Les ami(e)s n'envoient pas de spams L’un des modules analyse les rapports entre adresses e-mails. Le postulat de base de l’outil est que des personnes qui se connaissent ne s’envoient pas de spams. Ainsi, une communication de type "[email protected] écrit à [email protected]" est enregistrée sous forme d’une valeur numérique anonymisée. La base de données génère ensuite un « graphe social », en fonction des valeurs qui se répètent. L’envoi d’un e-mail de réponse est également pris en compte dans l’algorithme. Ainsi, le système dispose d’un processus fiable indiquant qu'il s'agit d'une communication souhaitée, et ce même lorsque des termes habituellement typiques d’un spam apparaissent dans l’envoi. L'empreinte digitale trahit les spammeurs Un autre module, dénommé "Fingerprinting", est chargé de la reconnaissance des spams sous forme d’images. Pour passer le barrage des filtres anti-spams classiques, les spammeurs attachent en effet aux e-mails des images générées dynamiquement et contenant des messages publicitaires. Puisque toutes les images à l'intérieur d'une même campagne sont légèrement différentes les unes des autres, elles ne sont en général pas Version : Mars 2013 Page 1 de 4 reconnues comme constituant un « envoi en masse ». Ce module est conçu non pas pour repérer les différences, mais pour relever les similitudes entre les différentes images d’une campagne de spam, telles que la distribution des couleurs ou la composition globale de l’image. Ainsi, et contrairement aux systèmes très gourmands en capacités de calcul dédiés à la reconnaissance de textes insérés dans des images, Fingerprinting est non seulement plus efficace, mais aussi beaucoup plus fiable. De plus, la collaboration entre STRATO et le monde scientifique a permis d’élargir la fonction de base de Fingerprinting à d’autres types de fichiers : le système sait aujourd’hui reconnaître avec fiabilité les spams dans des documents Excel, des PDF et même dans des MP3 ou des vidéos. La reconnaissance des lots d’e-mails Une autre extension de Fingerprinting est la reconnaissance "batch". Batch signifie "lot" et fait référence au type d'envoi, puisque les e-mails publicitaires sont toujours envoyés par lot. Ainsi, lorsque le filtre anti-spam identifie un certain nombre d'e-mails similaires, il est très probable que ces e-mails appartiennent à un même lot. La reconnaissance de lots travaille indépendamment du type de spam et fournit ainsi un outil puissant pour l’identification des e-mails non désirés. La mise à l’épreuve des serveurs e-mails Le traitement statistique augmente encore l’efficacité du système, utilisant entre autres l'enrichissement de « listes noires de serveurs de spams » à travers un outil de scoring. Cette qualification permet d’affiner encore la reconnaissance d’un courrier électronique comme spam, en introduisant la notation de « probabilité que le serveur envoie des spams » en tant que variable d’évaluation. D'autres valeurs statistiques permettent une analyse complète des en-têtes d'e-mails ou l’exploitation d’informations issues du protocole Internet et générées lors de la transmission, telles que le nombre d'essais refusés ("bounces"), de connexions du serveur d’e-mails ou de variantes de l'objet de l'e-mail. Le filtre anti-spam recherche dans ce cas des similarités indiquant la présence d’une campagne de spam. Ce système, appelé "machine de classification de serveurs", est capable d’identifier environ 20% de serveurs spam supplémentaires qu'un système de listes noires standard. L’analyse de la face sombre d'Internet La plupart des spams est actuellement générée par des "botnets", c'est-à-dire des ordinateurs interconnectés détournés par des programmes présents sur le réseau. Grâce à la reconnaissance batch, il est aisé d’identifier la provenance des e-mails constituant un lot de spam. Elle rend également possible la détermination précise du botnet d’origine du spam, ce qui permet non seulement la gestion dynamique d’une liste noire, mais également de cartographier le réseau de botnets, en montrant la distribution et l'activité des botnets en temps réel. En se basant sur les connaissances les plus récentes en matière de botnets, il est ainsi relativement facile de reconnaître instantanément les nouvelles campagnes de spams et de bloquer leurs e-mails. De plus, la cartographie des botnets constitue un puissant critère discriminant, s’agissant d’e-mails souhaités mais envoyés par lots, comme par exemple les newsletters, dans la mesure où le serveur e-mail depuis lequel sont envoyés les messages n’est pas affecté à la carte des botnets. D’autre part, les nouveaux botnets et les derniers processus de diffusion en date peuvent également être rapidement reconnus et trackés. Le spam de liens et la vérification des destinations Le "Linked Content Checker" est un système qui vérifie le nombre de liens identiques contenus dans les e-mails entrants. Si un lien apparaît de façon trop fréquente, la destination du lien est automatiquement consultée et analysée. S'il s'agit par exemple de sites de jeux de hasard, de vente de médicaments ou de montres de marque bon marché, le système en déduit une forte présomption de spam. Cependant, les expéditeurs peu scrupuleux s'adaptant également aux mesures de lutte anti-spam, certains d’entre eux vont jusqu’à blacklister les serveurs de vérification de liens. Chez STRATO, des contre-mesures ont d’ores et déjà été prises : le serveur du Linked Version : Mars 2013 Page 2 de 4 Content Checker dispose de rangs d’IP dynamiques ne permettant pas aux sites commerciaux de le différencier d'un visiteur lambda. L’importance de l’interaction entre les modules anti-spam Seule l’évaluation individuelle des différents modules composant un système anti-spam permet de se prononcer sur la qualité d’un filtre. Un module de graphes sociaux est par exemple particulièrement adapté à la reconnaissance des e-mails souhaités. Cependant, il n'est pas directement utile pour distinguer le spam. A l’inverse, un nombre élevé d'images similaires dans différents e-mails indique une forte probabilité de spam, mais ne renseigne pas sur le fait que ces images sont souhaitées ou non. Seule la combinaison des deux fonctions permet de séparer efficacement le bon grain de l’ivraie. De plus, les ingénieurs de STRATO ajustent régulièrement les modules du filtre anti-spam et leurs influences relatives sur le système afin d’adapter l’outil aux nouveaux procédés d’envoi de masse. L’intégration de la théorie des jeux Un filtre anti-spam standard doit être confronté régulièrement et manuellement à de nouvelles situations test, à défaut de quoi son efficacité s'atténue fortement sur la durée. Rien de tel avec le système anti-spam de STRATO, qui intègre les bases de la théorie des jeux, permettant une durée d’efficacité beaucoup plus longue et donc des mises à jour à des intervalles moins fréquentes, ce qui permet aux ingénieurs de STRATO de concentrer leurs efforts sur le perfectionnement d’autres fonctionnalités critiques. Un autre avantage de cette approche est qu’elle autorise un certain degré d’imprécision dans les paramètres d’analyse, ce qui rend possible une reconnaissance fiable des spams évolutifs. Les perspectives d'avenir En collaboration avec les scientifiques, STRATO travaille à rendre son filtre anti-spam auto-adaptatif, c’est-à-dire autonome dans ses améliorations. Cela nécessite de perfectionner l’approche de la théorie des jeux, de sorte que le filtre puisse ajuster de lui-même ses paramètres aux nouvelles formes de spams. L’atteinte de cet objectif permettrait de réduire considérablement le besoin de situations tests manuelles. Un autre sujet majeur de recherche est le niveau de personnalisation autorisé par le filtre, de sorte par exemple que les collectionneurs puissent communiquer sur les montres Rolex, les urologues à propos du viagra, ou les professionnels de la finance sur la vente d’actions sans voir leurs communications bloquées par un filtre antispam. Enfin, les données cartographiques des botnets sont également très prometteuses, notamment car elles offrent la possibilité de se protéger des attaques DoS ("Denial of Service"), c'est-à-dire de la perturbation des serveurs ciblés, puisque ces attaques sont le fait exclusif des botnets. Un motif de "satisphaction" "Ce spam est parvenu à franchir tous les filtres" déclare un message spam moqueur. La réception d’un tel message est parfaitement impossible chez STRATO. Cette citation provient en réalité de ma collection personnelle de « spams exotiques » ; de pareilles performances provoquent chez moi une réelle "satisphaction". A propos de René Wienholtz Né en 1974, il dirige les départements Technologies et Innovation de STRATO. Depuis juin 2001, il est le CTO (Chief Technical Officer) de STRATO et responsable du concept et du fonctionnement de la plateforme interne d'hébergement partagé de l'entreprise, qui est la plus grande du monde basée sur la technologie Sun. Auparavant, il avait travaillé dans le Conseil et en tant qu'évangélisateur technologique chez Sun Microsystems Version : Mars 2013 Page 3 de 4 Inc, après avoir débuté sa carrière professionnelle chez Silicon Graphics GmbH suite à l’obtention de son diplôme en informatique de gestion. Contacts Presse : Agence Eliotrope Gilles LYONNET : [email protected], 01 53 17 16 44 Philippe GASPARD : [email protected], 06 07 71 71 18 À propos de STRATO STRATO est le fournisseur d'hébergement offrant le meilleur rapport qualité-prix du marché. Constituant l'une des plus grandes entreprises d'hébergement web, STRATO offre une qualité professionnelle à des prix très compétitifs. La gamme de produits STRATO comprend des solutions de pointe et s'étend des noms de domaine, packs e-mail et sites web, au stockage en ligne, boutiques en ligne et serveurs. STRATO héberge quatre millions de domaines de six pays et administre deux centres de données certifiés par l'organisme allemand d'inspection TÜV. STRATO est une entreprise de Deutsche Telekom AG. www.strato.fr Version : Mars 2013 Page 4 de 4