"Phraude" : la "satisphaction" de combattre le spam

Avis d’expert
Phishing, Pharming et "Phraude" : la "satisphaction" de combattre le spam
De René Wienholtz, Directeur de la Technologie, STRATO AG, Berlin
Au cours de ces dernières années, les très nombreux développements en matière d’anti-spam ont font des mails
publicitaires gênants un véritable sujet d’étude. La réalité sur le sujet démontre qu’il n’y a là pas matière à se
réjouir : rien que chez STRATO, plus de 98% des e-mails entrants sont des spams, parfois jusqu'à un milliard par
jour ! Si cette tendance venait à se renforcer, l’intégralité du réseau de courrier électronique mondial pourrait
bientôt se trouver au bord de l'effondrement. Et investir dans d’avantage de capacités de traitement pour les
filtres anti-spam, ce qui signifie mettre à disposition de plus en plus de serveurs, n'est en aucun cas la solution,
puisque ces nouvelles capacités se trouveraient rapidement détournées par les spammeurs. Une puissance
accrue des systèmes anti-spam génère donc indirectement davantage de spams.
En réalité, pour garantir la pérennité des messageries mail, il ne s'agit pas de développer des filtres antispam à
plus forte capacité de traitement, mais au contraire de proposer des filtres plus intelligents.
Une coopération entre science et industrie
Depuis 2005, STRATO développe, en collaboration avec l'université Humboldt de Berlin et l'Institut d'Informatique
Max-Planck, un système de filtre anti-spam intelligent modulaire, avec un double objectif : d’une part, délivrer de
façon fiable tous les e-mails souhaités et, d’autre part, atteindre le taux le plus élevé possible de reconnaissance
des spams. Il est en effet plus facile pour les utilisateurs d'effacer de temps en temps quelques spams isolés que
de devoir en permanence rechercher ceux qu’ils souhaitent conserver parmi des centaines d'e-mails
automatiquement classés en spam par un filtre « trop manichéen ». Il est clair que si vous ne pouvez pas faire
confiance à votre système anti-spam, vous risquez de passer davantage de temps dans votre dossier de courrier
indésirable que dans la boîte de réception. C'est pour cette raison qu’il est crucial pour les opérateurs de garantir
une distinction intelligente entre e-mails souhaités et e-mails indésirables, de sorte que les utilisateurs n'aient
plus jamais à regarder dans leur dossier spam. C’est avec cet objectif en tête que STRATO a développé, en
collaboration avec deux institutions scientifiques, différents modules anti-spam qui intègrent notamment la
« reconnaissance des e-mails désirés ».
Les ami(e)s n'envoient pas de spams
L’un des modules analyse les rapports entre adresses e-mails. Le postulat de base de l’outil est que des
personnes qui se connaissent ne s’envoient pas de spams. Ainsi, une communication de type "[email protected]
écrit à [email protected]" est enregistrée sous forme d’une valeur numérique anonymisée. La base de données
génère ensuite un « graphe social », en fonction des valeurs qui se répètent. L’envoi d’un e-mail de réponse est
également pris en compte dans l’algorithme. Ainsi, le système dispose d’un processus fiable indiquant qu'il s'agit
d'une communication souhaitée, et ce même lorsque des termes habituellement typiques d’un spam
apparaissent dans l’envoi.
L'empreinte digitale trahit les spammeurs
Un autre module, dénommé "Fingerprinting", est chargé de la reconnaissance des spams sous forme d’images.
Pour passer le barrage des filtres anti-spams classiques, les spammeurs attachent en effet aux e-mails des
images générées dynamiquement et contenant des messages publicitaires. Puisque toutes les images à
l'intérieur d'une même campagne sont légèrement différentes les unes des autres, elles ne sont en général pas
Version : Mars 2013
Page 1 de 4
reconnues comme constituant un « envoi en masse ». Ce module est conçu non pas pour repérer les différences,
mais pour relever les similitudes entre les différentes images d’une campagne de spam, telles que la distribution
des couleurs ou la composition globale de l’image. Ainsi, et contrairement aux systèmes très gourmands en
capacités de calcul dédiés à la reconnaissance de textes insérés dans des images, Fingerprinting est non
seulement plus efficace, mais aussi beaucoup plus fiable. De plus, la collaboration entre STRATO et le monde
scientifique a permis d’élargir la fonction de base de Fingerprinting à d’autres types de fichiers : le système sait
aujourd’hui reconnaître avec fiabilité les spams dans des documents Excel, des PDF et même dans des MP3 ou
des vidéos.
La reconnaissance des lots d’e-mails
Une autre extension de Fingerprinting est la reconnaissance "batch". Batch signifie "lot" et fait référence au type
d'envoi, puisque les e-mails publicitaires sont toujours envoyés par lot. Ainsi, lorsque le filtre anti-spam identifie
un certain nombre d'e-mails similaires, il est très probable que ces e-mails appartiennent à un même lot. La
reconnaissance de lots travaille indépendamment du type de spam et fournit ainsi un outil puissant pour
l’identification des e-mails non désirés.
La mise à l’épreuve des serveurs e-mails
Le traitement statistique augmente encore l’efficacité du système, utilisant entre autres l'enrichissement de
« listes noires de serveurs de spams » à travers un outil de scoring. Cette qualification permet d’affiner encore la
reconnaissance d’un courrier électronique comme spam, en introduisant la notation de « probabilité que le
serveur envoie des spams » en tant que variable d’évaluation. D'autres valeurs statistiques permettent une
analyse complète des en-têtes d'e-mails ou l’exploitation d’informations issues du protocole Internet et générées
lors de la transmission, telles que le nombre d'essais refusés ("bounces"), de connexions du serveur d’e-mails ou
de variantes de l'objet de l'e-mail. Le filtre anti-spam recherche dans ce cas des similarités indiquant la présence
d’une campagne de spam. Ce système, appelé "machine de classification de serveurs", est capable d’identifier
environ 20% de serveurs spam supplémentaires qu'un système de listes noires standard.
L’analyse de la face sombre d'Internet
La plupart des spams est actuellement générée par des "botnets", c'est-à-dire des ordinateurs interconnectés
détournés par des programmes présents sur le réseau. Grâce à la reconnaissance batch, il est aisé d’identifier la
provenance des e-mails constituant un lot de spam. Elle rend également possible la détermination précise du
botnet d’origine du spam, ce qui permet non seulement la gestion dynamique d’une liste noire, mais également
de cartographier le réseau de botnets, en montrant la distribution et l'activité des botnets en temps réel. En se
basant sur les connaissances les plus récentes en matière de botnets, il est ainsi relativement facile de
reconnaître instantanément les nouvelles campagnes de spams et de bloquer leurs e-mails. De plus, la
cartographie des botnets constitue un puissant critère discriminant, s’agissant d’e-mails souhaités mais envoyés
par lots, comme par exemple les newsletters, dans la mesure où le serveur e-mail depuis lequel sont envoyés les
messages n’est pas affecté à la carte des botnets. D’autre part, les nouveaux botnets et les derniers processus
de diffusion en date peuvent également être rapidement reconnus et trackés.
Le spam de liens et la vérification des destinations
Le "Linked Content Checker" est un système qui vérifie le nombre de liens identiques contenus dans les e-mails
entrants. Si un lien apparaît de façon trop fréquente, la destination du lien est automatiquement consultée et
analysée. S'il s'agit par exemple de sites de jeux de hasard, de vente de médicaments ou de montres de marque
bon marché, le système en déduit une forte présomption de spam. Cependant, les expéditeurs peu scrupuleux
s'adaptant également aux mesures de lutte anti-spam, certains d’entre eux vont jusqu’à blacklister les serveurs
de vérification de liens. Chez STRATO, des contre-mesures ont d’ores et déjà été prises : le serveur du Linked
Version : Mars 2013
Page 2 de 4
Content Checker dispose de rangs d’IP dynamiques ne permettant pas aux sites commerciaux de le différencier
d'un visiteur lambda.
L’importance de l’interaction entre les modules anti-spam
Seule l’évaluation individuelle des différents modules composant un système anti-spam permet de se prononcer
sur la qualité d’un filtre. Un module de graphes sociaux est par exemple particulièrement adapté à la
reconnaissance des e-mails souhaités. Cependant, il n'est pas directement utile pour distinguer le spam. A
l’inverse, un nombre élevé d'images similaires dans différents e-mails indique une forte probabilité de spam, mais
ne renseigne pas sur le fait que ces images sont souhaitées ou non. Seule la combinaison des deux fonctions
permet de séparer efficacement le bon grain de l’ivraie.
De plus, les ingénieurs de STRATO ajustent régulièrement les modules du filtre anti-spam et leurs influences
relatives sur le système afin d’adapter l’outil aux nouveaux procédés d’envoi de masse.
L’intégration de la théorie des jeux
Un filtre anti-spam standard doit être confronté régulièrement et manuellement à de nouvelles situations test, à
défaut de quoi son efficacité s'atténue fortement sur la durée. Rien de tel avec le système anti-spam de
STRATO, qui intègre les bases de la théorie des jeux, permettant une durée d’efficacité beaucoup plus longue et
donc des mises à jour à des intervalles moins fréquentes, ce qui permet aux ingénieurs de STRATO de
concentrer leurs efforts sur le perfectionnement d’autres fonctionnalités critiques. Un autre avantage de cette
approche est qu’elle autorise un certain degré d’imprécision dans les paramètres d’analyse, ce qui rend possible
une reconnaissance fiable des spams évolutifs.
Les perspectives d'avenir
En collaboration avec les scientifiques, STRATO travaille à rendre son filtre anti-spam auto-adaptatif, c’est-à-dire
autonome dans ses améliorations. Cela nécessite de perfectionner l’approche de la théorie des jeux, de sorte
que le filtre puisse ajuster de lui-même ses paramètres aux nouvelles formes de spams. L’atteinte de cet objectif
permettrait de réduire considérablement le besoin de situations tests manuelles.
Un autre sujet majeur de recherche est le niveau de personnalisation autorisé par le filtre, de sorte par exemple
que les collectionneurs puissent communiquer sur les montres Rolex, les urologues à propos du viagra, ou les
professionnels de la finance sur la vente d’actions sans voir leurs communications bloquées par un filtre antispam.
Enfin, les données cartographiques des botnets sont également très prometteuses, notamment car elles offrent la
possibilité de se protéger des attaques DoS ("Denial of Service"), c'est-à-dire de la perturbation des serveurs
ciblés, puisque ces attaques sont le fait exclusif des botnets.
Un motif de "satisphaction"
"Ce spam est parvenu à franchir tous les filtres" déclare un message spam moqueur. La réception d’un tel
message est parfaitement impossible chez STRATO. Cette citation provient en réalité de ma collection
personnelle de « spams exotiques » ; de pareilles performances provoquent chez moi une réelle "satisphaction".
A propos de René Wienholtz
Né en 1974, il dirige les départements Technologies et Innovation de STRATO. Depuis juin 2001, il est le CTO
(Chief Technical Officer) de STRATO et responsable du concept et du fonctionnement de la plateforme interne
d'hébergement partagé de l'entreprise, qui est la plus grande du monde basée sur la technologie Sun.
Auparavant, il avait travaillé dans le Conseil et en tant qu'évangélisateur technologique chez Sun Microsystems
Version : Mars 2013
Page 3 de 4
Inc, après avoir débuté sa carrière professionnelle chez Silicon Graphics GmbH suite à l’obtention de son
diplôme en informatique de gestion.
Contacts Presse :
Agence Eliotrope
Gilles LYONNET : [email protected], 01 53 17 16 44
Philippe GASPARD : [email protected], 06 07 71 71 18
À propos de STRATO
STRATO est le fournisseur d'hébergement offrant le meilleur rapport qualité-prix du marché. Constituant l'une des plus
grandes entreprises d'hébergement web, STRATO offre une qualité professionnelle à des prix très compétitifs. La gamme de
produits STRATO comprend des solutions de pointe et s'étend des noms de domaine, packs e-mail et sites web, au
stockage en ligne, boutiques en ligne et serveurs. STRATO héberge quatre millions de domaines de six pays et administre
deux centres de données certifiés par l'organisme allemand d'inspection TÜV. STRATO est une entreprise de Deutsche
Telekom AG.
www.strato.fr
Version : Mars 2013
Page 4 de 4