© MAAWG 2005 page 1/3 Message

© MAAWG 2005
Message prononcé lors de la table ronde Spam, SMSI, Tunis, 18 novembre 2005
Introduction
Le MAAWG (www.maawg.org) est un consortium industriel né en 2004, regroupant
des opérateurs de messagerie (ISP et Telcos, fixes ou mobiles) ainsi que des
fournisseurs de solutions de sécurisation de l’email. Par la composition de ses
membres, issus de plusieurs régions du globe et exclusivement du secteur privé, le
MAAWG est la première organisation anti-spam qui représente globalement l’industrie
face aux gouvernements et organisations inter-gouvernementales.
Le MAAWG est encore jeune et ses 55 membres proviennent en majorité
d’Amérique du Nord, avec moins de la moitié provenant actuellement d’Europe et
d’Asie. Toutefois, à nos réunions publiques ont déjà participé des entreprises et des
experts des 5 continents.
L’objectif du MAAWG est de fournir à l’industrie de la messagerie une enceinte de
travail pour combattre ensemble, et par des moyens techniques, les abus de toutes
sortes impactant les usages légitimes des services de messagerie.
L’action du MAAWG se décline selon 3 axes : collaboration opérationnelle entre
opérateurs (pour rendre la lutte plus efficace par l’établissement de meilleures
pratiques), évaluations de technologies anti-abus (pour trouver les meilleures
architectures), et coordination avec les autres organisations dont les objectifs sont
similaires, qu’elles soient gouvernementales ou non. Soit dit en passant, nous
sommes très attentifs à ne pas répéter inutilement des actions déjà entreprises
ailleurs.
Enfin, il est important de souligner que le MAAWG n’est ni un organisme de
certification ni de standardisation. L’adhésion des membres au Code de Conduite et
aux Recommendations est entièrement volontaire, et les documents les plus
importants sont ou seront soumis pour standardisation à des organismes spécialisés
tels que l’IETF.
Actions et résultats
Le cadre que s’est donné le MAAWG est plus large que l’email, et inclut également
les messageries sans fil, instantanées ou par voix sur IP, mais aujourd’hui nous
traiterons en particulier de 5 actions sur l’email menées par le MAAWG :
1.
2.
3.
4.
5.
le Code de Conduite pour les opérateurs de messagerie,
la Recommandation sur le contrôle du port 25,
le Programme de métriques emails,
les conseils sur le déploiement de technologies d’authentification d’email,
le format des rapports d’incidents ou d’abus.
Le Code de Conduite du MAAWG (www.maawg.org/about/CodeofConduct.pdf),
établi au début de cette année, est un ensemble de mesures simples et volontaires
[email protected]
page 1/3
© MAAWG 2005
pour les opérateurs de messagerie, qu’ils soient membres ou non du MAAWG. Il se
résume en 4 points : un ISP responsable devrait :
1. faire connaître à ses clients les conditions générales d’utilisation des
services de messagerie,
2. appliquer ces mêmes CGU à la lettre,
3. protéger ses utilisateurs et ses réseaux des abus ou non respects de CGU
émanant d’autres opérateurs,
4. communiquer avec les tiers opérateurs qui sont à la sources des problèmes.
La semaine dernière à Montréal, à notre 5ème réunion générale, nous avons
approuvé notre première recommandation sur la gestion du port 25 dans l’espace
IP dynamique ou résidentiel (www.maawg.org/port25). Le contrôle du port 25 n’est pas
une mesure nouvelle en soi, et elle est déjà adoptée par de nombreux ISP à travers le
monde, mais cette recommendation est la première faisant l’objet d’un consensus
réellement global, et s’addressant non pas aux techniciens, qui pour la plupart sont
déjà convaincus, mais aux décideurs, qui souvent font encore obstacles aux conseils
de leurs experts maisons.
Cette mesure ne résoudra pas le problème des zombies et des botnets (c'est-àdire des PC infectés à l’insu de leur propriétaires), mais réduit drastiquement leur
capacité de nuire et devrait donc avoir un impact énorme sur la quantité de spam en
circulation si la Recommandation était adoptée par une majorité d’ISP à travers le
monde, surtout si cela est couplé avec l’adoption de notre Code de Conduite.
A Montréal nous avons également approuvé notre programme de métriques
emails et c’est l’occasion ajourd’hui de l’annoncer publiquement pour la première fois.
A la demande de l’OCDE qui travaillle actuellement sur son toolkit anti-spam, nous
avons depuis juin étudié la possibilité pour le MAAWG de mesurer et de publier des
statistiques liées au spam, qui soient issues d’opérateurs de boîtes-aux-lettres email
exclusivement, et non de fournisseurs de solutions anti-spam comme c’est le cas
actuellement. Les statistiques concernant le spam sont encore considérées par la
majorité des ISPs comme des données sensibles commercialement et la réticence à
communiquer dessus est très grande. Toutefois, les membres du MAAWG se sont mis
d’accord pour lancer un programme de publication de statistiques agrégées et
anonymes, portant sur 3 chiffres essentiels :
1. le nombre de connexions IP refusées (demandées par exemple par des
serveurs connus comme étant spammeurs),
2. le pourcentage d’emails bloqués ou étiquetés comme spams par rapport au
nombre total d’emails reçus par les ISPs,
3. le nombre de boîtes-aux-lettres individuelles comprises dans la base de
mesure (elle devrait être supérieure à 100 millions pour qu’une campagne
de mesure soit validée).
Les premières « métriques » seront publiées lors de la pochaine réunion du
MAAWG en février 2006, et porteront sur le dernier trimestre 2005, pour être ensuite
publiées tous les trimestres, afin de faire apparaître les évolution et les tendances du
phénomène spam.
[email protected]
page 2/3
© MAAWG 2005
Bien entendu, la disponibilité très bientôt de ces statistiques ne témoigne
aucunement du travail considérable déjà accompli par le passé par les ISPs pour
réduire le volume des spams véhiculés sur l’Internet. Même si, aux yeux des
utilisateurs, la partie émergée de l’iceberg (c'est-à-dire les spams arrivant
effectivement dans leur boîte-aux-lettres) n’a pas toujours diminué en proportion
égale. De même, ces mesures ne reflèteront en rien le volume des éventuels faux
positifs, c'est-à-dire les emails légitimes bloqués ou étiquetés comme spams à tort.
Lors de notre précédente réunion à Düsseldorf en juin de cette année, nous avions
approuvé le premier d’une série de documents-conseil sur le déploiement de
techniques d’authentification d’email, en couvrant le cas de SPF et SenderID
(www.maawg.org/about/whitepapers/spf_sendID/). Un autre document traitera
prochainement le cas de DomainKeysIdentifiedMail ainsi que d’autres protocoles.
Enfin, une autre action menée par le MAAWG concerne les efforts de
normalisation du format de ce qu’on appelle communément la « feedback loop »,
mécanisme permettant aux aux ISPs d’échanger entre eux les emails ayant fait l’objet
de plaintes d’utilisateurs, ceci afin d’identifier la source des abus. Ce format appelé
ARF (Abuse Report Format) défini essentiellement par des membres du MAAWG,
est en cours de tests et sera prochainement soumis à l’IETF pour standardisation.
Sur un autre registre, celui de la régulation anti-spam, en tant qu’acteurs majeurs
de l’industrie de la messagerie, nous considérons qu’une législation anti-spam, pour
être efficace :
1. ne doit pas constituer un fardeau pour les utilisateurs ou les opérateurs,
2. doit être neutre technologiquement,
3. doit raisonablement décourager les infractions et permettre la récupération
des compensations aux dommages encourus,
4. doit être adéquatement financée,
5. doit utiliser le socle législatif existant autant que possible.
En particulier, nous ne pensons pas qu’intégrer dans la loi des codes de conduite
ou des pratiques techniques soit une solution, car cela remet en cause la
responsabilisation du secteur et l’efficacité de son auto-régulation. De plus, la
dépendance inhérente à des solutions techniques spécifiques rend ces lois
éphémères, en raison de l’évolution continuelle et très rapide du secteur.
Conclusion
Pour terminer, il faut rappeler que le phénomène du spam, dont l’ampleur est
considérable, ne profite qu’à une poignée de criminels dans le monde, et que les
victimes en sont bien sûr les utilisateurs en premier lieu (c'est-à-dire nos clients), mais
aussi les opérateurs. Les coût induits par la surcharge de nos réseaux et de nos
services clients atteignent des montants considérables. Nos équipes messagerie
travaillent dans un état d’urgence continuel, nos meilleurs experts ne peuvent pas se
consacrer pleinement à l’amélioration des services et technologies, et l’email en tant
qu’outil de communication universel risque de se trouver fortement dévalué.
[email protected]
page 3/3