Tout le monde a reçu des mails non-sollicités dans sa boîte aux lettres électronique. En cette période de fin d'année nos boîtes vont être prises d'assaut :
- promotions pour des objets de luxe à des prix défiants toute concurrence
- des médicaments pour améliorer ses performances sexuelles
- ou encore nous proposer de toucher 100 millions de dollars d'un lointain parent inconnu
Parmi ces messages se glisseront des mails contenant des virus ou autres attaques informatiques. Bref, le spam tout le monde connaît. Mais comment ça marche réellement ? C'est le sujet de ce cinquième épisode des "5 minutes du professeur Audenard".
les 5 minutes du professeur Audenard - épisode... par orange_business
en standard rien n'est prévu pour sécuriser le mail
Le système actuellement utilisé pour le mail a été conçu aux tous débuts du réseau Internet, à une époque où le nombre de serveurs étaient très restreints et où les administrateurs des serveurs se connaissaient (ou tout du moins partageaient des valeurs communes) : dans un tel contexte de "confiance" relative, les usages étaient "normaux" et les abus rares.
Mais, l'explosion du nombre de machine et du réseau Internet que l'on connaît a redistribué les cartes... Mais les systèmes utilisés pour s'envoyer et recevoir un courrier électronique n'ont pas évolué en même temps.
Nous nous retrouvons donc à utiliser un système conçu initialement pour être utilisé dans un contexte où l'autorégulation était la règle à l'Internet que nous connaissons dans lequel la "loi de la jungle" est la règle.
le mail est une carte postale numérique
C'est très simple d'envoyer une carte postale : on met celle-ci dans la boîte postale en bas de l'immeuble et c'est parti. Quelque part, le mail c'est pareil qu'une carte postale :
- on peut envoyer une carte à qui l'on veut
- l'adresse de l'émetteur est optionnelle (ou fantaisiste)
Ce qui est spécifique avec le mail :
- pas besoin d'acheter de carte, un mail c'est immatériel
- pas de timbre à mettre sur le mail
Un autre point important (mais qui n'a pas grand chose à voir le spam) mais que certaines personnes n'ont pas encore compris (si si je vous assure) : ce qui est écrit sur la carte peut être lu par quiconque (tout est en clair)...
tout le monde peut monter sa boîte postale
A contrario des boîtes postales présentes dans la rue, les boîtes postales pour le mail sont des serveurs. Ces serveurs sont appelés des serveurs SMTP : on en trouve chez les fournisseurs d'accès Internet, au sein des réseaux d'entreprises ou encore chez certaines personnes passionnées par la technique.
En fait, n'importe qui peut installer un serveur SMTP chez lui.
Une fois un mail donné à un serveur SMTP, celui-ci va se charger de l'envoyer au serveur SMTP référencé comme étant en charge de la gestion du courrier du destinataire (pour cela c'est le système DNS qui est utilisé).
les serveurs SMTP en "relais ouverts"
Normalement, un serveur SMTP n'accepte de prendre en charge un mail que pour ses utilisateurs (ou "clients"). Il y a quelques années de cela, le jeu consistait à trouver des serveurs SMTP ouverts ("open-relay") qui acceptaient le mail de tout le monde, ce qui était très intéressant pour un spammeur... Maintenant que le "truc" est éventé, les spammeurs ont dû trouver un autre moyen.
les botnets à la rescousse
Si un serveur SMTP accepte sans broncher tous les mails de ses "clients légitimes", un spammeur n'aura qu'à se faire passer pour ces clients pour que ses mails soient délivrés à leur destinataire.
Le moyen idéal pour se faire passer pour un client légitime c'est de l'infecter pour ensuite le commander à distance : c'est ici que l'on retrouve nos ennemis que sont les réseaux de machines zombies (les botnets).
techniques de protection : du côté de l'émission et de la réception
Lutter contre le spam n'est pas une chose facile et cela demande des moyens conséquents qui doivent sans cesse être réactualisés. Parfois la lutte est inégale.
Nous verrons qu'il existe différentes techniques permettant de limiter l'émission de spam et de protéger ses boîtes du côté de la réception. Mais ce sera pour une prochaine fois !
Une dernière chose: ne répondez jamais à un spam, n'achetez aucun service ni objet qui vous est proposé via un spam.
Jean-François
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens