Agence du Numérique (ex - Agence Wallonne des Télécommunications / AWT), la plateforme ICT de la Wallonie

dimanche 25 septembre 2016

Le spam, le phishing, etc.

Le courrier électronique a révolutionné la manière dont nous échangeons l'information. C'est aussi un canal d'entrée pour un nombre sans cesse croissant d'annonces diverses, souvent inutiles et d'une provenance douteuse
Twitter Facebook Delicious
Mis à jour le 29/11/2004 | Imprimer | Envoyer

Le courrier indésirable: spam

Définition

Le spamming correspond à l'envoi intempestif de courriers électroniques, publicitaires ou non, vers une adresse mail. Le spamming est une pollution du courrier légitime par une énorme masse de courrier indésirable non sollicité. On peut ainsi qualifier de spam les actes suivants:

  • écrire à un inconnu pour l‘inviter à visiter un site,
  • inclure un individu dans une liste de diffusion sans son consentement,
  • diffuser sur un forum de discussion des messages sans rapport avec le thème de ce dernier,
  • envoyer du courrier publicitaire non sollicité, le plus souvent pour des produits ambigus et/ou illégaux,
  • etc.

Les différents synonymes du spamming ou spam sont:

  • pourriel,
  • polluriel,
  • courrier-rebut.

L'origine du mot "spam" provient d'une marque de corned-beef. Plus précisément spam est l'acronyme de "Spiced Pork And Meat" (pâté épicé à base de porc et de viandes). C'est l'aspect déplaisant de cette nourriture associé à l'utilisation qu'en on fait les "Monty Python" qui a mené à l'utilisation de ce mot pour qualifier le courrier électronique indésirable.

D'où vient le spam?

Il provient en fait d'un peu tout le monde! Du simple particulier qui veut faire de la publicité pour son site, jusqu'à la PME qui veut promouvoir ses produits à moindre coût, en passant par des individus ou organisations mal intentionnés. Généralement les grandes entreprises, pour des questions d'image et d'efficacité préfèrent qualifier leurs courriers électronique d'e-mail marketing. Il n'en reste pas moins que si le courrier est envoyé sans la sollicitation explicite de l'internaute, il s'agit bien de spam!

Pourquoi le spamming est il si répandu?

Le spamming ne coûte presque rien! L'achat de fichiers d'adresses ou de logiciels collecteurs d'adresses mail se fait à un coût dérisoire (quelques dizaines d'euros). L'envoi de courriers électroniques ne coûte pas grand chose non plus!

Enfin, les retours sont nombreux. Par exemple, via l'envoi d'un courrier publicitaire non sollicité, même avec un taux de consultation faible, un envoi massif à plusieurs millions d'adresses génère quelques milliers de visites! Le bénéfice pour l'envoyeur est non négligeable.

Que faire pour lutter contre le spam ?

Il existe deux approches que l'on peut conseiller de combiner pour obtenir une meilleur protection:

  • l'approche préventive,
  • l'approche curative.

Dans l'approche préventive, le principal conseil est de prendre des précautions afin de communiquer son adresse électronique avec prudence. C'est ainsi que l'inscription de son adresse électronique dans un formulaire (sur Internet ou pas) doit rester un acte réfléchi. D'autre part, lors de la création de contenu pour un site Internet, il est important de faire en sorte qu'aucune adresse électronique ne soit encodée sans artifice (par exemple avec du javascript) dans la page publiée car il serait alors très simple pour un logiciel spécialisé de la recueillir.

Toutefois, il est évidemment impossible d'éviter de communiquer son adresse électronique (sinon, elle ne servirait d'ailleurs à rien!). Dans cette optique, on peut fair un usage intelligent des alias. Un alias correspond à une adresse de courrier électronique alternative pour laquelle tout courrier envoyé aboutit au sein de la boîte électronique associée à l'adresse de courrier principale. Par une utilisation intelligente de la fonctionnalité des alias, il est possible de réduire considérablement le courrier indésirable. En effet, lorsque l'alias est considéré comme trop pollué, on le supprime pour arrêter la réception du spam lié à cette adresse tout en conservant sa boîte électronique.

La seconde approche permet une lutte contre le spam par le biais du filtrage du courrier électronique dès son arrivée. Ce filtrage peut avoir lieu à deux moments différents:

  • à la réception du courrier électronique par le serveur de courrier,
  • à la réception du courrier électronique par le client de messagerie électronique (Outlook par exemple).

L'usurpation d'identité: le phishing

Le phishing (prononcer fishing) est une des nouvelles facettes à la problématique de l'usurpation d'identité. Il s'agit d'exploiter l'Internet et le courrier électronique afin de pousser des utilisateurs à divulguer des informations privées en leur faisant croire que ces demandes d'information proviennent de services légitimes. Ces courriers électroniques peuvent apparaître comme authentiques, alors qu'en réalité ils ne visent qu'à tromper l'utilisateur, un peu comme le pêcheur utilisant des leurres ressemblant à s'y méprendre à de vrais insectes pour faire mordre le poisson.

Les informations ainsi recherchées peuvent être de différentes natures:

  • informations personnelles
  • informations financières (numéros de carte de crédit, etc.),
  • nom d'utilisateur et mot de passe du compte d'un utilisateur légitime,
  • numéros de sécrité sociale,
  • etc.

De même, les identités usurpées peuvent être celles:

  • de banques connues,
  • de services de vente en ligne,
  • d'entreprises de crédit,
  • etc.

De récentes études ont démontré que les spécialistes de l'usurpation de l'identité Web (phishers) arrivent à convaincre plus de 5 % des destinataires à répondre à ces sollicitations indésirables.

Il ne faut pas perdre de vue que cette nouvelle criminalité ne se limite pas à l'envoi de courrier électronique dont l'apparence imite parfaitement l'identité d'une entreprise réputée et sérieuse. En effet, il faut également être prudent lors de la consultation de sites apparemment sécurisés (par exemple affichant le petit cadenas caractéristique de https).

Bien que les technologies d'encryption, comme https, offrent un certain niveau de sécurité et de confidentialité, l'apparition du cadenas indique simplement que la communication entre votre ordinateur et le service distant est chiffrée par l'utilisation de technologie de cryptographie. Toutefois, l'interlocuteur avec lequel votre ordinateur dialogue n'est pas forcément celui qu'il prétend être.

Il est donc important de consulter le certificat de sécurité qui est associé au service sécurisé utilisé. Généralement, un simple clic de souris sur l'icône de sécurité permet de consulter les informations détaillées concernant le certificat utilisé. Pour être rassuré quant à l'identité de son interlocuteur, ce certificat doit comprendre des informations lui étant propres. De plus il est important que ce certificat soit signé numériquement par un organisme tiers de confiance assurant que l'information contenue dans ce certificat est légitime. Ce tiers de confiance (Verisign, Thawte, etc.), qui joue un rôle semblable à celui d'une commune qui fournit une carte d'identité, est indispensable car lui seul peut vous prouver que le certificat est fiable!

Portail de la Région wallonne