Spam : le sujet s’est imposé, mais tout reste à faire

Le ‘spam’, ces e-mails non sollicités qui polluent nos messageries, n’a pas disparu, bien au contraire; il reste l’une des principales menaces d’Internet. L’année 2004 aura vu la menace passer du courrier publicitaire aux dérives mafieuses, avec en particulier l’émergence du « phishing », sans oublier les virus et les vers. Le ‘spam’ est devenu en quelques mois principal vecteur des attaques virales.

« La problématique du ‘spam’ est trop complexe !« , nous confie Bruno Rasle. Co-auteur de l’ouvrage ‘Halte au Spam‘, il est consultant et intervient dans des commissions d’études mises en place par le gouvernement sur ce sujet. Le bilan d’une année de lutte contre le spam ? « Le sujet s’est imposé« . On pourrait croire que la menace du ‘spam’ est aujourd’hui perçue par tous; or il n’en est rien ! « Les entreprises accusent encore un sérieux retard. Surtout les petites: elles manquent de connaissances et d’outils« . Trop souvent perçue comme peu importante et pas compliquée, la messagerie reste une faille ouverte dans l’entreprise où s’engouffrent les spammeurs. « Les exploitants de messageries manquent de compétences, mais en face d’eux, les spammeurs sont à la pointe de la technologie« . « Les spammeurs sont poussés à l’excellence, c’est pourquoi on assiste à la professionnalisation des acteurs et à leur dérive vers la criminalisation ! Ils sont devenus des experts en marketing, et ils surfent sur l’actualité. Le ‘spam’ est un marché« . Constat alarmant alors que la messagerie devient un outil de productivité. « Beaucoup d’entreprises n’ont pas encore pris conscience du besoin de formation de leurs équipes internes et de veille. Lorsque surviennent les embûches, l’entreprise est contrainte et forcée d’agir« . La solution serait-elle dans la sous-traitance de la lutte contre le ‘spam’? Pas si simple ! « Nous rencontrons un problème: la définition du périmètre« . Des solutions ‘anti-spam’ externalisées existent, mais toute la difficulté réside dans la facturation du hors contrat. Car les écueils proviennent des ‘faux positifs‘, ces e-mails au contenu légal, mais assimilés à du spam et qui, mis à tort en quarantaine, ne parviennent jamais à leurs destinataires. L’internaute est le meilleur ami du ‘spammeur’ ! « L’internaute a changé, il est moins naïf. Mais d’autres encouragent le système. L’internaute n’est plus si innocent !« . Bruno Rasle veut en particulier évoquer les contrefaçons qui envahissent le Web, divulgués par le ‘spam’ et qui trouvent un appui chez l’internaute client. L’exemple des contrefaçons de montres Rollex est significatif (lire notre article). Aujourd’hui, nul besoin de se déplacer dans certaines régions du monde pour acheter ouvertement des objets contrefaits, il suffit de commander sur des services en ligne qui communiquent largement à l’aide du ‘spam’. « L’internaute est le meilleur ami du spammeur !« . Constat alarmant, certains internautes sont devenus des acteurs consentants du spam, des amateurs des dérives mafieuses du phénomène. Mais aussi des « victimes du spam débordant » ! Aux Etats-Unis, les médicaments sont si chers qu’ils font l’objet d’un marché parallèle en ligne, supporté par le spam, et particulièrement dangereux, puisque passé l’emballage, la composition du médicament contrefait n’a souvent rien à voir avec le véritable médicament. Le marché du spam « Le spam est devenu un marché. La majorité des spammeurs sont américains, mais les moyens proviennent des pays de l’Est ou d’Asie« . Bruno Rasle souligne ici un aspect moins connu du spam, son économie. Qui dit marché, dit produit, c’est l’objet du spam qui invite l’internaute à consommer ; dit marchant, en majorité le spammeur américain qui encaisse ; et dit réseau de distribution, les hackeurs des pays de l’Est qui apportent la technique et sont rémunérés sur les résultats. Sans oublier le client ! Parmi les dérives technologiques découvertes ces derniers mois figure le PC Zombie. Cette technique consiste à transformer le PC d’un internaute en machine serveur de spam. Mais que font les éditeurs de solutions anti-spam ? « Il n’y a pas de nouveaux entrants. Au contraire, nous assistons à une concentration des acteurs du marché. Nous entrons plutôt dans une seconde vague de développement qui tend à compléter les offres et à les porter à maturité« . Et les fournisseurs d’accès, à qui souvent l’internaute reproche le peu de motivation à lutter efficacement contre le spam ? « Les FAI bougent ! C’est surtout marquant sur les PC Zombie. Jusqu’à présent, ils se sont concentrés sur les messages entrants, mais ce n’est pas suffisant ! » « Les FAI se rendent enfin compte du phénomène et commencent à se soucier du client en PC Zombie, donc sortant« . Il est temps, car la dérive mafieuse augmente et « les groupes mafieux commencent même à se faire concurrence« . Il n’est pas rare de les voir d’affronter pour le contrôle des PC Zombie, où un hacker chasse l’autre, et ainsi de suite ! Et l’arrivée des pays de l’Est dans l’Europe, avec leurs compétences en matière de développement de logiciels, ne risque pas de simplifier la problématique ! Mais que fait la justice ? Là aussi, le constat est pour le moins alarmant ! « Il n’y a pas de plaintes ! Pourtant, nous disposons d’un arsenal juridique existant. C’est le serpent qui se mord la queue ! » « Les nouvelles prérogatives de la CNIL vont lui permettre d’appliquer des contraventions. Mais il n’y aura plus de perquisitions. L’expérience de la ‘boîte à spam’ a été très significative. Elle est terminée, mais il y a encore beaucoup de gens qui souhaitent y déposer leurs plaintes. Il faut créer un guichet unique. Pour le futur, Bruno Rasle se voudrait rassurant. « Les discussions autour de l’authentification sont intéressantes, mais ce n’est pas un outil anti-spam. Cela permettra d’identifier les auteurs de spam, mais ne sera efficace que si l’on dépasse un seuil avec un nombre suffisant d’utilisateurs« . Sauf que certains spams bénéficient déjà d’une authentification ! « Bill Gates a déclaré que le spam sera terminé dans deux ans, mais depuis cette déclaration, il l’a répété deux fois, à six mois d’intervalle?<ï>«