Par Jonathan D. Andrews
Illustration : Ed Schnurr
 LE VOLUME DE POURRIEL NE CESSE DE S'ACCROÎTRE, MAIS IL EXISTE DES MOYENS POUR EN LIMITER LES INTRUSIONS
En 1994, deux avocats de Phoenix cherchant à attirer de nouveaux clients ont concocté un plan qui est devenu le premier pollupostage à grande échelle, connu sous le nom de «Green Card spam». Ils ont engagé un programmeur qui avait pour tâche de bombarder tous les groupes de nouvelles Usenet de messages concernant une loterie pour l'obtention de visas de résident permanent. Les destinataires de ces courriels non sollicités, diffusés avant l'explosion d'Internet, ont commencé à les désigner par le mot «spam», qui est devenu «pourriel» en français.
Petite histoire du spam et du pourriel
En 1937, le producteur de viande Hormel lance un nouveau produit à base de porc, qu'il baptise «Spam». Cette viande en boîte avait la particularité de ne nécessiter aucune réfrigération, et est devenue populaire durant la Deuxième Guerre mondiale avant d'être exportée dans de nombreux pays. En 1970, le Spam est immortalisé par le groupe Monty Python dans un sketch où des Vikings chantent en chœur «Spam, Spam, Spam» dans un café londonien. (Rassurons-nous, le présent article n'essaiera pas d'expliquer comment des Vikings pouvaient en arriver à chanter dans un café londonien!) Toutefois, 24 ans plus tard, le Collegiate Dictionary de Merriam-Webster reprend cette idée de Monty Python pour décrire l'étymologie du mot «spam». En français, le courriel de masse non sollicité est appelé «pourriel» ou «pollupostage».
Pourquoi déteste-t-on le pourriel?
Surtout parce qu'il engendre les phénomènes suivants :
• perte de productivité — les employés sont interrompus ou perdent du temps à supprimer les messages;
• perte de messages utiles pour le travail;
• utilisation de la bande passante et d'autres ressources de l'organisation;
• effet négatif du nombre croissant de pourriels à contenu vulgaire;
• violations potentielles des politiques de l'organisation en raison du contenu vulgaire des messages, même s'ils n'émanent pas de toute évidence des employés.
Nombreux sont ceux qui croient que le pourriel cause de véritables problèmes. Selon la société de conseil Ferris Research de San Francisco, les coûts associés au pourriel se sont élevés à 8,9 milliards de dollars US l'an dernier pour les sociétés américaines, et ils pourraient atteindre les 10 milliards cette année. Dans son rapport intitulé Spam Control: Problems and Opportunities, Ferris Research affirme que le pourriel compte pour 15 à 20 % des courriels entrants d'une organisation, et que la proportion grimpe à 30 % pour les fournisseurs de services Internet (FSI). Pour Matt Cain de Meta Group, ce pourcentage atteindrait plutôt 40 % pour les entreprises.
Lors d'un colloque tenu en janvier à Cambridge au Massachusetts (www.spamconference.org), Barry Shein, président du FSI The World de Boston, a exprimé ses craintes de voir les polluposteurs prendre graduellement le contrôle d'Internet. Il est d'avis que leurs envois commencent à ressembler aux attaques par saturation : ils consomment une partie toujours plus importante des ressources des FSI en inondant les réseaux de courriels non sollicités automatisés. Ironiquement, les attaques par saturation se confondent de plus en plus avec le pourriel, à la différence par exemple qu'ils font référence à des numéros sans frais inexistants.
Bruce Schneier, fondateur et directeur de la technologie de Counterpane Internet Security, estime que le modèle économique actuel, selon lequel nous payons un montant relativement minime pour utiliser une connexion Internet et pour envoyer et recevoir un grand nombre de courriels, devra bientôt être remplacé par un modèle comportant des barèmes de prix propres au courriel.
Éléments du message
Normalement, un courriel arrive chez le FSI, est récupéré par le serveur de courriel de l'entreprise, puis est transmis à un PC. Si vous travaillez dans une petite entreprise, vous récupérez probablement vos courriels directement. Tous les messages vous sont adressés, mais un certain nombre sont inévitablement des pourriels faisant miroiter l'occasion d'affaires du siècle. Les éléments clés d'un message sont l'expéditeur, le destinataire, la date, l'objet et le contenu lui-même. Diverses méthodes d'interception et de blocage du pourriel s'appuient sur au moins une de ces zones et sont appliquées au niveau du FSI, du serveur de courriel ou encore du PC.
• L'expéditeur — Votre adresse peut avoir été dénichée dans des listes de diffusion autorisées ou non, ou encore dans des listes générées à partir d'un dictionnaire et du nom de votre FSI. Les filtres de pourriel, qu'ils soient installés chez votre fournisseur ou dans votre serveur de courriel, utilisent des listes blanches (adresses autorisées), des listes noires (polluposteurs connus) ou les deux pour filtrer les messages avant leur téléchargement. (Le filtre SpamScreen de WatchGuard Technologies Inc. est un exemple de système de consultation de listes noires en temps réel basé sur le Web.)
Le filtrage par liste blanche peut être émulé sur votre PC au moyen de votre progiciel de courrier électronique, par exemple MS Outlook, de façon à transférer dans un dossier auxiliaire tous les messages qui ne répondent pas à vos règles de gestion des courriels et qui ne proviennent pas des expéditeurs identifiés dans votre carnet d'adresses. Vous devez quand même continuer à télécharger tous les messages et mettre vos règles à jour de temps à autre, mais la perte de messages valables est peu probable — vous n'avez qu'à écumer les messages de votre dossier auxiliaire. Vous pouvez aussi vous servir d'un outil comme Mailwasher pour prévisualiser le courriel avant de le télécharger. Comme l'explique Penelope Hedges, CA, directrice de Integrated Data Inc. de Vancouver : «Cet outil pratique permet d'éviter de télécharger du pourriel et des messages infectés. J'éprouve une certaine satisfaction à retourner certains messages à l'expéditeur, même si cette pratique n'est pas nécessairement bien vue», dit-elle.
• Le destinataire — De prime abord, on peut penser qu'il n'y a pas grand-chose à faire à ce sujet. Cependant, certaines personnes ont deux adresses, une officielle et une non officielle : tous les courriels sont dirigés vers la première et un filtre de pourriel chez le FSI fait le tri, puis dirige les messages vers la deuxième adresse.
• La date et l'heure — L'heure d'envoi peut servir à filtrer le courriel : qui peut bien envoyer des messages à 3 heures du matin? Quoique, en y réfléchissant bien, ce pourrait être un couche-tard de la côte Ouest ou quelqu'un qui arrive au bureau en Europe. Ou encore, ce pourrait être un accro du courriel qui fait de l'insomnie.
• L'objet — Voilà la zone où le polluposteur doit faire preuve de créativité pour vous inciter à ouvrir son message. La plupart des tentatives sont faciles à percer, surtout lorsqu'on associe l'objet au nom de l'expéditeur. Un message intitulé «Pour faire suite à notre conversation téléphonique» peut attirer votre attention, mais une adresse comme wss2190y6aa4@aol.com vous mettra sûrement la puce à l'oreille. Cela dit, il n'est pas toujours possible de se fier au lien entre l'expéditeur et l'objet, car la distinction entre les virus et les pourriels tend à s'estomper. En décembre dernier, un virus s'est insinué dans les carnets d'adresses et a envoyé des cartes de Noël à toutes les adresses inscrites, à l'insu de l'expéditeur. Le nom de l'expéditeur semblait valide et l'objet était de circonstance. Dans la rafale de courriels d'excuses qui a suivi (vous conviendrez qu'il est inhabituel de présenter des excuses après avoir envoyé une carte de souhaits), de vieilles connaissances ont renoué, mais les adresses de certains de ces expéditeurs ont possiblement été rapidement supprimées.
• Le contenu — Si son message finit par être lu, le polluposteur a remporté la victoire. Et même si vous supprimez le message immédiatement, il y aura toujours quelqu'un qui ne le fera pas. Le succès du modèle du parfait polluposteur repose sur ce principe : une large diffusion au moindre coût possible.
Du point de vue technique, c'est au niveau du contenu des messages que les stratégies de défense peuvent devenir intéressantes. Plutôt que de nous fier à des listes blanches et noires pour filtrer les courriels, nous entrons dans la zone grise des techniques cryptographiques. Les techniques statistiques bayesiennes peuvent servir à reconnaître les pourriels, un peu comme elles ont servi à mesurer l'occurrence des mots et caractères courants à des fins de décryptage. Dans cette zone grise, les messages valables qui sont rejetés en même temps que les pourriels sont appelés faux positifs. Cependant, selon Paul Graham du Arc Project, ces techniques laisseraient passer moins de 5 pourriels sur 1 000, sans faux positif. Ce résultat est encourageant; beaucoup conviendront qu'il est bien pire de perdre des messages importants que de recevoir des pourriels. Un filtre qui génère des faux positifs revient à jeter le bébé avec l'eau du bain. Pour en savoir plus sur l'utilisation des techniques statistiques bayesiennes dans les filtres de pourriel, consultez le site www.spamconference.org.
Accès interdit
Dans les serveurs d'entreprise, on utilise souvent l'outil PowerTools de NEMX Software Corp., qui permet aux techniciens d'élaborer des règles de vérification des expéditeurs et du contenu. Les règles sont établies au moyen d'expressions de type Unix qui recherchent des mots, des groupes de mots ou toute cible appropriée, et des mesures adéquates peuvent ensuite être définies. Cet outil peut aussi être connecté aux listes noires en temps réel.
Puisque nous parlons de zones grises, jetons un coup d'œil à la Loi sur la protection des renseignements personnels et les documents électroniques. On peut raisonnablement conclure que les attaques de pourriel constituent une intrusion dans la vie privée. Malheureusement, la Loi n'éliminera pas la transmission du pourriel par les FSI. En vertu de la Loi, c'est le client qui envoie le pourriel, et non le fournisseur. Cependant, une adresse électronique demeure un renseignement personnel et, à compter du 1er janvier 2004, les plaintes relatives à la collecte, à l'utilisation et à la communication, par des polluposteurs, de listes de diffusion comportant des renseignements personnels pourront être acheminées par écrit au Commissaire à la protection de la vie privée du Canada (ou à celui de la province s'il y a lieu).
Aux États-Unis, le pollupostage ne viole aucune loi fédérale; cependant, la Federal Trade Commission surveille les polluposteurs pour s'assurer qu'ils ne se livrent pas à des pratiques commerciales trompeuses ou déloyales qui, elles, sont illégales. Les lois de certains États sont plus sévères; par exemple, en Virginie, les polluposteurs doivent verser une amende de 25 000 dollars par journée d'activité. En décembre 2002, on a appris, dans le cadre d'un procès de 7 millions de dollars US remporté par AOL contre CN Productions, que ce dernier avait envoyé à la fin des années 1990 plus d'un milliard de pourriels aux clients d'AOL.
Les messages que vous envoyez peuvent être interceptés par un filtre anti-pourriel. Pour éviter cela, choisissez un objet détaillé sans point d'exclamation, signe de dollar ou mots comme «gratuit», «revenu», ou autres, qui inspirent les polluposteurs. Si vous communiquez avec un nouvel interlocuteur, expliquez pourquoi vous lui envoyez un courriel. De telles précautions éviteront que vos messages ne deviennent de faux positifs.
Jonathan D. Andrews, CA, CA•CISA, FCA (England and Wales), est président de NetLearn Services Inc. à Victoria. Cette rubrique est dirigée par Deryck Williams, FCA, CMC, de PKF Hill LLP à Toronto. |
