La plaie du pourriel

Par Yan Barcelo
Illustration : John Ueland

Les pourriels ne font pas qu’emmerder, ils coûtent les yeux de la tête. À défaut de remède miracle, des solutions peuvent toutefois en limiter les dégâts.

Les pourriels et les courriels non désirés qui inondent nos boîtes de réception sont à l’autoroute électronique ce que les panneaux-réclames sont aux autoroutes : de la pollution, bien sûr, mais pire encore. Imaginez-vous un instant sur une autoroute où les panneaux-réclames n’en finiraient plus de tomber, bloquant littéralement la voie. Vous arrêtez, descendez de voiture, écartez un panneau, remontez, conduisez jusqu’au suivant et répétez le manège ad nauseam. Dans la vraie vie, les panneaux-réclames ne barrent pas la route ou ne nuisent pas à la conduite, et ils sont payés par les annonceurs, contrairement aux pourriels qui vous paralysent et dont vous devez vous-même assumer les coûts.

Bien que le phénomène du pourriel soit aussi vieux que le Web lui-même, depuis les deux dernières années, il retient l’attention comme jamais auparavant. «Les pourriels se situent au sommet des préoccupations de nos clients», indique René Vergé, directeur des services de consultation du Groupe CGI inc. à Montréal. Un sondage Ipsos-Reid, mené auprès de 1 000 Canadiens âgés de 18 ans et plus, démontre que, de 2002 à 2003, le nombre de pourriels a plus que doublé : chaque Canadien a reçu en moyenne 7 000 pourriels, soit 19 par jour. Et, si la tendance persiste, une étude de marché de Radicati Group Inc., de Californie, prévoit que leur nombre doublera partout dans le monde.

L’invasion prend de telles proportions qu’America Online a établi un palmarès des 10 catégories les plus répertoriées parmi les 500 milliards de pourriels traités par les serveurs en 2003. En tête d’affiche, et dans l’ordre, on retrouve le Viagra et ses dérivés, les produits pharmaceutiques en ligne, les moyens d’échapper à l’endettement, les produits pour améliorer la masculinité et les offres de diplômes en ligne. Chaque catégorie comprend des termes similaires, par exemple pour les produits pharmaceutiques, on retrouve les «ordonnances en ligne» et les «médicaments en ligne». Et, contre toute attente, les pourriels reliés à la pornographie n’arrivent qu’au neuvième rang. Une étude menée par Yahoo! en août 2003 indiquait pour sa part, en termes plutôt crus, que 77 % des répondants trouvaient plus désagréable de faire le ménage de leur courriel que de leurs toilettes! L’enquête ne dit pas pourquoi mais, si l’on considère les problèmes engendrés par le pourriel, il est probablement plus sûr de nettoyer ses toilettes.

Si les pourriels n’étaient que désagréables, les internautes pourraient possiblement s’en accommoder, en maugréant peut-être quelque peu, mais ils s’avèrent davantage qu’un simple encombrement du Web. Selon la société d’étude de marché IDC du Massachusetts, les pourriels se font plus agressifs et transportent souvent des vers et des virus. Une fois ouverts, ils peuvent avoir des conséquences plus graves que la publicité tapageuse ou mensongère. De tels messages infectent de façon croissante les ordinateurs des récipiendaires et entraînent de nombreux problèmes.

Les attaques effectuées par les fraudeurs, les courriels hameçons (ou phishing en anglais), illustrent une autre facette du caractère agressif de certains pourriels. À titre d’exemple, un certain type de courriel peut sembler provenir d’un fournisseur légitime et solliciter la confirmation ou la mise à jour du compte client du récipiendaire. Prudence! car il peut s’agir d’un stratagème pour soutirer des renseignements clés (codes bancaires, mot de passe, numéro de carte de crédit, etc.). L’encanteur eBay a été victime de nombreuses attaques de ce genre par l’intermédiaire des services de paiement PayPal.

Or, comment éviter de telles embûches? «Si vous avez le moindre doute au sujet d’un courriel, ne l’ouvrez pas et effacez-le», recommande René Vergé. Une institution financière qui souhaite rafraîchir les informations vous concernant ne le fera pas par courriel, mais vous adressera des documents par courrier recommandé ou par d’autres moyens. Les institutions ne devraient généralement pas envoyer de courriel sollicitant la mise à jour de données, indique René Vergé mais, si elles le font, elles devraient en aviser les clients à l’avance et leur indiquer une marche à suivre spécifique.

Évaluation globale, calcul particulier
Le plus lourd tribut à payer en matière de pourriel réside dans les coûts qu’il impose aux entreprises. Une étude de Radicati Group établit que la réduction des coûts constitue la principale priorité pour 52 % des entreprises.

Les évaluations globales de coûts reliés aux pourriels prolifèrent et couvrent une vaste gamme d’entreprises. À titre d’exemple, le groupe californien Ferris Research situe ces coûts aux États-Unis autour de 10 milliards de dollars US par année (une projection très conservatrice), le Radicati Group les établit à 20,5 milliards US à l’échelle mondiale et Nucleus Research, à environ 87 milliards US aux États-Unis.

Ces évaluations sont révélatrices, mais le calcul le plus pertinent est celui que l’entreprise peut établir pour elle-même. Elle doit tout d’abord compiler le temps consacré par les employés à éliminer les pourriels tout en s’assurant de ne pas seulement tenir compte des clics de souris. L’entreprise doit aussi prendre en compte le temps passé à lire les courriels, soit par inadvertance ou intentionnellement, et le temps perdu à retracer et récupérer des courriels légitimes détruits par mégarde.

Une étude de la société de sondage PEW Internet de Washington indique que 35 % des internautes consacrent tout juste quelques minutes par jour à ce nettoyage (7 % n’y consacrent pas de temps du tout; 28 % y consacrent jusqu’à 5 minutes; 25 %, de 5 à 14 minutes; 13 %, de 15 à 29 minutes et 15 %, plus de 30 minutes), soit une moyenne conservatrice d’environ 10 minutes par utilisateur. Mais qu’en est-il au chapitre des coûts? Pour un employé qui gagne 30 dollars de l’heure, il en coûte 5 dollars par jour, ou 1 125 dollars par année sur la base de 225 jours ouvrables. Il faut ajouter à ces chiffres le temps des informaticiens, soit environ 40 minutes par jour selon IDC, nécessaire pour désinfecter les systèmes informatiques et répondre aux plaintes des clients découlant de ces problèmes. À 40 dollars de l’heure, le coût annuel atteint 5 940 dollars par technicien.

Ce n’est pas tout. On doit aussi évaluer les ressources financières allouées à l’informatique qui sont accaparées par le phénomène du pourriel. Les évaluations concernant le volume de pourriels reçus par les entreprises varient de 50 % du courriel total, selon IDC et Gartner Group Inc., et jusqu’à 80 % selon Postini, Inc., une société américaine de services antipourriels. En supposant une moyenne d’environ 50 %, les entreprises dépensent alors la moitié de leur budget de traitement du courriel (serveurs, bande passante, espace disque) au pourriel.

Cependant, quelle que soit la taille de l’entreprise, le pourriel coûte cher. Une société qui compte 100 utilisateurs, 5 techniciens informatiques et un budget de gestion du courriel de 100 000 $ doit consacrer annuellement environ 175 000 $ au seul pourriel (environ 1,5 million de dollars pour 1 000 utilisateurs). Cela ne tient pas compte de l’infection des SI par un virus transporté dans un pourriel. Le coût d’une telle catastrophe est probablement impossible à établir et ses conséquences peuvent difficilement être chiffrées.

Lois antipourriels, propourriels
De nombreuses personnes comptaient sur l’adoption de lois antipourriels, comme le Can-Spam Act (Controlling the Assault of Non-Solicited Pornography and Marketing Act of 2003), pour couper l’herbe sous le pied des polluposteurs, mais en vain. Postini affirme que seulement 1 % des messages respectent les dispositions de la Loi. Selon celles-ci, l’expéditeur doit indiquer une adresse personnelle de courriel valide, fournir un mécanisme de désabonnement et indiquer le sujet exact du courriel, précisant, le cas échéant, qu’il s’agit d’une publicité. Les polluposteurs ne se conforment pas à la réglementation pour la simple raison qu’une fois leur délit commis, il est très difficile de les coincer.

«Comme le montrent les chiffres, la Loi n’a pas enrayé la croissance du pourriel, déclare David Poellhuber», président de la société montréalaise de filtrage du courriel ZeroSpam. «En fait, elle a servi à légitimer la pratique. Les gens peuvent désormais envoyer des bazillions de pourriels en autant qu’ils ne falsifient pas leur adresse d’origine et qu’ils offrent un mécanisme de désabonnement. Mais quelle sécurité ces mécanismes offrent-ils? Dans de nombreux cas, ils ne servent qu’à inscrire le nom des victimes dans une base de données qui les ciblera pour encore plus d’envois de pourriels.»

Au Canada, les gens fondaient peu d’espoir sur le projet de loi S-23 — projet de loi antipourriel qui a depuis été abandonné. Ce projet proposait que les poursuites soient la responsabilité de chaque individu, contrairement à ce qui se passe aux États-Unis où les recours sont du ressort de la Federal Trade Commission. La disposition américaine n’est toutefois pas très pratique, puisque la FTC a accumulé plus de 1,5 million de plaintes à ce jour. Selon David Poellhuber, l’approche canadienne n’aurait été guère meilleure, car elle ne tenait pas compte du fait que les dommages reliés aux pourriels sont relativement minimes et difficiles à quantifier alors que les méthodes d’enquête sont extrêmement complexes et coûteuses. Il existe une asymétrie profonde entre les dommages causés par le pourriel et les coûts impliqués dans la poursuite des polluposteurs.

Un choix délicat
L’inefficacité des lois antipourriels ne laisse d’autre choix que de créer son propre système de protection. Il existe plusieurs solutions technologiques, mais la voie n’est pas tracée d’avance. «Contrairement aux technologies antivirus, les approches antipourriels ne sont pas calquées sur un mode binaire, c’est-à-dire sur un choix entre blanc et noir, mais englobent une importante zone grise», indique Betsy Burton, analyste chez Gartner Inc. La description et la délimitation de cette zone recèlent quelques pièges majeurs. Il est relativement facile d’identifier au sein du volume de pourriels un premier bloc important d’expéditeurs familiers. La technique de filtrage utilisée ici consiste en une «liste noire» de polluposteurs connus. À l’autre bout du spectre, on retrouve les envois légitimes confirmés à l’aide d’une «liste blanche» contenant les interlocuteurs reconnus par l’entreprise.

La zone grise entre ces deux pôles peut laisser passer des pourriels déguisés en courriels. Pour les repérer, les concepteurs de logiciels utilisent diverses techniques d’analyse lexicologique et statistique. Par exemple, à partir d’un vocabulaire et d’une syntaxe que l’on retrouve typiquement dans les pourriels, on applique des filtres qui révèlent la présence de formules et termes comme «augmenter vos performances», «sexuel» et «bas prix», dans une proximité suspecte. Le logiciel applique alors au message un indice de probabilité. Si l’indice est élevé, le message est éliminé. S’il est relativement faible, le logiciel l’identifie dans la boîte de réception de l’internaute à titre de pourriel potentiel, lui laissant le choix d’en juger.

Mais les concepteurs de pourriels devancent toujours les concepteurs de logiciels de protection d’un pas. Pour contrecarrer les techniques les plus récentes de filtrage statistique, les polluposteurs insèrent de grandes chaînes de texte dans leurs messages, quelquefois même des citations de Shakespeare, pour déjouer les analyses de proximité de termes. Ou encore, certains termes clés de leurs messages sont erronément épelés afin de déjouer le logiciel de filtrage, mais l’internaute n’a aucun problème à déchiffrer des mots tels que «Viaggraa», «Viagar», ou «Via%Gra*».

Le talon d’Achille des logiciels antipourriels réside dans la possibilité très réelle d’identifier comme pourriel un message légitime ou «faux positif». Ainsi, un message qui contient les termes suspects «augmenter vos performances», «sexuel» et «bas prix» pourrait très bien tomber dans cette catégorie. Rebecca Wetzel, analyste chez NetForecast, relate une expérience révélatrice. À trois reprises, elle a envoyé par courriel un document traitant du thème des pourriels à un éditeur de magazine. Comme elle ne recevait pas de réponse, elle a fini par contacter l’éditeur pour apprendre qu’il n’avait jamais reçu le texte. Le logiciel antipourriel l’avait rejeté trois fois! Et de commenter Rebecca Wetzel : «Dans nos tentatives d’enrayer le pourriel, sommes-nous en train de détruire le courriel comme moyen légitime et fiable de communication?»

En utilisant un outil de filtrage trop primaire, de nombreuses entreprises risquent de se couper d’informations et d’occasions d’affaires importantes. Environ 75 % des entreprises auraient implanté des logiciels antipourriels. Mais l’approche de la majorité d’entre elles se situe à un ni-veau tactique quotidien, plutôt qu’à celui d’une approche stratégique globale, indique Betsy Burton de Gartner Inc. «Je dirais que seulement 20 % des entreprises du Fortune 1000 ont mis en place une véritable politique de filtrage antipourriel», poursuit-elle.

Une telle politique implique un effort systématique de l’entreprise pour définir ce qui pour elle constitue un pourriel. Chaque service doit adapter la définition à ses particularités. Par exemple, un courriel destiné au service d’ingénierie et contenant une terminologie typique de certains pourriels à caractère financier («éliminez vos dettes», «profitez de taux très bas») pourrait être jugé hautement suspect. Mais s’il était adressé au service des finances, le même courriel pourrait provenir d’un interlocuteur financier et présenter une occasion de réaliser des économies. La politique antipourriel et son application doivent donc être suffisamment adaptées et souples pour, à la fois, protéger les ingénieurs et donner accès à l’information aux gens des finances.

Une autre dimension cruciale de la démarche de l’entreprise, insiste René Vergé, tient à la formation touchant la question du pourriel. «Il est nécessaire de faire comprendre aux employés les enjeux reliés à ce phénomène et le mode de fonctionnement des polluposteurs, et de leur inculquer de bonnes habitudes. Par exemple, un employé ne devrait jamais répondre à un pourriel, ni afficher l’adresse courriel de l’entreprise dans des sites Web, qui sont une cible privilégiée des robots de repérage des polluposteurs. Si un employé doit absolument s’inscrire dans un site, des adresses jetables sont disponibles auprès de nombreux fournisseurs de services de courriel, dont les plus connus sont Yahoo! ou Hotmail. (Il faut toutefois se rappeler que ces fournisseurs figurent parmi les plus ciblés par les polluposteurs.)

Évidemment, l’aspect humain et politique de la protection antipourriel ne doit pas occulter le fait que le choix de la technologie s’avère complexe. Comme il existe plus de 100 fournisseurs de logiciels et de services offerts en impartition, cela ne simplifie pas la tâche. Les services disponibles se découpent en trois grands secteurs.

Le premier est constitué par les fournisseurs de logiciels implantés sur le poste de travail lui-même, où dominent des noms bien connus des applications antivirus : McAfee SpamKiller 2004 et Norton AntiSpam (propriété de Symantec). Ces solutions s’adressant principalement à l’individu et à la petite entreprise ne sont pas pratiques pour les moyennes et grandes sociétés qui veulent éviter de devoir gérer une multitude d’applications individuelles et leur mise à jour.

Le deuxième secteur recouvre les applications chargées sur des serveurs de courriel centralisés et sont destinées aux grandes entreprises. Gartner Inc. identifie ici une douzaine de leaders, dont Brightmail (acquise par Symantec en juin 2004), CipherTrust, Cloudmark, MailFrontier, Mirapoint, MX Logic, Proofpoint, Sophos, SurfControl, Trend Micro ainsi que Tumbleweed Communications.

Le choix entre ces nombreux produits exige du discernement. Parfois un fournisseur se distingue par ses techniques de détection et de filtrage, mais propose des mécanismes de gestion, de mise en quarantaine et de vérification insuffisants, et vice versa. Seule l’analyse des besoins réels révélera quelles fonctions sont prioritaires. À titre d’exemple, l’entreprise qui doit répondre à des attentes très variées de la part de ses différents services devra favoriser, au-delà des techniques de filtrage, un processus de vérification effectué par ses employés. Par contre, celle dont les besoins sont plus homogènes privilégiera les outils de détection et de filtrage.

Enfin, le troisième secteur est constitué d’impartiteurs qui gèrent l’ensemble des mécanismes de protection de l’entreprise, souvent en combinant pourriels et virus. Les joueurs mis de l’avant par Gartner sont FrontBridge Technologies, MessageLabs et Postini. Au Canada, ZeroSpam fait partie de cette catégorie.

L’impartition offre l’avantage de déplacer le trafic et la gestion du courriel hors de l’entreprise. Si le fournisseur est à jour, ses filtres de détection et d’analyse intégreront rapidement les stratégies sournoises les plus récentes. Toutefois, comme le signale René Vergé, il n’est pas assuré qu’un impartiteur qui applique des politiques globales de détection et de gestion soit sensible aux besoins spécifiques de chaque client. Par ailleurs, indique-t-il, le choix d’une solution antipourriel se complique davantage par le fait que les technologies évoluent rapidement et que le marché est appelé à se rationaliser. En fait, les solutions antipourriels uniques sont appelées à céder le pas aux solutions multiples (le Secure Email Boundary, ou «périmètre de courriel sécurisé» [PCS]) qui intégreront à la fois l’antipourriel, l’antivirus, l’authentification de l’expéditeur, le chiffrement des messages et d’autres fonctions. «D’ici deux ans, le simple produit antipourriel n’existera plus, indique René Vergé. Il sera intégré et de type PCS.»

Or, l’entreprise qui recherche sa propre solution antipourriel, outre la valeur actuelle des fournisseurs, doit s’informer de certaines questions. Le fournisseur possède-t-il une vision claire de l’évolution de son produit, notamment vers le concept PCS? Son produit est-il appelé à disparaître ou à triompher dans la vague de consolidation qui s’amorce dans ce secteur? Enfin, l’entreprise doit faire en sorte que la solution qu’elle retient s’harmonise avec les diverses technologies de sécurité de son fournisseur Internet, avec ses propres installations de courriel et avec les postes de travail de ses employés.

Malgré tout, il ne faut pas s’attendre à des résultats trop spectaculaires. Selon IDC, une entreprise qui compte 5 000 adresses de courriel et connaît une perte de productivité liée au pourriel de 4,2 millions de dollars US annuellement peut espérer réduire de moitié le temps consacré par ses employés au traitement des pourriels et soustraire 796 000 dollars de la perte de productivité qu’elle encourt. Heureusement, souligne René Vergé, une telle économie dépasse largement le prix d’implantation et de gestion d’une solution antipourriel. À titre indicatif, une solution proposée en impartition par ZeroSpam représente, pour une organisation abritant 5 000 adresses de courriel, un coût mensuel d’environ 50 cents par employé, soit 30 000 dollars par année.

Une entreprise peut cependant obtenir des résultats surpassant ceux annoncés par IDC, comme le démontre l’application de ZeroSpam au problème de pourriel de Avantages Services Financiers Inc. de Montréal. Au moment de faire appel à l’impartiteur, cette société recevait plus de pourriels que de courriels. «Ce type de problème a complètement disparu», déclare Michel Marcoux, président d’Avantages. «Et si toutefois nous recevons un pourriel, nous le référons à ZeroSpam qui l’ajoute à ses filtres.»

Les histoires bien ficelées comme celle d’Avantage existent, bien sûr, mais mieux vaut être réaliste. «Nous ne voulons pas vraiment totalement éliminer le pourriel, déclare René Vergé, mais le réduire à un niveau où il est possible de le gérer. Tout comme les virus, le phénomène du pourriel est le prix à payer pour bénéficier d’un réseau Internet ouvert.»

Yan Barcelo est un journaliste de la région de Montréal.