 |
Extrait
du dossier "Les
méthodes antispam" paru sur le site Secuser
[Voir le
dossier complet sur le site de l'auteur] |
| |
| LES METHODES ANTI-SPAM |
|
| |
| Depuis
qu'Internet a révolutionné notre usage au quotidien des
technologies de l'information, les envois d'email
non-sollicités, ou spam, ont suivi cette progression
pour atteindre ces dernières années un taux d'usage
incroyablement important. C'est à ce moment qu'il est
devenu un fléau pour lequel une lutte s'est engagée.
Aujourd'hui pour lutter contre le spam, il est important
de connaître son fonctionnement, les méthodes de
filtrages et les grandes tendances afin de pouvoir au
mieux l'anticiper. Ce dossier vous guidera pour en
connaître les rouages et les solutions possibles. |
| |
| LE FILTRE BAYESIEN
|
| |
Les
statistiques Bayésiennes ont d'abord été mises en
évidence par le scientifique anglais T. Bayes.
Ses principales caractéristiques consistent en
l'utilisation des expériences passées pour effectuer
des prédictions.
La méthode bayésienne est présentée comme une
approche "intelligente" qui examine tous les
aspects d'un courrier électronique, par opposition au
contrôle de seuls mots-clefs ou chaînes interdites.
S'agissant du spam, si une certaine chaîne de
caractères se présente souvent dans des courriers
indésirables, alors la prochaine fois que cette même
chaîne de caractères se représentera dans un nouveau
courrier, on pourra supposer que ce courrier est
probablement "indésirable".
La probabilité peut être calculée en tenant compte du
nombre de fois que cette chaîne se présente en tant que
spam par rapport au courrier légitime. Cette
probabilité varie avec les destinataires.
Si la probabilité est plus grande qu'un certain seuil,
alors le message est considéré comme indésirable.
Brièvement, voici quelques avantages du filtrage
bayesien :
- Il tient compte de l'ensemble du message ;
- Il est multilingue et international ;
- Il utilise l'intelligence artificielle ;
- Il est difficile à contourner. |
| |
| LE FILTRAGE HEURISTIQUE |
| |
Le filtrage heuristique
est une technique de filtrage fondée sur l'analyse du
contenu des messages.
La technique analyse et note la présence de forme (par
exemple l'objet du message tout en MAJUSCULE), de code
(présence exagérée de code HTML visant à dégrader
les performances d'un filtre sémantique).
Cette technique de filtration à l'avantage d'être
indépendante de la langue de l'utilisateur.
De plus, elle vérifie un nombre important de règles :
800 règles sont couramment employées dans les solutions
anti-spam.
Par contre le filtrage heuristique nécessite une
maintenance assez importante, car en général les
spammeurs s'adaptent aux règles et ajoutent de
"nouvelles règles". Ainsi, la mise à jour de
ces règles dans ce système de filtrage sont
permanentes.
Exemple d'objets dans un message pouvant être filtrées
par cette méthode :
- so|utions to common hea1th problems
- cred1ted to your acc0unt when you s1gn up
- Best s0ftware prices.
- We are having specials on C|AL|S, V1AGRA, PR0ZAC, ZYBAN
and C3LEBREX
Vous pouvez ainsi constater que les "i" sont
remplacés par des "1" ou "|" ; les
"o" par des "0", etc... |
| |
| LES LISTES NOIRES ET RBL |
| |
En quelques mots, nous
pouvons définir les listes "blanches" et
"noires" de la manière suivante : les
expéditeurs en liste noire sont bloqués et les
expéditeurs en liste blanche sont les bienvenus.
Les listes noires sont les listes ayant identifié des
spams collectifs et sont listés afin de ne pas les
délivrer.
Sur le même principe que les listes blanches, il y a des
listes noires "locales", et des listes noires
générales, communément appelées les RBL.
RBL ou Realtime Blackhole List
La RBL est une liste noire de machines ou de domaines
bannis, mise à jour en temps réel.
Les filtres anti-spam s'appuyant sur cette méthode,
consultent en général automatiquement la mise à jour
des bases.
Il existe différentes RBL, comme :
- MAPS RBL
- ORBS
- SBL et XBL
- DSBL...
La base de données OBRS est utilisée par de nombreuses
sociétés, parmi lesquelles GearHost Inc. Aux USA qui
rejette 5 500 000 d'emails par jour, ou encore Bigfoot
avec 4 000 000 d'adresses rejetées journalièrement.
SBL
Enfin, concernant la SBL ; le projet de Spamhaus.org
donne plus de moyens aux fournisseurs Internet pour
couper à la source les courriers non sollicités, qui
polluent nos boîtes aux lettres électroniques.
Cette liste XBL est conçue pour être exploitée
parallèlement à la liste noire traditionnelle déjà
mise en place par Spamhaus (la SBL), qui recense les
adresses IP de spammeurs identifiés, et non de
centres-relais.
Ces services sont gratuits et ne font l'objet d'aucune
propriété quelconque.
En cas d'erreur Spamhaus donne la possibilité de retirer
une adresse IP de ses listes. |
| |
| L'ANTI-SPOOFING |
| |
Tout d'abord, il
convient de définir ce qu'est l'IP Spoofing. En clair,
cela signifie usurpation d'adresse IP.
Bien que cette attaque soit bien connue, elle reste
d'actualité.
Effectivement, cette attaque peut être utilisée de deux
manières différentes :
- La première utilité de l'IP Spoofing va être de
falsifier la source d'une attaque.
- L'autre utilisation de l'IP Spoofing va permettre de
profiter d'une relation de confiance entre deux machines
pour prendre la main sur l'une des deux.
Il existe plusieurs types d'IP Spoofing :
La première est dite "Blind Spoofing", c'est
une attaque en aveugle. Les paquets étant forgés avec
une adresse IP usurpée, les paquets réponses iront vers
cette adresse. Il sera donc impossible à l'attaquant de
récupérer ces paquets.
Pour le deuxième type, il s'agit d'utiliser l'option
"IP Source Routing" qui permet d'imposer une
liste d'adresses IP des routeurs que doit emprunter le
paquet IP. Il suffit que l'attaquant route le paquet
réponse vers un routeur qu'il contrôle pour le
récupérer.
Néanmoins, la grande majorité des routeurs
d'aujourd'hui ne prennent pas en compte cette option IP
et jettent tous paquets IP l'utilisant.
Les manières de s'en protéger sont de quatre sortes :
- Supprimer tous les services de type rsh et rlogin.
- Ne pas utiliser uniquement l'adresse IP comme méthode
d'authentification.
- Vérifier que son système n'a pas des numéros de
séquence TCP facilement prédictible.
- Utiliser une fonction anti-spoofing. |
| |
| LE BLOCAGE DES SERVEURS "OPEN
RELAY" |
| |
Ces serveurs ouverts
"open relay" autorisent n'importe quel
expéditeur à envoyer à n'importe quel destinataire des
e-mails, le plus souvent du spam.
Des sites, tels que ORDB ou DSBL les traquent et
permettent aux administrateurs système de s'en
prémunir, mais la tâche est vaste.
Normalement, un serveur de mail correctement paramétré
n'accepte que des expéditeurs et des destinataires
appartenant à son domaine local ou à sa gamme d'IP.
Quand ce n'est pas le cas, faute de sécurisation
suffisante, le serveur devient une cible idéale pour des
spammeurs toujours à l'affût de passerelles gratuites
masquant leurs agissements.
Par exemple, votre fournisseur d'accès Internet
s'appelle "Fournisseur" et vous fournit un
serveur de mail appelé smtp.fournisseur.com. Si des
internautes qui ne sont pas clients de
"Fournisseur" sont autorisés à utiliser
smtp.fournisseur.com, alors c'est un open relay. |
| |
| LE TEST DE TURING |
| |
Les utilitaires
anti-spam à base de test de Turing, plutôt rares pour
l'instant, représentent une les meilleures solution
anti-spam actuelle.
Il s'agit de s'assurer de l'humanité d'un émetteur de
courrier électronique : est-ce bien un humain ou est-ce
un robot ?
Concrètement, on va lui demander de résoudre une
énigme, simplissime pour l'humain, impossible pour la
machine, raison pour laquelle certains tests de Turing
s'appellent "Challenge Message".
S'il y a une réponse satisfaisante, on considère que
l'émetteur est réellement un humain et son adresse et
placée automatiquement en liste blanche. Il ne lui sera
plus infligé de test de Turing. Dans tous les autres
cas, l'émetteur n'est probablement pas légitime.
Le résultat est immédiat:
- Soit l'adresse de l'expéditeur du courrier est une
véritable adresse mais usurpée (en cas de spoofing par
exemple) donc, comme il ne vous à rien envoyé, il ne
répond pas à l'énigme posée par le test de Turing et
sa correspondance prétendue n'est pas délivrée. Le
message électronique reste en quarantaine.
- Soit l'adresse de l'expéditeur est forgée de toutes
pièces donc elle n'existe pas et personne ne répondra
jamais à l'énigme. Le message électronique reste
également en quarantaine.
- Soit l'adresse est celle d'un robot et elle n'est
jamais relevée. Le résultat est le même (quarantaine).
- Soit l'adresse est réelle et correspond au spammeur ou
à son commanditaire. Sous l'avalanche d'énigmes à
résoudre, il ne peut rien faire.
- Soit l'adresse est réelle et l'expéditeur est humain
et la réponse au test de Turing est positive. Le test
est passé permettant le "laisser-passer" du
message.
Les messages placés en quarantaine peuvent être ensuite
consultés par le destinataire qui décide du sort
réservé à ces emails. |
| |
| CONCLUSION |
| |
Ces différentes
méthodes de gestion et de filtrage des messages
électroniques vous permettent d'avoir une base de
réflexion pour le choix de votre outil anti-spam.
Pour une utilisation individuelle et monoposte, vous avez
par exemple Spam Assassin qui analyse les emails entrant
avec un filtre heuristique et utilise les listes noires.
Ainsi, un outil anti-spam vraiment fonctionnel et utile
doit pouvoir utiliser au moins deux méthodes de
filtrages pour vous assurer une protection minimale.
Enfin, le test de Turing et le filtrage bayésien sont
les deux méthodes les plus évoluées. Bon à savoir
pour choisir son logiciel anti-spam. |
| |
| LIENS UTILES |
| |
- Dossier
Secuser.com : spamming et mailbombing
- SpamBayes
- SpamPal |
|
|
