Kevin Gallot (expert antispam) : Le spam va s’amplifier en 2005

Ingénieur informatique de formation, Kevin Gallot vient de publier un ouvrage intitulé Anti-Spam – Kit de survie*. Auteur prolixe de plusieurs livres techniques (dont :PHP – MySQL; Assemblez, upgradez et dépanner votre PC, 70 pannes Windows XP), ce technicien travaille dans la sphère Internet depuis 1996 (Spray/Caramail, IBM et maintenant Cisco). C’est un observateur attentif de l’évolution du spam, ce phénomène nuisible qui persiste sur Internet.

Vnunet.fr: A votre avis, quels sont les principaux faits qui ont marqué l’année 2004 en matière de spam?
Kevin Gallot : Rappelons que, si la première apparition du spam remonte à 1994, il a commencé à s’illustrer massivement en 2001. Puis le spam a explosé en 2003 puis 2004. Cette année a été marquée par l’apparition du phishing ou spoofing (usurpation d’identité pour obtenir des informations confidentielles, ndlr). Je considère le phishing comme une branche du spam qui, au-delà de l’aspect commercial qu’il recouvre, entraîne une fraude ou une arnaque. Il y a donc une intention particulièrement malhonnête voire vicieuse. Signalons également l’émergence du spim, qui est du spam de messagerie instantanée. C’est plus insidieux car le spim est plus ressenti comme un acte de violation de la vie privée que le spam qui se répand par la messagerie électronique. Cependant, le phénomène s’est résorbé avec le blocage des ports par les éditeurs.

Microsoft a également présenté sa solution SenderID…
Par analogie, je dirais que SenderID est l’équivalent de la présentation du numéro de l’appelant de France Télécom. Chaque domaine, chaque adresse IP est enregistrée dans une base de données fiable dont tous les mails provenant de cette base sera présenté au destinataire comme fiable à son tour. Mais cela impose une démarche d’enregistrement dont on ignore encore si elle sera payante ou non. J’ai le sentiment que, pour l’heure, la solution de Yahoo ? que je n’ai pas encore étudiée ? rencontre plus de succès.

Peut-on s’attendre à une diminution du spam en 2005?
Je ne crois pas. Avec l’émergence des pays de l’Est et d’Asie, notamment la Chine, nous devrions assister à une augmentation du spam, au mieux une stabilisation. Personnellement je commence à recevoir des spams en mandarin ou cantonais. Si la fréquence du spam diminue, c’est qu’il y aura eu une évolution technologique. Mais elle demandera 3 à 6 mois d’adaptation et de propagation sur le réseau. Donc, il ne faut pas s’attendre à une amélioration avant la mi-2005. Certes, il existe des solutions plus globales au niveau des passerelles de serveurs e-mail qui protègent X milliers d’utilisateurs. Mais cela demande des ressources qui ralentissent les traitements et risquent de créer des goulets d’étranglement. Ces solutions ne sont pas réalistes à l’échelle de la planète car trop coûteuses en terme d’investissement matériel et logiciel et de consommation de bande passante.

Quelles sont les solutions pour se protéger du spam?
De manière anticipée, il faut éviter d’exposer son adresse mail en la laissant dans les forums ou les lettres de diffusion douteuses. Le mieux est d’utiliser une adresse mail, celle de son FAI par exemple, pour les contacts privée ou professionnels, en parallèle à une adresse volatile publique sur Hotmail ou Yahoo pour les forums, etc. Ensuite, il faut s’équiper d’une solution logicielle. Soit à partir de l’extension antispam d’un éditeur d’antivirus, par exemple, mais qui impose des mises à jour régulières comme pour les signatures de virus; soit à partir d’un filtrage de type bayesien qui repose sur une période d’apprentissage de trois semaines environ en mémorisant les e-mails classés en liste noire (BLR). On estime cependant le taux d’erreur entre 2 et 5 %. Ensuite, il y a les solutions en ligne comme MailInBlack mais qui repose sur une identification et la validation de chaque e-mail. Je ne crois pas aux outils magiques qui marchent tout de suite. Aucune solution n’est parfaite, d’autant que les spammeurs s’adaptent très vite pour déjouer les filtres, mais il faut s’assurer qu’elle combine plusieurs méthodes de filtrage.

En France, la loi pour la confiance dans l’économie numérique (LEN) encadre-t-elle suffisamment le spam?
Pas précisément. Elle encadre les envois non sollicités. La LEN est plus une évolution de la loi Informatique et Libertés au centre de l’activité de la Commission nationale Informatique et Libertés (Cnil)qu’une véritable loi anti-spam. C’est une évolution sur les informations nominatives qui donne aux sociétés de marketing plus de marge de manoeuvre sans faire l’objet de plaintes tout de suite. Dans l’absolu, c’est bien mais ce n’est pas suffisant. Quand aux Etats-Unis, la loi n’a pas eu grand effet car les spammeurs se protègent de mieux en mieux et les enjeux financiers sont tellement importants que ce n’est pas une loi qui va changer brutalement les choses. Au mieux, une condamnation fera jurisprudence mais ne calmera pas les esprits.

Quels sont les recours possibles contre les spammeurs?
Il y a une procédure par voie classique via le procureur de la République, à condition de prouver qu’on a déjà fait les démarches nécessaire pour justifier la plainte. A savoir, faire part de son refus d’être spammé (ce qui est difficile quand on ignore qui est le spammeur), avoir signalé le désagrément à son FAI ou d’autres instances, etc. Quand c’est un spammeur extérieur à l’Europe, il n’y a pas grand chose à faire. Il y a tellement de possibilités que c’est très difficile de retrouver des auteurs de spam envoyés par les serveurs installés hors de l’Union européenne. La lutte contre le spam doit passer par une coopération internationale pour partager les informations et les données.

Pourquoi n’y a-t-il pas, ou peu, de spammeurs en France et en Europe?
Ils sont vite démasqués. Surtout, ils subissent une forte pression de la part des professionnels du marketing qui se sentent dénigrés par les méthodes de spammeurs. Aux Etats-Unis, ils ont une longueur d’avance avec 80 % de la population connectée, le marché est plus large. Il y a peut-être un phénomène culturel qui les rend moins regardants et plus indépendants. Chacun fait son business dans son coin aux Etats-Unis alors qu’en France, il y a plus un esprit d’équipe et d’entraide entre les différents secteurs d’activités.

Quel niveau de réponse peut atteindre le spam?
Cela dépend. Aujourd’hui, les spammeurs utilisent des outils de ciblage selon les profils des consommateurs. Et, selon la cible, le taux de retour peut atteindre les 10 ou 15 %. Sinon, je pense que ça ne descend pas en dessous de 1 % compte tenu des volumes effectués. On parle en millions d’abonnés rien que pour les e-mails envoyés des Etats-Unis. Ce qui est intéressant est de voir qu’au bout de 2 ou 3 semaines, le site du spammeur n’existe plus. Soit parce que l’hébergeur ou le fournisseur d’accès a tout bloqué, soit parce que le spammeur n’a fait qu’une opération ponctuelle.

Quel est le taux d’encombrement du spam dans les boîtes e-mails?
Cela dépend évidemment du degré d’exposition de l’adresse e-mail qui est visée. Une adresse discrète subira 1 à 5 % de spam. En revanche, une adresse modérément exposée reçoit 30 à 40% de spam. Et celles qui sont bien exposées jusqu’à 90 %.

Quels sont les produits les plus mis en avant par les spammeurs?
Les produits pharmaceutiques en premier lieu, le viagra bien sûr mais aussi ce qui n’est pas autorisé en France comme la DHEA (vendu comme « l’hormone de jeunesse »). Ou encore les produits onéreux comme le tabac. Viennent ensuite les produits financiers qui touchent essentiellement les anglophones. La pornographie subsiste. Les offres logiciels, dont des applications antispam, sont également très présentes dans les spam. Soit à travers des offres légales de shareware, que je classerais dans la catégorie BtoB, soit sous forme de contrefaçon essentiellement issue des pays de l’Est.

* »Anti-spam, kit de survie » de Kevin Gallot, publié aux Editions Dunod, novembre 2004.