Spécialistes de
l'optimisation des réseaux et de la qualité
de service, Frédéric Aoun et Bruno Rasle
sont aussi devenus des experts es-spam. Ils viennent
de publier aux éditions Eyrolles un livre intitulé
"Halte au spam" (lire la chronique
de Pierre Lombard consacrée à ce livre).
Pour le dernier chat de la saison, le Journal du Net
a choisi de les inviter pour parler de ce qui reste
probablement le phénomène le plus marquant
des douze derniers mois dans l'Internet. Pendant près
d'une heure et demi, Frédéric Aoun et
Bruno Rasle ont dialogué avec les lecteurs du
JDN. Conseils, constats, chiffres et anecdotes : (presque)
tout ce que vous avez toujours voulu savoir sur le spam...
|
Invités
: Frédéric Aoun (à
dr.) et Bruno Rasle (à g.) ,
auteurs de "Halte au spam" (éditions
Eyrolles) |
Date
: Mecredi 9 juillet, 18h-19h30 |
Nombre de questions
retenues : 36 |
|
|
Bertrand
Salord : Bonjour à tous !
Quelle
est votre expertise en matière de spam?
Bruno Rasle et Frédéric Aoun: Nous
travaillons depuis environ deux ans sur ce sujet., que
nous trouvons passionnant. Nous essayons de le traiter
sous tous ses aspects technique, juridique, comportemental...
Votre définition de spam ?
Haha ! TRES bonne question ;-) En fait, il
existe DES définitions...Pour la CNIL, c'est la méthode
de collecte qui prédomine, pour l'internaute c'est la
gène à la réception, pour l'entreprise la perte de productivité,
pour le FAI les plaintes des clients...
Soyez sincères, peut-on bloquer vraiment le spam ou
est-ce le serpent de mer ?
A 100 % non. L'objectif est de le contrôler.
On peut faire l'analogie avec les virus informatiques.
Que pensez-vous des initiatives de la CNIL en matière
de lutte contre le spam ?
Elles sont excellentes. L'opération "boîte
à spams" a permis de jeter un coup de projecteur sur
ce fléau. Dire qu'elle est suivie dans ses efforts par
les juges est une autre question...
Auriez-vous quantifié le
coût des pertes (baisse de productivité, encombrements,
etc ) qui résultent de ce type de pollution ?
Pour notre étude, nous avons trouvé de tout
(notamment du côté des éditeurs d'outils anti-spam).
Retenons tout de même deux chiffres : 1 spam = 1 $ (chiffre
à considérer avec précaution) et 10 milliards d'euros
par an rien qu'en coût de connexion (source : Commission
Européenne).
Peut-on mesurer le volume de spam envoyé chaque jour
dans le monde ? Avez-vous des statistiques en France
?
Non. C'est pourquoi nous proposons la création
d'un Observatoire du spam. Nous présentons prochainement
nos propositions précises en ce sens à la CNIL. Attention
à ne pas considérer les chiffres de la CNIL (opération
"boîte à spams") comme une mesure scientifique (ce n'était
pas le but de la campagne). Aux Etats-Unis, des acteurs
tels que Postini et Brighmail affirment que l'on a déjà
dépassé la barre des 50%.
Quelle différence faites-vous entre mailing commercial
et spam ?
Le spam est illégal. Concernant le "mailing
commercial", nous pensons que vous voulez parler des
e-mails promotionnels diffusés par les acteurs du marketing
direct ? S'ils sont le fait de professionnels respectueux
de la loi, ils sont légaux. Quand la nouvelle loi sera
promulguée, ces professionnels devront respecter de
nouvelles contraintes. Pour les personnes physiques,
seul les envois suite à accord préalable (opt-in) seront
autorisés. L'e-mail devra être clairement identifié
en tant que publicité et devra figurer l'identité de
l'annonceur. La désinscription devra être facilitée.
Justement, qu'appelez-vous des professionnels respectueux
de la loi ?
Aujourd'hui, il s'agit des annonceurs qui
respectent la loi "Informatique et Libertés" de 1978,
qui interdit la collecte "sauvage" de vos adresses.
Demain, en plus, ils devront respecter la nouvelle loi
LEN, transposition d'une directive européenne. A noter
tout de même que les syndicats professionnels (FEVAD,
UDA, SNCD...) se mobilisent contre le spam qui met en
péril leur modèle financier.
Avec le développement du spam, pensez-vous qu'il y ait
un avenir pour le marketing direct par e-mail ?
Le terrain de jeu va se rétrécir. Il est
probable que quelques acteurs disparaissent ou modifient
leur comportement. Oui, bien utilisé, le marketing direct
(conçu dans un esprit de respect de l'internaute) a
un avenir.
Combien de spams recevez-vous chaque jour dans vos boîtes
mails pro et perso ?
Nous disposons d'une douzaine de bal. Certaines
vieilles (1995) et d'autres récentes. Sur deux adresses
nous recevons un taux de 35% de spam (un volume de 3
MO en un mois). Sur l'une de ces adresses le taux est
proche de zéro.
Quel est le meilleur spam que vous avez reçu ?
C'est difficile de parler de "meilleur".
Nous avons recueilli un spam qui a décroché un score
de 67 points sur spamAssassin ! Nous avons également
été spammés pour aller donner notre sang aux Etats-Unis...
Sans oublier le spam pour l'outil anti-spam !
Selon vous, quel est le meilleur outil anti-spam actuellement
sur le marché ?
Ca dépend... Un outil anti-spam doit être
adapté à chaque cas de figure (entreprise, particulier,
spécialiste de l'informatique, néophyte)... Pour information,
actuellement nous expérimentons un filtre bayesien (PopFile)
ainsi que la solution Dolphian (Lire l'article
du JDN du 20/06/03).
Avec des règles de message dans Outlook, peut-on se
débarrasser du spam, partiellement ?
Avec les versions actuelles, très partiellement.
Outlook recherche des mots clés typiques des spam. Ca
fait longtemps que les spammeurs ont adapté leurs méthodes...
Mettre son adresse e-mail dans un fichier image est-il
vraiment efficace ?
Oui, les robots aspirateurs sont gênés. C'est
une méthode recommandée par l'IETF (ASRG).
Comment prémunir mon site
contre un sniffer de mails ?
Voir question précédente. Le maquillage d'adresses
(f.aoun@NOspam.halte-au-spam.com) n'est plus très efficace,
les robots arrivent à les contourner. Thierry Bouchard,
Président de l'APIPL indique sur son site qu'il facturera
tous les spams. Il vient début juin d'obtenir du tribunal
de commerce de Grenoble la première condamnation d'un
spammeur en France (injonction à payer). Bravo !
Les FAI doivent-ils contrôler et filtrer les spam ?
Les FAI ne peuvent vérifier le contenu des
e-mails. La plupart utilise donc, pour protéger leurs
infrastructures, les blacklists... En clair, ils "poubellisent"
les e-mails, sans autre forme de procès, à la moindre
alerte. Attention aux dégâts collatéraux (e-mails légitimes
détruits). Les blacklist ont été - et sont encore -
très utiles (dans l'attente d'un meilleur dispositif).
Mais nous sommes dubitatifs quant à leur fonctionnement
(opacité totale) et leur efficacité (taux de filtrage
bas et taux de faux positif élevé). Au minimum, les
FAI devraient nous informer (devoir de transparence).
Pour info, courant mai 2003, AOL annonçait détruire
2,4 milliards de messages chaque jour !
Que pensez-vous de l'utilité des sites anti spam, ou
les utilisateurs peuvent soumettre leurs spams reçu
?
Ils permettent de développer des parades
de meilleure efficacité.
La meilleure défense, c'est
l'attaque! Ne faut-il pas spammer les spammeurs ?
Non, surtout pas. Vous risquez de vous en
prendre à un innocent. Par contre, signalez le spam
(FAI, CNIL, autorités compétentes...)
Comment les spammers arrivent-ils
a trouver les adresses mail? Est-ce une combinaison
systématique de toutes les adresses possible?
En effet, vous évoquez une des dernières
techniques des spammeurs, le DHA (Directory Harvest
Attack). Par test de toutes les combinaisons possibles,
des robots arrivent à obtenir l'annuaire. Privilégiez
des adresses longues et surveillez de près les statistiques
de votre serveur (cette attaque est très gourmande en
ressources).
Le fait d'avoir un boîte aux lettres déjà assez ancienne
n'est il pas un facteur de réception de messages réellement
non désirés ? J'ai retrouvé un de mes e-mails âgés de
7 ans sur des cd d'adresse e-mail proposé par un site
très B to B.
C'est en effet, un facteur aggravant. Votre
adresse a déjà été vendue des centaines de fois...
Craignez-vous une extension du spam dans l'univers SMS
?
A priori non. Le dérapage de l'an dernier
("quelqu'un pense à toi") a servi de leçon.
Le nombre d'acteurs est réduit (trois opérateurs). Les
professionnels du marketing direct sont très prudents
(c'est un média très puissant, mais très intrusif).
Comment expliquez-vous qu'en France, on ne reçoive pas
plus de spam rédigé en français ?
A cause de la loi principalement. La culture
joue aussi son rôle, ainsi que la taille du "marché".
Comment freiner le spam US qui inondent nos boîtes mails
? (On boycotte les produits US :-) ?)
Aujourd'hui il faut miser sur la technique.
L'espoir repose sur un projet de loi au niveau fédéral
(attention, en opt-out seulement). En attendant, la
justice américaine tape fort, avec des amendes
records.
J'ai essayé de bloquer les noms de domaine ainsi que
les adresses, mais vu le résultat, je pense que ces
sociétés changent d'adresse et de nom à chaque nouvel
envoi. Qu'en pensez-vous ?
Le spammeur est dans l'illégalité totale.
Il se protège donc en utilisant des sources de diffusion
difficiles à tracer ou éphémères. Le pire, c'est quand
ils choisissent un relais ouvert ou le PC d'un particulier
pour effectuer leurs envois.
Quel intérêt trouvent les spammeurs dans leur activité
? Est-ce vraiment rentable ?
Selon l'IETF, Alan Ralsky, surnommé le "Roi
du spam" est en mesure d'envoyer 140 millions de messages
par heure (soit 1.200 milliards de spam par an !). L'estimation
du revenu est de 500 $ par million de pourriel. Récemment,
pour éviter une plainte, il semble avoir transigé avec
un ISP américain pour la modique somme de 35 millions
de $. Nous vous invitons également à faire la connaissance
de Rodona, la "spammeuse aux seins nus". Elle tenait
à jour soigneusement sa comptabilité.
Quelle hypocrisie ! On se croirait à un congrès de moralisateurs.
Que faites-vous des marchands et de leur avidité à vendre?
Comment concilier profit et respect de l'autre ?Quels
que soient les systèmes de filtre que vous mettrez en
place ils ne pourront être respectés.
5 ans de prison, 300 000 euros d'amende.
Voilà ce que risque un spammeur en France. Avec la nouvelle
loi, c'est l'internaute qui va reprendre le contrôle
(avec sa capacité à se désinscrire). A chacun d'entre
nous de faire le tri entre les commerçants respectueux
et les autres.
La LEN va-t-elle régler le problème du spam en France
(du moins pour les spams français) ?
Pour les spam français (déjà en faible proportion),
ça devrait avoir un bon impact (reste à savoir si les
juges se saisiront des dossiers). Même remarque pour
la communauté européenne. Reste les spammeurs américains
(voir réponse plus haut).
Plusieurs dossiers de spam transmis par la Cnil n'ont
pas abouti en justice faute de pouvoir identifier les
auteurs. Est-ce vraiment impossible de remonter jusqu'à
l'auteur d'un spam ?
La traçabilité est un vrai problème. Le nouveau
groupe de l'IETF (ASRG) s'attaque à cette question.
Nous vous invitons à lire le chapitre "Autopsie d'un
spam".
Quels recours lorsque un serveur est utilisé à notre
insu comme relais de spam ?
Fermez immédiatement le relais. Préparez-vous
à recevoir un déluge d'insultes. Tout le travail aurait
dû être préventif.
Lorsque l'on se désinscrit
l'on tombe sur des adresses e-mail inexistantes et l'on
est toujours à la merci de recevoir d'autres spam du
même envoyeur.
En répondant, vous avez validé votre adresse.
Si vous avez le moindre doute, ne répondez jamais à
un spam. Mauvaise nouvelle, la visualisation de certains
spam suffit à valider votre adresse (webbug caché).
Le réflexe "DELETE" est donc inutile dans ces cas.
Que pensez-vous des services anti-spam mis en place
par Yahoo et MSN dernièrement ?
Ils sont de plus en plus performants. Mais
on est encore loin des 99,5% de taux de filtrage à atteindre
pour gêner sérieusement les spammeurs. Sans compter
les faux positifs : la FTC vient de se faire "filtrer"
par Yahoo...
Comment prévenir et protéger
les enfants des spams indécents, pourquoi n'y a t il
pas de protection parentale efficace ?
Une récente étude (US) montre que 47% des
enfants déclarent avoir reçu des spam pornographiques.
Ils sont gênés, choqués, voire curieux... et souvent
n'osent pas en parler avec leurs parents. Beaucoup ne
savent pas si c'est bien ou si c'est mal. Le site de
la CNIL offre des conseils de bon sens. Parlez-en avec
vos enfants !
Comptez-vous faire du spam
pour promouvoir votre livre anti-spam? (rigolez pas,
ça arrive)
Non, nous hésitons encore entre un spot TV,
la publicité aérienne, le Broadcast satellite et sponsoriser
une écurie de Formule 1 :-)
|