Retranscriptions 
 
"On ne peut pas bloquer le spam à 100%. L'objectif est de le contrôler"
Mercredi 9 juillet 2003
 
          
En savoir plus
Le site

Eyrolles
Halte-au-spam.com

>> Réagissez sur le Forum

Spécialistes de l'optimisation des réseaux et de la qualité de service, Frédéric Aoun et Bruno Rasle sont aussi devenus des experts es-spam. Ils viennent de publier aux éditions Eyrolles un livre intitulé "Halte au spam" (lire la chronique de Pierre Lombard consacrée à ce livre). Pour le dernier chat de la saison, le Journal du Net a choisi de les inviter pour parler de ce qui reste probablement le phénomène le plus marquant des douze derniers mois dans l'Internet. Pendant près d'une heure et demi, Frédéric Aoun et Bruno Rasle ont dialogué avec les lecteurs du JDN. Conseils, constats, chiffres et anecdotes : (presque) tout ce que vous avez toujours voulu savoir sur le spam...

Invités : Frédéric Aoun (à dr.) et Bruno Rasle (à g.) , auteurs de "Halte au spam" (éditions Eyrolles)
Date : Mecredi 9 juillet, 18h-19h30
Nombre de questions retenues : 36

Bertrand Salord : Bonjour à tous !

Quelle est votre expertise en matière de spam?
Bruno Rasle et Frédéric Aoun: Nous travaillons depuis environ deux ans sur ce sujet., que nous trouvons passionnant. Nous essayons de le traiter sous tous ses aspects technique, juridique, comportemental...

Votre définition de spam ?
Haha ! TRES bonne question ;-) En fait, il existe DES définitions...Pour la CNIL, c'est la méthode de collecte qui prédomine, pour l'internaute c'est la gène à la réception, pour l'entreprise la perte de productivité, pour le FAI les plaintes des clients...

Soyez sincères, peut-on bloquer vraiment le spam ou est-ce le serpent de mer ?
A 100 % non. L'objectif est de le contrôler. On peut faire l'analogie avec les virus informatiques.

Que pensez-vous des initiatives de la CNIL en matière de lutte contre le spam ?
Elles sont excellentes. L'opération "boîte à spams" a permis de jeter un coup de projecteur sur ce fléau. Dire qu'elle est suivie dans ses efforts par les juges est une autre question...

Auriez-vous quantifié le coût des pertes (baisse de productivité, encombrements, etc ) qui résultent de ce type de pollution ?
Pour notre étude, nous avons trouvé de tout (notamment du côté des éditeurs d'outils anti-spam). Retenons tout de même deux chiffres : 1 spam = 1 $ (chiffre à considérer avec précaution) et 10 milliards d'euros par an rien qu'en coût de connexion (source : Commission Européenne).

Peut-on mesurer le volume de spam envoyé chaque jour dans le monde ? Avez-vous des statistiques en France ?
Non. C'est pourquoi nous proposons la création d'un Observatoire du spam. Nous présentons prochainement nos propositions précises en ce sens à la CNIL. Attention à ne pas considérer les chiffres de la CNIL (opération "boîte à spams") comme une mesure scientifique (ce n'était pas le but de la campagne). Aux Etats-Unis, des acteurs tels que Postini et Brighmail affirment que l'on a déjà dépassé la barre des 50%.

Quelle différence faites-vous entre mailing commercial et spam ?
Le spam est illégal. Concernant le "mailing commercial", nous pensons que vous voulez parler des e-mails promotionnels diffusés par les acteurs du marketing direct ? S'ils sont le fait de professionnels respectueux de la loi, ils sont légaux. Quand la nouvelle loi sera promulguée, ces professionnels devront respecter de nouvelles contraintes. Pour les personnes physiques, seul les envois suite à accord préalable (opt-in) seront autorisés. L'e-mail devra être clairement identifié en tant que publicité et devra figurer l'identité de l'annonceur. La désinscription devra être facilitée.

Justement, qu'appelez-vous des professionnels respectueux de la loi ?
Aujourd'hui, il s'agit des annonceurs qui respectent la loi "Informatique et Libertés" de 1978, qui interdit la collecte "sauvage" de vos adresses. Demain, en plus, ils devront respecter la nouvelle loi LEN, transposition d'une directive européenne. A noter tout de même que les syndicats professionnels (FEVAD, UDA, SNCD...) se mobilisent contre le spam qui met en péril leur modèle financier.

Avec le développement du spam, pensez-vous qu'il y ait un avenir pour le marketing direct par e-mail ?
Le terrain de jeu va se rétrécir. Il est probable que quelques acteurs disparaissent ou modifient leur comportement. Oui, bien utilisé, le marketing direct (conçu dans un esprit de respect de l'internaute) a un avenir.

Combien de spams recevez-vous chaque jour dans vos boîtes mails pro et perso ?
Nous disposons d'une douzaine de bal. Certaines vieilles (1995) et d'autres récentes. Sur deux adresses nous recevons un taux de 35% de spam (un volume de 3 MO en un mois). Sur l'une de ces adresses le taux est proche de zéro.

Quel est le meilleur spam que vous avez reçu ?
C'est difficile de parler de "meilleur". Nous avons recueilli un spam qui a décroché un score de 67 points sur spamAssassin ! Nous avons également été spammés pour aller donner notre sang aux Etats-Unis... Sans oublier le spam pour l'outil anti-spam !

Selon vous, quel est le meilleur outil anti-spam actuellement sur le marché ?
Ca dépend... Un outil anti-spam doit être adapté à chaque cas de figure (entreprise, particulier, spécialiste de l'informatique, néophyte)... Pour information, actuellement nous expérimentons un filtre bayesien (PopFile) ainsi que la solution Dolphian (Lire l'article du JDN du 20/06/03).

Avec des règles de message dans Outlook, peut-on se débarrasser du spam, partiellement ?
Avec les versions actuelles, très partiellement. Outlook recherche des mots clés typiques des spam. Ca fait longtemps que les spammeurs ont adapté leurs méthodes...

Mettre son adresse e-mail dans un fichier image est-il vraiment efficace ?
Oui, les robots aspirateurs sont gênés. C'est une méthode recommandée par l'IETF (ASRG).

Comment prémunir mon site contre un sniffer de mails ?
Voir question précédente. Le maquillage d'adresses (f.aoun@NOspam.halte-au-spam.com) n'est plus très efficace, les robots arrivent à les contourner. Thierry Bouchard, Président de l'APIPL indique sur son site qu'il facturera tous les spams. Il vient début juin d'obtenir du tribunal de commerce de Grenoble la première condamnation d'un spammeur en France (injonction à payer). Bravo !

Les FAI doivent-ils contrôler et filtrer les spam ?
Les FAI ne peuvent vérifier le contenu des e-mails. La plupart utilise donc, pour protéger leurs infrastructures, les blacklists... En clair, ils "poubellisent" les e-mails, sans autre forme de procès, à la moindre alerte. Attention aux dégâts collatéraux (e-mails légitimes détruits). Les blacklist ont été - et sont encore - très utiles (dans l'attente d'un meilleur dispositif). Mais nous sommes dubitatifs quant à leur fonctionnement (opacité totale) et leur efficacité (taux de filtrage bas et taux de faux positif élevé). Au minimum, les FAI devraient nous informer (devoir de transparence). Pour info, courant mai 2003, AOL annonçait détruire 2,4 milliards de messages chaque jour !

Que pensez-vous de l'utilité des sites anti spam, ou les utilisateurs peuvent soumettre leurs spams reçu ?
Ils permettent de développer des parades de meilleure efficacité.

La meilleure défense, c'est l'attaque! Ne faut-il pas spammer les spammeurs ?
Non, surtout pas. Vous risquez de vous en prendre à un innocent. Par contre, signalez le spam (FAI, CNIL, autorités compétentes...)

Comment les spammers arrivent-ils a trouver les adresses mail? Est-ce une combinaison systématique de toutes les adresses possible?
En effet, vous évoquez une des dernières techniques des spammeurs, le DHA (Directory Harvest Attack). Par test de toutes les combinaisons possibles, des robots arrivent à obtenir l'annuaire. Privilégiez des adresses longues et surveillez de près les statistiques de votre serveur (cette attaque est très gourmande en ressources).

Le fait d'avoir un boîte aux lettres déjà assez ancienne n'est il pas un facteur de réception de messages réellement non désirés ? J'ai retrouvé un de mes e-mails âgés de 7 ans sur des cd d'adresse e-mail proposé par un site très B to B.
C'est en effet, un facteur aggravant. Votre adresse a déjà été vendue des centaines de fois...

Craignez-vous une extension du spam dans l'univers SMS ?
A priori non. Le dérapage de l'an dernier ("quelqu'un pense à toi") a servi de leçon. Le nombre d'acteurs est réduit (trois opérateurs). Les professionnels du marketing direct sont très prudents (c'est un média très puissant, mais très intrusif).

Comment expliquez-vous qu'en France, on ne reçoive pas plus de spam rédigé en français ?
A cause de la loi principalement. La culture joue aussi son rôle, ainsi que la taille du "marché".

Comment freiner le spam US qui inondent nos boîtes mails ? (On boycotte les produits US :-) ?)
Aujourd'hui il faut miser sur la technique. L'espoir repose sur un projet de loi au niveau fédéral (attention, en opt-out seulement). En attendant, la justice américaine tape fort, avec des amendes records.

J'ai essayé de bloquer les noms de domaine ainsi que les adresses, mais vu le résultat, je pense que ces sociétés changent d'adresse et de nom à chaque nouvel envoi. Qu'en pensez-vous ?
Le spammeur est dans l'illégalité totale. Il se protège donc en utilisant des sources de diffusion difficiles à tracer ou éphémères. Le pire, c'est quand ils choisissent un relais ouvert ou le PC d'un particulier pour effectuer leurs envois.

Quel intérêt trouvent les spammeurs dans leur activité ? Est-ce vraiment rentable ?
Selon l'IETF, Alan Ralsky, surnommé le "Roi du spam" est en mesure d'envoyer 140 millions de messages par heure (soit 1.200 milliards de spam par an !). L'estimation du revenu est de 500 $ par million de pourriel. Récemment, pour éviter une plainte, il semble avoir transigé avec un ISP américain pour la modique somme de 35 millions de $. Nous vous invitons également à faire la connaissance de Rodona, la "spammeuse aux seins nus". Elle tenait à jour soigneusement sa comptabilité.

Quelle hypocrisie ! On se croirait à un congrès de moralisateurs. Que faites-vous des marchands et de leur avidité à vendre? Comment concilier profit et respect de l'autre ?Quels que soient les systèmes de filtre que vous mettrez en place ils ne pourront être respectés.
5 ans de prison, 300 000 euros d'amende. Voilà ce que risque un spammeur en France. Avec la nouvelle loi, c'est l'internaute qui va reprendre le contrôle (avec sa capacité à se désinscrire). A chacun d'entre nous de faire le tri entre les commerçants respectueux et les autres.

La LEN va-t-elle régler le problème du spam en France (du moins pour les spams français) ?
Pour les spam français (déjà en faible proportion), ça devrait avoir un bon impact (reste à savoir si les juges se saisiront des dossiers). Même remarque pour la communauté européenne. Reste les spammeurs américains (voir réponse plus haut).

Plusieurs dossiers de spam transmis par la Cnil n'ont pas abouti en justice faute de pouvoir identifier les auteurs. Est-ce vraiment impossible de remonter jusqu'à l'auteur d'un spam ?
La traçabilité est un vrai problème. Le nouveau groupe de l'IETF (ASRG) s'attaque à cette question. Nous vous invitons à lire le chapitre "Autopsie d'un spam".

Quels recours lorsque un serveur est utilisé à notre insu comme relais de spam ?
Fermez immédiatement le relais. Préparez-vous à recevoir un déluge d'insultes. Tout le travail aurait dû être préventif.

Lorsque l'on se désinscrit l'on tombe sur des adresses e-mail inexistantes et l'on est toujours à la merci de recevoir d'autres spam du même envoyeur.
En répondant, vous avez validé votre adresse. Si vous avez le moindre doute, ne répondez jamais à un spam. Mauvaise nouvelle, la visualisation de certains spam suffit à valider votre adresse (webbug caché). Le réflexe "DELETE" est donc inutile dans ces cas.

Que pensez-vous des services anti-spam mis en place par Yahoo et MSN dernièrement ?
Ils sont de plus en plus performants. Mais on est encore loin des 99,5% de taux de filtrage à atteindre pour gêner sérieusement les spammeurs. Sans compter les faux positifs : la FTC vient de se faire "filtrer" par Yahoo...

Comment prévenir et protéger les enfants des spams indécents, pourquoi n'y a t il pas de protection parentale efficace ?
Une récente étude (US) montre que 47% des enfants déclarent avoir reçu des spam pornographiques. Ils sont gênés, choqués, voire curieux... et souvent n'osent pas en parler avec leurs parents. Beaucoup ne savent pas si c'est bien ou si c'est mal. Le site de la CNIL offre des conseils de bon sens. Parlez-en avec vos enfants !

Comptez-vous faire du spam pour promouvoir votre livre anti-spam? (rigolez pas, ça arrive)
Non, nous hésitons encore entre un spot TV, la publicité aérienne, le Broadcast satellite et sponsoriser une écurie de Formule 1 :-)

 
Propos recueillis par [Rédaction, JDNet]


 
  Nouvelles offres d'emploi   sur Emploi Center
Chaine Parlementaire Public Sénat | Michael Page Interim | 1000MERCIS | Mediabrands | Michael Page International
 
 



Dossiers

Marketing viral

Comment transformer l'internaute en vecteur de promotion ? Dossier

Ergonomie

Meilleures pratiques et analyses de sites. Dossier

Annuaires

Sociétés high-tech

Plus de 10 000 entreprises de l'Internet et des NTIC. Dossier

Prestataires

Plus de 5 500 prestataires dans les NTIC. Dossier

Tous les annuaires