Fatiguée
d'être floodée, Osirusoft a décidé de jeter l'éponge
et de mettre un terme à son service anti-spam. Cette
décision aurait pu passer inaperçue si la société n'avait
pas décidé, avant de fermer boutique, de black lister
"le monde entier". Mais cette décision témoigne surtout
du formidable pouvoir technique concentré entre les
mains de quelques services dits "anti-spam".
En
pratique et de manière schématique les services dit
"anti-spam" proposent de traiter les plaintes des internautes
spammés et, après un test, de décider ou non de "black-lister"
le domaine à l'origine du spam. Nombreux sont les serveurs
de messagerie qui sont interfacés avec ces services.
Dès lors qu'un domaine est "black listé", il
est en quelque sorte mis en quarantaine et les messages
qui proviennent de ce domaine sont systématiquement
rejetés.
En
théorie ces services "anti-spam" sont extrêmement utiles
car ils permettent d'éliminer les "spam domain", mais
la réalité est tout autre car ces mêmes services causent
souvent plus de difficultés aux administrateurs réseaux
qu'aux spammeurs :
1.
La moindre erreur est fatale. Erreur ou même simple
paramétrage qui ne correspondrait pas aux "critères
de sécurité" désignés par ces serveurs et hop, vous
voilà mis en quarantaine du reste du réseau. C'est ainsi
qu'un grand nombre des domaines "black listés" sont
en réalité les serveurs d'entreprises qui sont totalement
étrangers à l'envoi de spams ;
2.
Une mise en quarantaine sans préavis. Plus critiquable
encore, cette "mise en quarantaine" n'est précédée d'aucune
information où mise en demeure préalablement à l'attention
de l'administrateur du domaine mis en cause. Cette mise
en demeure lui permettrait pourtant dans la plus part
des cas de corriger ou re-paramétrer son serveur sans
être "black listé" ;
3.
Une requête bommerang. On peut aussi reprocher à
ces services le fait qu'une simple requête adressée
par un administrateur système sur sa propre adresse
IP pour vérifier qu'elle n'est pas black listée induise
automatiquement une vérification
transformant ainsi
la requête en boomerang ;
4.
Une réactivité inquiétante. On peut reprocher à
ces services d'être très rapide pour black lister et
parfois lents, pour ne pas dire très très lents, pour
supprimer un domaine d'une liste noire. Les situations
varient de quelques heures à plusieurs jours, durée
pendant laquelle l'entreprise est coupée du reste du
réseau. Que penser par exemple des conséquences pour
une entreprise exclusivement dédiée à la vente sur Internet
qui serait black listée pendant 48 heures
Ainsi
donc, si l'on peut reconnaître à ces services le mérite
de participer de la lutte contre le spamming, on peut
regretter qu'il n'existe aucun cadre juridique où à
tout le moins de charte qui viendrait définir leurs
droits et obligations afin que les dommages collatéraux
causés aux entreprises ne soient pas supérieurs aux
dommages causés à leur cible première : le spammeur.
Il
serait utile que ces services révisent leurs "politiques"
et les règles de fonctionnement, pour éviter d'être
la cible non seulement des spammeurs qui n'hésitent
pas à les bombarder pour les rendre inopérationnels
mais aussi pour se protéger des entreprises, black listées
à tort, qui de plus en plus souvent engagent leur responsabilité
sur un plan judiciaire.
Si
l'on doit condamner sévèrement les attaques par déni
de service (DOS ou denial of service) dont sont victimes
les services anti-spam, on peut à l'inverse comprendre
que certaines sociétés black listées à tort aient décidé
d'agir en justice contre ces mêmes services.
[eric-barbry@alain-bensoussan.com]
|