Le smartphone est désormais un terminal universel notamment concernant l’ email. Selon ReturnPath*, la consultation des emails en mobilité s’accentue et Webmail et application mobiles sont privilégiées aux clients de messagerie « classiques ». Par exemple, la consultation des emails sur l ’iPad a bondi de 73 % entre avril et septembre 2011 et celle depuis une plate-forme mobile affiche une hausse de 34%… Le problème est que la plupart des possesseurs de smartphone stockent des données personnelles sur leur téléphone que se soit via leur messagerie ou dans le téléphone lui-même. Les chiffres parlent d’eux-mêmes : 89% téléchargent des contacts et des coordonnées, 86% téléchargent des données multimédias telles que des photos ou vidéos enfin 52% conservent leur agenda. Fait encore plus significatif, 40% stockent des informations confidentielles telles que leurs coordonnées bancaires, leurs codes secrets.

Le problème est que ces données personnelles sont mal protégées. En effet, 30% des utilisateurs n’ont aucun code de protection et 64% ne se soucient pas ou ne savent pas comment installer un anti-virus sur leur smartphone. Ils sont cependant 65% à considérer leurs données comme n’étant “pas bien protégées”. Il existe donc une ambiguïté entre l’interconnexion croissante des individus et leur problème d’intimité. Ainsi, il devient urgent de travailler à la sécurisation des données (surtout à l’heure du cloud et de l’exploitation multi-canal : PC, tablette) !

Cette inquiétude est justifiée car les dits smartphones sont réellement smart et s’amusent à jouer les espions ! Quand on transfère cette problématique au réseau professionnel ou même national où les smartphones et autres terminaux sont de plus en plus utilisés, la question de la protection des données devient réellement inquiétante et les menaces réelles. Pour répondre à cela, la France a créé l’ANSSI** le 8 juillet 2009. De nos jours, la compromission d’un ordinateur ou d’une interface mobile est facile (cf. article Symantec). Le Directeur de l’ANSSI rappelle qu’administrations et entreprises sont souvent attaquées via leurs interfaces mobiles et ceci à des fins d’espionnage. Selon ce dernier, « la limitation des droits d’accès, l’analyse des mouvements suspects sur les systèmes d’information, la sanctuarisation des éléments les plus critiques comme les dispositifs de gestion des droits d’accès, l’application régulière des correctifs de sécurité » sont donc de rigueur.

Ainsi, la CNIL a émis des conseils permettant aux dits utilisateurs de smartphones de mieux protéger leurs données. Voici les principaux:

1. Ne pas enregistrer des informations confidentielles (codes d’accès, coordonnées bancaires) au risque de subir vols, piratages ou pire usurpation d’identité ;

2. Modifier le code PIN par défaut et l’activer une fois celui-ci changé;

3. Définir un délai de verrouillage automatique du téléphone qui rend le smartphone inactif après un certain temps et empêche la consultation des informations en cas de perte ou de vol ;

4. Installer un antivirus, « pour le moment, les seuls virus détectés se contentaient de gonfler les factures en passant des appels à l’insu de l’utilisateur. Mais la prochaine génération s’attaquera aux données stockées sur le téléphone » ;

5. Noter le numéro “IMEI” (International Mobile Equipment Identity soit en français « identité internationale d’équipement mobile”) du téléphone pour le bloquer en cas de perte ou de vol ;

6. Pour télécharger des applications, privilégier les plateformes officielles ;

7. Vérifier à quelles données du smartphone les applications installées ont accès ;

8. Régler les paramètres du téléphone ou des applications concernant la géolocalisation.

Suite à ces constatations, la CNIL cherche également en 2012 à sensibiliser équipementiers et développeurs. En partenariat avec l’INRIA, une plate-forme technique va être mise en place pour découvrir les informations stockées et transmises sur les différents téléphones et applications. Le but étant au final, de préserver la vie privée des utilisateurs.

* Spécialiste de la certification des courriels et de la gestion de la réputation, selon les conclusions de la seconde édition de son étude mondial.

** Agence nationale de la sécurité des systèmes d’information.

 En ce 14 octobre 2011, jour de sortie officielle en France de l’iPhone 4S, nous avons eu le plaisir de lire sur la messagerie de Demain le mail que l’opérateur historique français souhaitait nous offrir le dernier né d’Apple.

Bien qu’équipées de filtres anti-spam, nos boîtes aux lettres électroniques ne sont pas à l’abri d’arnaques en tout genre. Le phishing est une pratique d’escroquerie moderne dont nous expliquions déjà le principe en 2008 dans l’article Gmail dans la tourmente phishing.

Si votre adresse email fait également l’objet d’attaques de ce genre, n’hésitez pas à partager ces emails indésirables avec les lecteurs de Demain le mail.

]]> http://www.demainlemail.com/2011/10/phishing-lactualite-it-devient-arnaque/feed/ 2 http://www.demainlemail.com/2011/01/recevoir-une-lettre-recommandee-par-email/?utm_source=rss&utm_medium=rss&utm_campaign=recevoir-une-lettre-recommandee-par-email http://www.demainlemail.com/2011/01/recevoir-une-lettre-recommandee-par-email/#comments Fri, 14 Jan 2011 17:23:17 +0000 Pauline http://www.demainlemail.com/?p=1957 Les démarches administratives via Internet sont de plus en plus répandues. Ce nouveau mode de gestion répond à un besoin évident de disponibilité des services, et de flexibilité en terme d’horaire, plus adapté à un public actif. Le courrier postal a suivi la tendance.

Il existe deux possibilités pour envoyer un courrier recommandé :

• soit se rendre dans un bureau de poste et confier son courrier papier sous enveloppe
• soit se connecter à un site d’envoi en ligne.

Cette seconde possibilité présente les avantages suivants :

1. ne pas dépendre des horaires d’ouverture des bureaux de Poste
2. être dispensé d’impression et de fourniture d’enveloppe

Voici à titre d’exemple deux sites proposant un service d’envoi de recommandé en ligne :

La Poste : https://lettreenligne.laposte.fr/lregp/accueil.action

Esker FlyDoc : http://www.flydoc.fr/envoi/envoi-courriers-simples-recommandes.asp

Mais quel que soit le mode d’envoi (postal ou électronique), la réception du courrier se fait aujourd’hui de façon classique, par voie postale : le facteur remet contre signature la lettre à son destinataire.

Or, depuis 2005, l’article 1369-8 du code civil prévoit qu’une lettre recommandée relative à un contrat peut être envoyée par voie électronique, “à condition que ce courrier soit acheminé par un tiers selon un procédé permettant d’identifier le tiers, de désigner l’expéditeur, de garantir l’identité du destinataire et d’établir si la lettre a été remise ou non au destinataire”. Cependant comme nous l’explique le site Numera dans son article Les courriers recommandés pourront être 100 % électroniques le décret précisant les modalités d’applications n’a jamais été publié.

Le Ministre en charge de l’économie numérique, Eric Besson, a déclaré le 10 janvier dernier que ce décret venait d’être signé. C’est au cours d’une visite de la plateforme de La Poste à Wissous (91) qu’il s’est exprimé sur le sujet :

Preuve des évolutions en cours dans le domaine postal, je viens de signer le décret permettant la mise en œuvre, dès son approbation par le Premier ministre, d’un dispositif sécurisé et fiable en matière de lettre recommandée électronique.

Le décret que nous avons signé définit les conditions dans lesquelles La Poste et les autres opérateurs postaux pourront, sur le modèle d’une lettre recommandée « papier », proposer une lettre recommandée « électronique ».

[…]Avec le décret que je viens de signer, le dispositif sera désormais clairement encadré et fiabilisé, et ouvert à tous les opérateurs, que ce soit La Poste ou ses concurrents.

La lettre recommandée électronique reposera sur le principe d’un traitement électronique de l’envoi jusqu’au dépôt sur une adresse de messagerie électronique.

Pour sécuriser le circuit de l’information, la lettre recommandée électronique devra impérativement être acheminée par un tiers agréé, qui pourra être La Poste ou un autre opérateur postal disposant d’une licence.

Cet opérateur, en charge de l’acheminement, informera de façon électronique le destinataire qu’une lettre recommandée lui est adressée, sans préciser l’identité de l’expéditeur. Le destinataire pourra alors accepter l’envoi électronique ou préférer un acheminement classique, afin de laisser au consommateur sa liberté de choix.

La lettre recommandée électronique aura par ailleurs la même valeur juridique qu’une lettre recommandée classique.

Ce service nouveau de lettre recommandée électronique devrait rencontrer un succès important auprès des entreprises et particuliers, permettant de simplifier l’envoi d’un recommandé, d’accélérer les délais d’acheminement et de faciliter la gestion et le stockage des informations relatives aux envois.

Pour résumer l’offre :

• La lettre recommandée électronique possèdera une valeur juridique identique à la version papier.
• Le service pourra être proposé non seulement par La Poste mais par tout autre opérateur.
• L’acheminement du courrier devra être effectué par un opérateur postal disposant d’une licence.
• Le destinataire est informé qu’un recommandé lui est adressé directement dans sa propre boîte email. Il lui sera alors proposé de recevoir le courrier par voie électronique ou de préférer la réception par voie postale.
• Comme pour un recommandé classique, l’identité du destinataire ne sera pas divulguée.

Attrayante pour les particuliers comme pour les entreprises en matière de rapidité de traitement et de facilité de gestion, l’annonce de cette nouvelle engendre cependant quelques interrogations. D’un point de vue financier, les usagers du service bénéficieront-ils d’un tarif plus avantageux lorsque l’acheminement sera 100% électronique. En matière de sécurité, comment authentifier le destinataire et s’assurer de son identité en fonction de son adresse email. Ce qui amène le sujet sur le vaste débat de l’identité numérique ou cyberidentité. Le site wikipédia fournit la définition suivante :

L’identité numérique est un lien technologique entre une entité réelle et une entité virtuelle.

Par quel procédé ce lien technologique peut-il être géré et attribué au même titre qu’une carte d’identité nationale ou qu’un passeport. Ce « justificatif » d’identité en ligne viendrait en complément d’un login et d‘un mot de passe et permettrait d’accroître le niveau de sécurité. Plus les services en ligne seront répandus, plus l’attribution d’un certificat d’identité numérique s’avèrera indispensable.

Bref, loin d’être évidente, la mise en service du courrier recommandé 100% en ligne va nécessiter de la part des futurs opérateurs d’importants efforts en matière d’authentification.

Mais il arrive que l’anti-spam commette quelques erreurs et qu’il considère un spam comme un email légitime – c’est alors un faux négatif ; ou encore un email légitime comme un spam – c’est alors un faux positif. Cependant, il est généralement moins grave pour l’utilisateur que l’anti-spam laisse un spam passer, plutôt que de considérer un email légitime comme spam. Ces erreurs commises par l’anti-spam servent à connaître la pertinence et l’efficacité du filtre anti-spam utilisé.  Pour obtenir un anti-spam performant, il faut coupler plusieurs techniques de filtrage pour diminuer au maximum le taux de faux positifs/faux négatifs et ainsi gagner en efficacité.

L’une des premières techniques anti-spam et l’une des plus simples est sans doute le filtrage d’enveloppes, c’est-à-dire le filtrage des emails à partir de leur en-tête. Il est principalement utilisé pour effectuer le « gros » du travail car il élimine rapidement la plupart des spams. Les résultats de ce filtre sont assez bons en termes de faux positif puisqu’il ne bloque presque jamais un email légitime. Cependant, son taux de faux négatif est très élevé car il laisse passer un certain nombre de spams – d’où la nécessité de ne pas l’utiliser seul.

Plus perfectionnée, l’analyse de contenu des emails au moyen d’un système de filtrage automatique repose sur le même principe que le filtrage d’enveloppe. Mais au lieu d’examiner les en-têtes uniquement, il prend en compte tout le contenu du mail pour ses investigations. Ne vous inquiétez pas, personne ne lit vos emails pour décider de leur validité mais c’est un assemblage de lois de probabilités qui les analyse. Son fonctionnement est assez facile à comprendre : si certains morceaux de texte réapparaissent souvent dans un spam et non dans un message légitime, alors il est raisonnable d’assumer que cet email est un spam.

Le filtre heuristique est une technique de filtrage consistant à donner une note à chaque message (scoring des messages). Le contenu de chaque message est analysé automatiquement et obtient ensuite une note basée sur certains critères définis – taux d’utilisation de mots se référant à la pornographie ou à l’argent, le nombre d’images, le sujet du message, … Plus la note est élevée, plus l’email a de chances d’être un spam, et inversement, plus la note est basse, plus l’email sera considéré comme légitime.

Enfin, un des moyens utilisé pour lutter contre le spam est l’utilisation de bases de données mondiales (RBL, ORDB,…) d’expéditeurs « Black listés » – c’est-à-dire reconnu comme spammeurs. Ce type de filtre est également appelé « filtre collaboratif » puisque c’est la coopération de multiples utilisateurs de messagerie qui permet la création de liste de serveurs Blacklistés. Son utilisation est assez simple, le filtre anti-spam vérifie que l’expéditeur et le serveur d’envoi ne sont pas répertoriés sur la Blacklist et autorise le passage du message, mais si ils font partie de la Blacklist, alors l’email est automatiquement considéré comme spam.

Ceci n’est pas une liste exhaustive et il existe bien d’autres techniques de filtrage des emails par un anti-spam. L’important lors de l’achat d’un anti-spam est de vérifier avant tout qu’il propose plusieurs méthodes de filtrage pour limiter au maximum le taux de faux-négatifs et celui de faux-positifs.

En effet, l’achat d’une solution de sécurité en mode Cloud est un bon investissement puisque, comme le Cloud en général, vous ne payez que les licences du produit. De plus, vous n’avez plus à vous soucier de la maintenance puisque les mises à jours sont générées automatiquement par l’entreprise compétente qui vous fournit les services. Cette dernière s’occupe également de la gestion de la solution, vous déléguez les problèmes d’ordre technique, votre prestataire est là pour ça !

Sur le plan technologique, l’adoption d’une solution en mode SaaS (Cloud Computing) pour la sécurité de votre messagerie permet un allégement de votre bande passante et de votre serveur de messagerie interne. En effet, seuls les emails légitimes arrivent sur votre serveur de messagerie et donc il n’y a plus d’encombrement de votre serveur puisqu’il est beaucoup moins sollicité pour filtrer les spams, le fournisseur du Cloud s’occupant de cette opération. De plus votre serveur ne conserve plus les données considérées comme Spam et vous gagnez donc en espace libre sur votre disque dur.

Sur le plan de la sécurité, votre courrier électronique arrive sur un premier serveur de messagerie chez votre prestataire, où s’effectue un premier tri anti-spam. On appelle cela un système de relais de messagerie ou relais SMTP. Ce premier tri effectué en amont de votre serveur interne allège le travail de celui-ci et le rend alors plus rapide et efficace. De plus, le relais de messagerie protège votre serveur des attaques externes puisqu’il n’est pas visible directement sur internet.

Pour sécuriser votre messagerie, il existe différents moyens, l’installation de logiciels anti-virus et anti-spam sur votre ordinateur, un logiciel spécifique installé sur votre serveur, ou bien l’externalisation.  Ce service de sécurité de la messagerie en mode SaaS est très facile à installer, il suffit en effet de modifier les champs MX  de votre nom de domaine.

De plus ce système regorge d’avantages, tant sur le plan technique que commercial, puisqu’il induit une réduction des coûts non négligeables.

Malgré ces avantages, beaucoup d’entreprises ont encore peur du Cloud Computing notamment pour des raisons de sécurité des données comme nous le disions dans un précédent article:

Les entreprises interrogées considèrent comme frein à une démarche vers le Cloud :

• à 44% la Sécurité et la Confidentialité

• 14% la Dépendance du réseau et les Facteurs liés au réseau

• 14% la Perte de contrôle sur les données et l’Externalisation vers un tiers

En mars 2010, la “Cloud Security Alliance” (CSA) a publié les “10 menaces relatives à l’adoption du Cloud Computing”. Le but de cet article est d’aider les entreprises à mieux comprendre les risques du Cloud et par conséquent de les informer sur les risques liés à l’adoption du Cloud.

Avec une intégration réussie et sécurisée, le Cloud est aussi sûr que n’importe quelle autre solution.

Les recommandations publiées par la CSA pour les entreprises ayant choisis le Cloud Computing :

1-    Chiffrer les données sensibles –les informations confidentielles détenues par votre entreprise.  Les opérations systèmes et les applications n’ont pas besoin d’être cryptées car celles-ci sont simplement redirigées sous forme d’image. Ce sont vos informations propres, ou celles de vos clients et partenaires, qui ont généralement besoin d’une protection.

2-    S’assurer que votre Pare-feu, votre IPS (système de prévention d’intrusion)  et votre IDS (système de détection d’intrusion) protègent tous vos machines virtuelles séparément. Et ceci en particulier dans un environnement de Cloud Public  car les autres machines tournant sur le même matériel physique que le vôtre, doivent être considérées comme potentiellement dangereuses.  Le pare-feu de votre fournisseur du Cloud peut vous aider sur ce point.

3-    Ne décryptez vos données qu’au sein d’un environnement sécurisé que vous avez établi sur vos machines « virtuelles ». Vérifiez que vous êtes protégé contre la falsification et contre le vol de données –malwares avant de décrypter vos données.

4-    Assurez-vous que vous avez le contrôle du décryptage de vos données !

Votre mot de passe et vos identifiants protègent uniquement l’accès à votre boîte de réception mais vos messages sont envoyés en « clair » et peuvent être interceptés en cours d’envoi pour être lus et/ou utilisés mal intentionnellement.

Sans tomber dans la paranoïa, voilà quelques astuces concernant la sécurité de votre messagerie. Il existe trois moyens pour protéger au mieux votre compte email : le cryptage des messages, la connexion sécurisée et la signature numérique.

Les risques liés à l’accès à votre messagerie

Ils existent trois principaux cas de figure utilisés par les pirates informatiques pour accéder à vos emails :

1/ Ils piratent la connexion et se font passer pour le serveur de messagerie, pouvant ainsi dérober vos codes d’accès et lire le contenu de vos messages.

2/ Ils interceptent votre message directement, s’emparant ainsi de son contenu et de toutes les informations confidentielles qui s’y trouvent.

3/ Ils usurpent l’identité d’un organisme (banque, administration,…) pour exécuter par la suite des opérations de phishing (voir description du phishing).

Connexion sécurisée SSL (Secure Socket Layer)

Une connexion SSL code/chiffre les informations relatives à votre connexion (login – mot de passe) entre votre poste de travail et le serveur de messagerie où sont stockés vos emails. Vos accès ainsi « chiffrés » sont d’autant plus dur à intercepter par un pirate puisqu’il lui faudra « déchiffrer » le code avant de pouvoir le lire.

Le second rôle d’une connexion SSL est d’authentifier le serveur et donc de vous assurer que le serveur de messagerie sur lequel vous vous connectez n’est un usurpateur ou un serveur pirate. Pour cette fonction, il vous faut obtenir un certificat auprès de votre client de messagerie, celui-ci est payant dans la plupart des cas.

Ce procédé permet d’éviter le vol de code d’accès (login, mot de passe, …) mais également de s’assurer de l’authenticité du serveur de connexion.

Comment reconnaître une connexion sécurisée ?

• Si l’URL de votre messagerie en ligne commence par « https:// » (http avec un « s » comme SSL) alors votre connexion est sécurisée.
• Si le protocole de réception pramétré est de type POPs ou IMAPs, alors votre compte est sécurisé.

Bien entendu, votre fournisseur de messagerie doit avoir, au préalable, autorisé cette connexion sécurisée. Ce service de connexion sécurisée SSL est disponible en option dans la messagerie Alinto Pro pour vous assurer un accès plus sûr.

Cryptage / chiffrement

Le cryptage est un procédé permettant de protéger un document en le rendant incompréhensible à toute personne ne possédant pas la clé de déchiffrage. Le message est ainsi « chiffré » ou « codé » et ne peut être lu que par une personne possédant la clé.

La technologie la plus utilisée est la cryptographie asymétrique, procédé où la clé qui crypte et celle qui décrypte le message sont différentes.

Comment être sûr de l’authenticité du chiffrement ?

Chaque clé publique est liée à une personne (ou une entreprise) par un certificat numérique délivré par un organisme de certification. Ce certificat rassure sur la nature de l’utilisateur, son nom, le nom de l’autorité de certification, …

Comment l’utiliser ?

Pour recevoir des messages chiffrés vous devez communiquer votre clef publique à tous ceux qui souhaitent vous envoyer des messages. Ils auront alors la possibilité de coder les messages qu’ils vous envoient. Et vous seul, grâce à votre clé privée, pourrez ensuite décrypter le message. Ainsi il y a peu de chance qu’on ait intercepté votre message en cours de transfert.

Ce service est très utile pour conserver la confidentialité de vos emails et pour éviter que certaines informations importantes (contenu des emails, …) ne tombent entre des mains frauduleuses.

Signature numérique

Toujours dans le principe du chiffrement, la signature numérique permet d’authentifier l’auteur d’un document électronique comme une signature sur un document papier. Cette signature garantit l’identité de l’auteur et l’authenticité du contenu de l’email.

Comme pour le cryptage, vous disposez d’une clef privée pour crypter vos messages et vos destinataires, eux, disposent d’une clef publique pour lire vos emails.

La signature numérique est-elle un principe sûr et reconnu ?

Pour créer une signature numérique, il faut un certificat numérique délivré par un organisme de certification de façon à éviter toute usurpation d’identité.

Adoptée par l’Assemblée Nationale le 29 février 2000 (décrets d’applications parus le 30 mars 2001), la signature électronique donne à l’écrit électronique valeur de preuve au même titre que la feuille de papier. Mais sous réserve de vous adresser à un tiers de confiance (agréé et certifié) qui mettra à disposition les outils que vous utiliserez pour signer. (Source : Arobase.org)

Voir le décret n°2001-272 du 30 mars 2001 pris pour l’application de l’article 1316-4 du code civil et relatif à la signature électronique.

Conclusion

Pour une entreprise, disposant de données confidentielles, il est important de ne pas négliger ces solutions pour éviter tout type de piratage :

• Grâce à une connexion sécurisée SSL, vos codes d’accès et le contenu de vos emails sont transférés en toute confidentialité.
• Le chiffrement des messages diminue le risque d’accès à vos emails et ainsi le risque de vol de données confidentielles.
• La signature numérique permet d’empêcher l’usurpation d’identité et vous assure de l’identité de votre correspondant.

Botnet : quand les pirates prennent le contrôle de votre ordinateur

Un botnet est un réseau créé pour donner des ordres à but malveillant à un groupe d’ordinateurs pouvant atteindre des millions. Il est très difficile de détruire un botnet car plus le réseau de celui-ci (composé d’ordinateurs zombies contaminés) est grand plus il est difficile de stopper la propagation.

Un botnet agit en plusieurs étapes :

1/Création du botnet

2/Envoi du botnet sur des ordinateurs choisis au hasard. Un PC sans anti-virus et sans anti-spam est infecté en 4 minutes. On appelle les ordinateurs infectés des machines zombies car ils sont commandés à distance par le pirate informatique.

3/Lorsque le pirate décide d’activer un logiciel malveillant (spam, malware, etc.) tous les ordinateurs zombies lui obéissent. Un spam met ainsi moins de 10 min à être envoyé sur plusieurs milliers d’ordinateurs.

Est-il possible de stopper les botnets ?

Une société japonaise, Cyber Clean Center (CCC), propose un système anti-botnet qui s’organise comme ci-dessous :

Tout d’abord, l’entreprise est chargée de la détection d’une infection botnet et de la prise d’un échantillon de ce dernier. Grâce à cet échantillon, CCC crée un outil de désinstallation pour le botnet. Puis CCC identifie les utilisateurs infectés et leur envoie un email avec un lien pour utiliser l’outil de désinstallation du botnet.

Lorsque l’ordinateur est infecté par le botnet, ce dernier prend alors le contrôle de l’ordinateur devenu zombie. Il peut alors décider d’activer un logiciel malveillant qui aura différentes répercussions sur l’ordinateur touché.

Liste des principales intentions prêtées à un botnet :

• La diffusion de spam

• L’usurpation d’identité / Ingénierie sociale

• Propagation de malware (virus, vers,…)

• Rendre indisponible un service (internet, email, …), ce sont des attaques DDos.

1/La diffusion de Spam

L’agence européenne ENISA (Agence européenne de la sécurité des réseaux et de l’information) a sorti une étude en 2009 selon laquelle 95,6% des messages électroniques ont été identifiés comme étant des spams par les chaînes de filtrage des fournisseurs d’adresses email. Les spams sont particulièrement nombreux. Enno Cramer a identifié en 2010 le contenu des spams et 80% du contenu des spams,  concerne des publicités pour des produits à caractère sexuel, répertorié comme Xpharmacy; viennent ensuite les publicités pour maigrir puis les publicités pour les casinos en ligne.

Comment diminuer le nombre de Spams reçus ?

Signal Spam est un système de recensement des emails considérés comme spam par les utilisateurs grâce à l’intégration d’un bouton Signal Spam sur les clients de messagerie. Ce système permet de repérer les spams non-filtrés par un anti-spam classique et de comprendre leurs fonctionnements pour mieux lutter contre ces derniers.

Ce service sera prochainement disponible sur certaines messageries électroniques en ligne (webmail) comme Alinto …

2/L’usurpation d’identité ou Ingénierie sociale

Ce terme est surtout utilisé pour définir les méthodes des pirates informatiques qui usent de cette méthode d’ingénierie sociale pour obtenir un accès à un système informatique ou simplement pour satisfaire leur curiosité. L’ingénierie sociale ou « social engineering » peut être assimilée à un abus de confiance, à une manipulation de l’utilisateur.

Généralement mis en place par des actions de phishing ou avec de fausses annonces (offres d’emploi, …), l’hameçonnage (ou phishing) est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc.

Comment s’en protéger ?

La meilleure façon de se protéger des techniques d’ingénierie sociale est d’utiliser son bon sens pour ne pas divulguer à n’importe qui des informations pouvant nuire à sa sécurité.

3/Propagation de malware (virus, vers,…)

Un logiciel malveillant (en anglais, malware) est un logiciel développé dans le but de nuire à un système informatique. Les virus et les vers sont les deux exemples de malwares les plus connus. En revanche, il en existe beaucoup d’autres. D’après le site ZDnet, 48% des 22 000 ordinateurs scannés seraient infectés par des malwares. Il existe différentes façons d’attraper un malware sur son ordinateur : via internet, via du P2P (partage de fichier), par email, par la navigation sur un site web, par un email avec une redirection vers un site malveillant ou par l’utilisation d’appareil externe (MP3, appareil photo, disque dur externe,…).

La durée de vie d’un malware est généralement courte et le temps de la transformation du malware est, dans la plupart des cas, inférieur à 24h avant que ce dernier ne se transforme en danger pour l’ordinateur visé.

Comment éviter les malwares

La signature numérique est un mécanisme permettant d’authentifier l’auteur d’un document électronique et de garantir son intégrité, par analogie avec la signature manuscrite d’un document papier. Un mécanisme de signature numérique doit présenter les propriétés suivantes :

• Il doit permettre au lecteur d’un document d’identifier la personne ou l’organisme qui a apposé sa signature.
• Il doit garantir que le document n’a pas été altéré entre l’instant où l’auteur l’a signé et le moment où le lecteur le consulte.

Ce système permet seulement d’éviter au mieux les malwares, mais la signature numérique est payante et peu de gens l’utilisent aujourd’hui.

4/Rendre indisponible un service (internet, email, …), ce sont des attaques DDos.

Définition du mot DDOS : “Distributed Denial Of Service“, “déni de service distribué”, utilisation de démons sur différentes machines pour provoquer un déni de service.

Un exemple d’organisation de DDos en Corée sur 4 jours en juillet 2009 :

L’attaque a eu pour but l’infection et la création d’ordinateurs zombies (115 044 cibles) pour contaminer des sites internet (49 sites coréens et américains) en seulement 3 jours.  Le denier jour, les pirates ont détruits tous les disques durs des 115 044 ordinateurs zombies.

Mesures à prendre contre les DDos

Au niveau technique, on souhaite aujourd’hui, accélérer et augmenter la prévention, la détection et la réponse aux DDos. Toutes les données relatives à ce genre d’attaques devraient être mises en commun pour mieux connaître et combattre l’infection. Certaines entreprises pensent que créer des lois de prévention pour les PC zombies serait une bonne idée.

Conclusion

Aujourd’hui, les pirates usent de plus en plus d’ingéniosité et de créativité pour s’introduire dans le système informatique de l’ordinateur. Ce mois-ci par exemple, j’ai reçu un email frauduleux soi-disant de la Caisse d’Epargne (cliquez ici pour voir le mail frauduleux) me demandant de vérifier mes accès et de retaper mes identifiants en cliquant sur le lien intégré dans le mail. Mais en posant le curseur de la souris sur le lien et en le comparant avec l’URL affiché en dessous on voit que celui-ci ne dirige pas vers la caisse d’épargne mais vers un site complètement inconnu.

De ce 8^ème sommet Anti-Spam, il ressort notamment que la prévention, couplée à l’utilisation d’anti-virus et d’anti-spam, est le meilleur moyen de lutter contre les attaques informatiques.

Après Signal Spam en France, Cyber Cleaner Center au Japon, l’Allemagne décide, elle aussi, d’aider les particuliers contre la cybercriminalité avec l’accord des fournisseurs d’accès internet qui enverront un email (ou un courrier) à l’utilisateur lorsque son ordinateur est infecté.

A l’échelle mondiale, l’Europe veut elle aussi mettre en place des moyens de lutter contre la cybercriminalité par la répression avec la mise en place de peine de prison pour les pirates informatiques.

Enfin, une idée intéressante, proposée par un chercheur de Microsoft, consisterait en la mise en place de « certificat de santé » pour les ordinateurs avec une mise en quarantaine comme si les ordinateurs étaient des personnes physiques touchées par une maladie contagieuse.

Ainsi, comprendre la topologie et les propriétés fondamentales sociales des réseaux de messagerie électronique peut conduire à une meilleure connaissance de la communication des e-mails légitimes et à de nouvelles façons de détecter les activités de spamming sur Internet. Rappelons quelques-uns des problèmes engendrés par le spam :

• un gaspillage des ressources serveurs

• la détection de faux-positifs (emails légitimes identifiés comme spam)

Afin d’appréhender le comportement social et la mécanique des e-mails, le site de L’Atelier nous informe dans son article « Les spams n’ont aucune vie sociale » qu’un groupe de chercheurs de l’université de Göteborg a étudié les propriétés structurelles des réseaux de courrier électronique.

Etant donné que la grande majorité des spams est générée automatiquement, les chercheurs ont émis l’hypothèse que le trafic de spams ne montrait pas le même comportement social que le trafic d’e-mails générés par l’homme. Pour étudier les différences de circulation, les chercheurs ont créé un réseau basé sur des courriers électroniques qui ont été interprétés comme spam ou ont été rejetés par les serveurs de réception de messagerie (par des stratégies de pré-filtrage, comme une liste noire).

Au travers de l’étude des dynamiques sociales du trafic de spam et d’e-mail légitime, l’équipe de chercheurs a pu distinguer les similitudes et les différences entre ces 2 types de message. Une différence importante qui apparaît est la suivante : la circulation de l’e-mail légitime est de type social alors que le spam adopte un comportement asocial.

Cette distinction majeure pourrait permettre de perfectionner les outils anti-spam existants et conduire à de nouvelles méthodes pour détecter les points d’émergence du spam sur le réseau et se rapprocher au plus près de sa source.

L’étude dont le titre original est « Analyzing the Social Structure and Dynamics of E-mail and Spam in Massive Backbone Internet Traffic » est téléchargeable au format PDF depuis ce site :

http://arxiv4.library.cornell.edu/abs/1008.3289?context=cs

Que vous utilisiez le service de messagerie électronique de votre fournisseur d’accès Internet ou un service gratuit (du type laposte.net, gmail, Live Mail, etc.), vous accédez à vos messages électroniques (ou courriels) soit via votre navigateur Internet (accès « WebMail »), soit via un logiciel client de messagerie (Windows Mail, le remplaçant de Outlook Express, Mozilla Thunderbird, Outlook…).

Pour récupérer vos courriels, vous devez « transmettre » au serveur de messagerie votre identifiant (login) et votre mot de passe, soit en les saisissant à chaque fois sur la page Web d’accès WebMail, soit en les ayant paramétrés lors de la configuration de votre compte dans votre client de messagerie. Dans les deux cas, votre identifiant et votre mot de passe transitent donc sur Internet entre votre ordinateur et le serveur de messagerie. Or, si cet échange entre votre ordinateur et le serveur n’est pas protégé, votre identifiant et surtout votre mot de passe sont vulnérables et peuvent être interceptés. Science-fiction ? « Ca n’arrive qu’aux autres » ?

Pas si sûr… Certes, si l’interception de ce type de données au cœur d’Internet n’est pas forcément à la portée de n’importe qui, en revanche, sur un réseau WiFi non-protégé, c’est une toute autre histoire. Or, cela vous est déjà certainement arrivé d’accéder à votre messagerie électronique depuis votre ordinateur portable en étant connecté au réseau WiFi non-protégé d’un restaurant, d’un hôtel ou d’un centre de conférence. Le problème c’est que, intercepter les informations qui transitent sans protection sur ce type de réseaux est à la portée de pratiquement n’importe qui : un ordinateur portable et quelques logiciels accessibles librement sur Internet, il n’y a même plus besoin de compétences spécifiques et pointues. D’où la nécessité d’utiliser un canal sécurisé entre votre ordinateur et le serveur de messagerie. Pour un accès en WebMail, ça se traduit par une adresse du site commençant par « https:// » et la présence du fameux « cadenas fermé » sur le navigateur.

Pour un accès via un client de messagerie, dans les paramètres du compte, l’option « ce serveur nécessite une connexion cryptée (SSL) »(2) doit être sélectionnée aussi bien pour le serveur entrant (POP3) que sortant (SMTP) et les ports d’accès diffèrent souvent des ports des serveurs non-sécurisés (en général, pour POP3, c’est le port 995 au lieu du port 110 et pour SMTP, c’est le port 465 au lieu du port 25) : renseignez-vous auprès de votre prestataire du service de messagerie ou sur la page d’aide correspondante. Mais encore faut-il que ce prestataire mette en œuvre ce mécanisme de sécurité de base, ce qui est loin d’être le cas de tous ! Votre prestataire fait partie de ceux qui ne le mettent pas en œuvre ? A vous de voir, mais il serait peut-être nécessaire d’en changer(3), en faisant part à votre prestataire actuel de votre mécontentement ! Vous trouverez sur Internet la liste des prestataires de messagerie électronique qui offrent un accès sécurisé et ceux qui ne le font pas.

Source : MID e-news – l’actualité des T.I.C. dans le Sud-Ouest

(1) D’au moins 10 caractères, mélangeant lettres majuscules, minuscules, chiffres et caractères spéciaux.

(2) Le libellé précis de l’option dépend du client de messagerie.

(3) Vous pouvez tout à fait ouvrir un compte de courriel chez un autre prestataire que le fournisseur d’accès Internet chez qui vous êtes, l’avantage étant, en plus, que le jour ou vous changerez de fournisseur d’accès vous ne changerez pas d’adresse de courriel.

Au mois de mars 2010, l’assemblée générale de l’association loi 1901 a repensé l’organisation interne, lui conférant ainsi « un nouveau souffle ». Une réforme statutaire a permis de confirmer l’implication active des autorités publiques au sein de l’association. Par ailleurs, il a été créé un Conseil Stratégique où collaborent pouvoirs publics (CNIL, Direction Générale de la Gendarmerie Nationale, OCLCTIC, BEFTI), associations (SNCD, AFA, UDA) et entreprises (CERT Lexsi, Microsoft, Orange, SFR) dans une parfaite équité, ainsi qu’un Conseil Opérationnel où interviennent les membres accompagnés de consultants experts. Les missions de ce dernier Conseil sont de l’ordre de la mise en œuvre opérationnelle sur les plans juridique et technique.

Signal Spam, au commencement…

C’est au cours du 3ème Comité Interministériel pour la Société de le l’Information (CISI) qui s’est déroulé en juillet 2003 que la Direction du Développement des Médias (DDM) s’est vue confier la mise en place d’actions visant à lutter contre le spam. Le déroulement de cette mission a conduit à la création en 2005 de l’association Signal Spam et du lancement de l’outil de signalement des spams ainsi que du site web www.signal-spam.fr en mai 2007.

Les principes fondateurs de Signal Spam

De manière à partager et exploiter à travers le monde les informations et retours d’expérience avec les acteurs de la lutte contre le spam, les déclarations de phishing, malware ou autres pourriels répondent à des standards internationaux. Signal Spam tend ainsi à déployer ses efforts au delà des frontières françaises.

Par ailleurs, pour que chaque signalement de spam ait une véritable portée et permette une action judiciaire et administrative, les « déclarants » sont identifiés grâce à une procédure d’inscription. L’identification garantit l’exploitation juridique des données transmises.

Comment signaler un spam ?

La déclaration de spam peut s’effectuer par tout utilisateur de l’email (particulier ou professionnel) soit via un formulaire en ligne disponible sur le site, soit directement depuis son client de messagerie (Outlook ou Thunderbird 2) grâce à l’installation rapide d’un plug-in.

Une fois les messages frauduleux déclarés, ils sont stockés dans une base de données exploitable aussi bien par les acteurs privés que publics. Ces informations sont toutefois rigoureusement protégées et leur partage se fait sous contrôle juridique selon les recommandations de la CNIL, membre actif de l’association.

En mai 2010, Signal Spam a annoncé le lancement de son application 1.5 permettant de réactiver son service de « Feedback Loop » (système de remontée d’information) destiné aux FAI, aux membres de Signal Spam, ainsi qu’aux prestataires de services email, membres du SNCD. Cette nouvelle version va participer à l’essor de nouveaux développements tels que l’intégration de flux de données spécifiques, à destination de CERT-Lexsi et eBay.

Reste à souhaiter que nombre d’entreprises évoluant dans l’écosystème de l’email s’investissent davantage auprès d’entité dédiée comme Signal Spam dans la lutte contre LE fléau de l’ère numérique, le SPAM.