Les vacances de Parad-IE

Bonjour amis internautes.

Parad-IE est parti en vacances quelques jours et n'a pu publier le rendez vous de lundi dernier mais il sera rentré en fin de semaine donc profitez bien de la pause et à très bientot.

Les lundis SSI : le Spam

,Définition :

Le spam, pourriel en français, désigne une communication électronique non sollicitée par les destinataires, expédiée en masse à des fins publicitaires ou malhonnêtes. Le terme de Pourriel provient de la contraction de poubelle et de courriel. On entend parfois parler de Polluriel qui est le résultat de l’association de pollution et de courriel.

Historique :

* Le premier spam a été réalisé par un américain, Gary Thuerk, le 3 mai 1978, qui dans le cadre d’une démarche marketing a fait suivre, à plusieurs centaines de personnes, un email les invitant à la démonstration d’un nouveau produit. Aujourd’hui cette attitude pourrait également porter le nom d’emailing. Elle consiste à envoyer à une cible définie un courrier annonçant un évènement.

* Pour autant, le spam recouvre un effet néfaste puisqu’il constitue désormais un moyen très pratique pour les publicitaires pour « harceler » vos boîtes mails. La vente de fichiers d'emails renforce d’autant plus ce phénomène.

* Si la terminologie de spam trouve son origine dans la récurrence de la publicité pour un produit, le nom de SPAM lui même provient d’un jambon épicé….. Les Monty Python, agacés par la répétition de la marque dans une publicité, avaient réalisé un sketch tournant en dérision ce produit.

Procédés :

* Le but des campagnes de spams, hormis l’explication publicitaire, est de permettre aux pirates de confirmer votre adresse mail soit :

- à l'aide de scanners qui génèrent des adresses aléatoires puis testent leur existence

- à l'aide de backdoors (méthode non repertorié permettant de s’introduire illégalement sur un ordinateur. Technique proche du Hacking), et d'espiogiciels (logiciel qui réalise le backdoor) qui vont communiquer nos carnets d’adresses

- à l'aide de robots qui scannent les sites, les news, les blogs

* Lionel Goussard, le responsable du nouveau bureau français du groupe Webroot explique que les pirates commencent à développer des techniques de « BackScatter » (en anglais). Dans ce cas, le domaine (nom du serveur sur lequel l’internaute reçoit des messages ou sur lequel sont hébergées ses pages personnelles) est pris pour cible. Le pirate qui lance la campagne de spam met ce serveur en destinataire des retours spam et le noie ainsi sous les réponses.

Quelques chiffres :

* Cela peut représenter jusqu’à 90% d’une boite aux lettres.

* Le volume des spams est multiplié par 3 chaque année.

* Les Etats-Unis relaient 28,4 % des spams loin devant la Chine, la Corée du Sud, et …. La France

* En 2007 cela représente 99% du trafic mail mondial et environ 100 milliards de spams envoyés par… jour.

Actualité :

La fin pour le plus important réseau de spam : la FTC ( Federal Trade Commission ) à annoncer la semaine passée, le démantèlement d'un important réseau de spams, à l'origine de l'envoi de plusieurs milliards de courriers électroniques indésirables. Les e-mails proposant des produits de santé très connu pour leurs effets sur le poids ou les performances sexuelles. L’auteur de ces spams était un ressortissant Néo-zélandais et un texan.

Les solutions :

* Porter plainte. La justice américaine et la commission américaine ont reconnu le spamming comme un délit. En 2006, un Fournisseur d’accès Internet (FAI) avait obtenu la condamnation de 3 spammeurs au paiement de dommages et intérêts s’élevant à 1 milliard d’euros. Les 3 spammeurs avaient noyé les serveurs du FAI.

* Ne pas donner son adresse mail. Eviter de laisser votre adresse sur les sites internet, notamment votre adresse usuelle ou professionnelle. Il est tout à fait envisageable de créer une adresse dédiée aux sites commerciaux qui absorbera les spams. Il existe d’ailleurs des adresses email jetables.

Sachez que si un ami est contaminez par ce type de « virus », vous êtes presque sûr d’en être victime à votre tour.

* Utilisez l’anti-spam de votre FAI ? un bon début mais loin d’être suffisant. En effet comme le signal le site comment ça marche, ils vous proposent la création d’une liste noire, ou des règles de filtrage

- A partir de l'adresse de l'émetteur. Le problème est que bien souvent dans les spams on ne connait pas l'émetteur.

- A partir de mots clés recherchés dans le sujet du mail. Il faut donc définir des mots clés de tous les mails que nous sommes susceptibles de recevoir.... Autant jeter ces spams tous les jours!! En plus bien souvent le texte est dans une pièce jointe, dans un lien ou dans une image donc nettement plus difficile à isoler.

* Essayer un logiciel anti-spam installé directement sur votre PC ? Cela permettra de renforcer les fonctions de tri et donc de constituer des blacklists plus solides.

* Ne cliquez pas sur les liens des spams. Comme pour le phishing de lundi dernier. Si vous cliquez sur les liens, ou tentez de vous désinscrire, vous confirmez votre existence.

* Configurer votre boite mail pour que la l'ouverture des mails ne se fasse qu’après autorisation. En effet, la simple prévisualisation provoque la confirmation de l’adresse.

* Des solutions payantes existent, c’est le cas de webroot. Pour les budgets les plus maigres, les spécialistes conseillent l’utilisation de Mozilla thunderbird à la place des clients mails actuels (Outlook notamment). Il permet un filtrage assez complet des spams.

Si vous souhaitez plus de détails techniques, wikipedia réalise un bon récapitulatif des différentes techniques de filtrage et puis si vous avez une remarque, l'espace commentaire est à vous. Bonne semaine.

La semaine de Parad'ie

La sécurité des systèmes d'information au coeur de la semaine :

- Les assises de la Sécurité ont eu lieu entre le 15 et le 18 octobre à Monaco. Plus de 12 000 participants venus échanger sur la sécurité des systèmes d'information (SSI) et la cybercriminalité. Je n'ai hélas pu me déplacer jusqu'à la principauté donc voici un condensé de la presse.

*Le Directeur de la DCSSI (direction centrale de la sécurité des systèmes d'information), Patrick Pailloux, a ouvert la conférence et a rappelé que la SSI était désormais une des principales priorités de la Défense Nationale.

* Le Directeur a également souhaité une amélioration des interventions de l'ENISA (European, Network and Information Security Agency) qui n'apporte pas des réponses suffisamment concrètes à la problématique de la SSI. Il a également souligné la volonté du Président Sarkozy (actuellement Président de l'UE) de faire émerger des règles communes de sécurité.

* L'annonce de la naissance d'une agence nationale pour la sécurité à l'horizon 2009 a été prononcée. Elle reprendra les moyens et effectifs de l'ex-future DCSSI et prolongera ses prérogatives au conseil au secteur privé et aux particuliers. Il ne faut pas voir dans la création de cette structure, une raison également politique!! Il était sûrement plus simple de créer une nouvelle structure que d'améliorer l'existent......

* Pour finir la conférence a été l'occasion d'une piqûre de rappel des principes de sécurité. Un investissement des petites entreprises comme des grandes sociétés est nécessaire afin de mettre en place des procédures d'audit. Les sociétés doivent réellement prendre en compte les règles de bon sens que sont par exemple, une modification régulière de son mot de passe, une vigilance d'autant plus forte lors de voyage internationaux....

- La conférence mondiale Informatique et Libertés a ouvert ses portes à Strasbourg. Alex Türk, président de la CNIL (Commission Nationale Informatique et Liberté), a évoqué, dans une interview à 01net , ses inquiétudes vis-à-vis de la protection des données personnelles et a suggéré la "création d'un prix Nobel de la protection des données. Il pointe l'ambigüité des français face à la protection de leurs données et la véritable conscience des risques. En effet, les détracteurs du fichier Edvige et les adeptes de My Space et Facebook sont souvent les mêmes personnes.

- La Ministre de l'Intérieur prône la sensibilisation des chefs d'entreprise à la sécurité lors de l'ouverture de la session 20e promotion de l'Institut des hautes études de sécurité (INHES). Avec quelques exemples précis, Michèle Alliot Marie a rappelé les risques auxquels s'exposaient toute entreprise et le rôle éducatif confié aux préfets et aux divers organismes publics. J'aurai tendance à dire que ce n'est pas une question de volonté mais de méthode. Les CCI notamment et également les forces de l'ordre réalisent régulièrement des sensibilisations à la problématique mais cela ne semble pas porter ses fruits.

* Dans le cadre de mes fonctions, je réalisais dernièrement un audit sécurité dans un service dit "stratégique" d'une grande entreprise. Les résultats ont été.... affligeants. Alors Mesdames et Messieurs, chefs d'entreprise, grands comptes ou PME, salariés et utilisateurs d'un outil nécessitant un accès sécurisé ne donnez jamais votre mot de passe, même à votre conjoint. Que diriez vous si demain je vous appelle pour obtenir votre code de carte bleue.....

* Pour autant difficile de contredire MAM, quand les exemples sont toujours aussi nombreux. Cette semaine mention particulière à Deloitte. L'un des plus grands cabinets d'audit révèle avoir égaré les données de 150 000 employés britanniques de Vodafone. Il faut tout de même souligner les progrès de la société. Contrairement au malheureux précédent de 2006 ( un CD Rom, non crypté et non encodé, contenant les données de 9000 employés de Mac Affee avait été perdu), cette fois la société affirme que les données étaient cryptées et l'accès au PC protégé.

Le reste de l'actualité

- Un réseau de contrefaçon mis à jour dans le 18ème arrondissement de Paris. Les douanes ont réalisé une bonne prise en saisissant plusieurs milliers d'accessoires et de produits de luxe.

- Les chinois et Skype : Une étude canadienne vient de révéler l'existence d'une version chinoise du logiciel de communication, qui permet aux autorités de filter et d'enregistrer les messages textes, comprenant un charge politique. la filiale d'Ebay a reconnu l'existence de cette dérive chez TOM skype, son partenaire chinois, sans pour autant pouvoir expliquer les modifications de protocoles qui ont été effectuées.

- La suite de l'affaire Besancenot. Le PDG de Taser France, ainsi que plusieurs policiers ont été placé en garde à vue dans l'affaire qui a fait la une de l'été et qui devrait alimenter les meilleurs romans d'espionnage.

Ceci n'est sans doute pas exhaustif de l'actualité de la semaine alors si vous avez un ajout, un commentaire, libre à vous ?