Next - Il y a 35 ans, le premier spam de l’histoire n’avait que 600 destinataires

Le 3 mai 1978, Gary Thuerk envoyait ce qui est considéré comme étant le tout premier spam : un message électronique adressé à près de 600 personnes via le réseau ARPANET. 35 ans plus tard, ce fléau est encore largement présent et certains, comme Facebook, tentent même de le monnayer.

En 1978, Internet n'existant pas encore, du moins tel qu'on le connait actuellement. En effet, à l'époque il s'agissait d'ARPANET, un projet initié par l'armée américaine. Le 3 mai de cette année, Gary Thuerk, alors employé par Digital Equipment Corporation (DEC) décidait d'envoyer un message à près de 600 personnes afin de les convier à une présentation de produits de sa société.

Brad Templetons, qui se présentait à nos confrères de Les Echos comme étant un pionnier du web et « le premier à créer ainsi un véritable journal électronique » via sa société ClariNet, a reproduit le fameux message sur son blog :

Crédit image : Templetons.com

Il nous propose également une petite sélection des réponses qui auraient suivi, dont celle du major Raymond Czahor. Ce dernier aurait alors précisé qu'il s'agissait d'une violation des conditions d'utilisations d'ARPANET qui ne devait être utilisé que par le gouvernement américain.

Quoi qu'il en soit, 35 ans plus tard, la situation a presque de quoi faire sourire. En effet, les spams sont désormais monnaie courante et touchent largement plus que 600 personnes. Malgré de nombreuses tentatives, il est toujours présent et occupe une place très importante. En effet, dans une étude sur l'année 2012, Kapersky précise que le spam représente 72,1 % des emails, un chiffre en baisse de 8,2 points par rapport à 2011.

Alors que certains luttent contre le spam, d'autres tentent de le monnayer

Certains, comme Spamhaus, tentent de lutter contre les courriels indésirables, mais ce n'est pas toujours sans conséquence. En effet, l'organisation a récemment été la cible de « la plus grande attaque DDoS de l'histoire » suite au placement sur sa liste noire de CyberBunker.

De son côté, Facebook tente de le... monétiser. En effet, le réseau social propose de payer afin d'envoyer un message directement dans la boite de réception d'un utilisateur. La société avait justifié son choix en précisant que le « paiement permet de confirmer que votre message n'est pas indésirable, ce qui n'est pas autorisé dans les messages Facebook ».

Fléau de l'internet moderne, le spam a malheureusement encore de beaux jours devant lui malgré les tentatives de certains. En effet, on se souviendra qu'en 2004, Bill Gates indiquait : « le spam est un problème de sécurité important, et nous avons beaucoup progressé dans la lutte contre les courriers indésirables. Nous espérons que ce problème sera sous contrôle d'ici deux ans ». Les choses semblent par contre aller dans le bon sens puisque Kapersky annonçait que « la part du spam dans le trafic global d'email n’a cessé de baisser tout au long de 2012, pour atteindre son niveau le plus bas en 5 ans ». Il sera maintenant intéressant de voir ce qu'il en sera pour 2013.

Commentaires (53)

Ibliss

Le 04/05/2013 à 13h39

Zut alors, je m’attendais, vu que c’était encore la guerre froide, sur un réseau américain, à un truc du genre “Enlarge your atomic bomb”
Raté

createur7

Le 04/05/2013 à 13h54

" />

brichmarsa

Le 04/05/2013 à 14h22

Je suis persuadé que si les acteurs du web voulaient s’en donner la peine, a peu près sur que ce serait une histoire anecdotique. Mais comme ce serait un coût pour eux et pas vraiment un investissement rentable, ils s’en moquent un peu.

inotoff

Le 04/05/2013 à 14h24

Quid du spam papier dans les boites aux lettres ? Je suis sûr que ça date de bien plus longtemps.

pti_pingu

Le 04/05/2013 à 14h36

brichmarsa a écrit :

Je suis persuadé que si les acteurs du web voulaient s’en donner la peine, a peu près sur que ce serait une histoire anecdotique. Mais comme ce serait un coût pour eux et pas vraiment un investissement rentable, ils s’en moquent un peu.

Mis à part couper les services email, il n’y a que la traque des indésirables, si tu as une idée partage, y’en a qui ont essayé " />

Le 04/05/2013 à 14h37

inotoff a écrit :

Quid du spam papier dans les boites aux lettres ? Je suis sûr que ça date de bien plus longtemps.

L’american staff nourri à la châtaigne et aux stéroïdes, ça marche bien, par contre, tu n’auras plus de courrier du tout (et éventuellement tu ne pourrais plus sortir de chez toi " />)

Le 04/05/2013 à 15h03

pti_pingu a écrit :

Mis à part couper les services email, il n’y a que la traque des indésirables, si tu as une idée partage, y’en a qui ont essayé " />

Et il y en a qui réussissent, ponctuellement. Et les boites comme Microsoft savent s’en faire de la pub quand elles réussissent à démanteler un réseau de botnet.

Tu veux des idées ? Filtrage dès les serveurs de messageries à réception des messages. Suppression automatique des bots déployés via malware sur les machines par des outils intégrés à l’os. Revalidation des mails par l’émetteur pour vérification de son identité par un principe équivalent au captcha. Cela existe déjà d’ailleurs mais en solution payante. Modification des protocoles de messagerie pour les sécuriser Détecter les envois massifs et non controlés par l’utilisateur via l’os et les bloquer automatiquement. Mettre aussi en place des solutions juridiques dissuasives car si il devient plus risqué et moins rentables de faire de la pub pour du viagra, les boites qui en vendent réduiront cette activité.
C’est comme tout, des recherches sur le sujet apporteraient des solutions efficaces mais cela nécessite d’investir.

Si des organismes comme Spam-alerte arrivent à classifier les messages types, leur traitement doit pouvoir se faire de façon globale sur le réseau et non plus après réception dans la bal réceptrice.

Groumfy

Le 04/05/2013 à 15h10

On se sert d’une messagerie qui n’était pas conçue pour une utilisation aussi large.

Rien que le fait que l’adresse mail affichée ne soit pas forcément celle de l’émetteur. Aujourd’hui, qui affiche les informations détaillées sur un email ?

Le 04/05/2013 à 15h27

brichmarsa a écrit :

Et il y en a qui réussissent, ponctuellement. Et les boites comme Microsoft savent s’en faire de la pub quand elles réussissent à démanteler un réseau de botnet.

Tu veux des idées ? Filtrage dès les serveurs de messageries à réception des messages. Suppression automatique des bots déployés via malware sur les machines par des outils intégrés à l’os. Revalidation des mails par l’émetteur pour vérification de son identité par un principe équivalent au captcha. Cela existe déjà d’ailleurs mais en solution payante. Modification des protocoles de messagerie pour les sécuriser Détecter les envois massifs et non controlés par l’utilisateur via l’os et les bloquer automatiquement. Mettre aussi en place des solutions juridiques dissuasives car si il devient plus risqué et moins rentables de faire de la pub pour du viagra, les boites qui en vendent réduiront cette activité.
C’est comme tout, des recherches sur le sujet apporteraient des solutions efficaces mais cela nécessite d’investir.

Si des organismes comme Spam-alerte arrivent à classifier les messages types, leur traitement doit pouvoir se faire de façon globale sur le réseau et non plus après réception dans la bal réceptrice.

Ok donc dans tout ce que tu préconises, c’est le déploiement de mesure contraignante de contrôle des flux … y’a pas comme des histoires de DPI qui trainent sur PCI?

Ah et à chaque fois qu’il y a une une solution, y’a une une réaction, un peu comme les sujets de spam qui ont pris des points entre chaque lettre.

Ah, et les actions de Microsoft et consort ce n’est pas du préventif, c’est du correctif.

Obelixator

Le 04/05/2013 à 15h41

Groumfy a écrit :

On se sert d’une messagerie qui n’était pas conçue pour une utilisation aussi large.

Rien que le fait que l’adresse mail affichée ne soit pas forcément celle de l’émetteur. Aujourd’hui, qui affiche les informations détaillées sur un email ?

N’y aurait-il pas moyen de rajouter une couche de confirmation au protocoles utilisés ? " />
Genre, une simple demande de confirmation (légère), renvoyée à l’adresse de l’expéditeur de l’e-mail par le serveur du destinataire … si réponse sous X secondes, le serveur conserve l’e-mail, sinon poubelle … " />

Le 04/05/2013 à 15h48

pti_pingu a écrit :

Ok donc dans tout ce que tu préconises, c’est le déploiement de mesure contraignante de contrôle des flux … y’a pas comme des histoires de DPI qui trainent sur PCI?

Ah et à chaque fois qu’il y a une une solution, y’a une une réaction, un peu comme les sujets de spam qui ont pris des points entre chaque lettre.

Ah, et les actions de Microsoft et consort ce n’est pas du préventif, c’est du correctif.

Je n’ai jamais dit que c’était simple, sinon les solutions existeraient déjà.
Ce que toi tu propose, c’est de ne rien faire, même si ne rien faire implique que la fraude envahisse de plus en plus le net. Les spams ont pour principale raison d’exister la volonté de profiter de la crédulité des clients potentiels et de vendre des produits illégaux, voire dangereux, ce ne serait donc pas bête de prendre en compte cet élément. Et ici, on ne parles pas de blocage de sites mais de moyen de bloquer des mails envoyés en masse.
Si le système de validation d’envoi était généralisé par exemple, les bots qui usurpent les adresses mails seraient incapables de le traiter et les faux messages n’arriveraient tout simplement pas à leur destinataire.

Quand à Microsoft et consort, je ne savais pas que guérir valait mieux que prévenir. Constater que c’est ce qu’ils font ne les empêche justement pas de prendre le problème a l’envers et de faire du préventif pour n’avoir pas traiter le problème après coup.

jun

Le 04/05/2013 à 15h49

brichmarsa a écrit :

Tu veux des idées ?

brichmarsa a écrit :

Filtrage dès les serveurs de messageries à réception des messages.

Ce n’est pas déjà le cas depuis des années chez la plupart des fournisseur de mail grand publique (Gmail, hotmail) ?

brichmarsa a écrit :

Suppression automatique des bots déployés via malware sur les machines par des outils intégrés à l’os.

Même remarque que précédente. Les pièces jointes étant conservé en cas de faux positif.

brichmarsa a écrit :

Revalidation des mails par l’émetteur pour vérification de son identité par un principe équivalent au captcha. Cela existe déjà d’ailleurs mais en solution payante.

D’un point de vue ergonomique, il serait plus rapide de placer un piège à ours sous chaque clavier…

D’un point de vue technique, avec ou sans captcha, ca implique de créer un caractère discriminatoire, mais qu’est ce qui garanti que ce caractère ne peut pas être outrepasser ?

brichmarsa a écrit :

Modification des protocoles de messagerie pour les sécuriser

Facile à dire… Aussi facile que de dire qu’il faut sauver les dauphins, mais ça n’explique toujours pas comment.

brichmarsa a écrit :

Détecter les envois massifs et non controlés par l’utilisateur via l’os et les bloquer automatiquement.

Pourquoi via l’OS ?

Et encore une fois, c’est une fonctionnalité déjà implémenter dans les fournisseurs de mail grand publique (Côté serveur, bien entendu).

brichmarsa a écrit :

Mettre aussi en place des solutions juridiques dissuasives car si il devient plus risqué et moins rentables de faire de la pub pour du viagra, les boites qui en vendent réduiront cette activité.

Tentative illusoire. Tant qu’il restera au moins un état proposant des hébergement bulletproof et n’appliquant pas ce type de loi, ça ne servira à rien…

brichmarsa a écrit :

C’est comme tout, des recherches sur le sujet apporteraient des solutions efficaces mais cela nécessite d’investir..

T’expliqueras ça aux biologiste qui travaillent sur le vaccin contre le sida =).

Si les chercheurs trouvaient à tout les coups, on ne les appellerait plus des “chercheurs” mais des “trouveurs” =)

le-gros-bug

Le 04/05/2013 à 16h00

brichmarsa a écrit :

Je suis persuadé que si les acteurs du web voulaient s’en donner la peine, a peu près sur que ce serait une histoire anecdotique. Mais comme ce serait un coût pour eux et pas vraiment un investissement rentable, ils s’en moquent un peu.

http://www.spamhaus.org/statistics/networks/

Xavier (Illiad 3eme de la liste) veut déjà pas payer pour youtube alors pour ça " />

Le 04/05/2013 à 16h02

brichmarsa a écrit :

Je n’ai jamais dit que c’était simple, sinon les solutions existeraient déjà.
Ce que toi tu propose, c’est de ne rien faire, même si ne rien faire implique que la fraude envahisse de plus en plus le net. Les spams ont pour principale raison d’exister la volonté de profiter de la crédulité des clients potentiels et de vendre des produits illégaux, voire dangereux, ce ne serait donc pas bête de prendre en compte cet élément. Et ici, on ne parles pas de blocage de sites mais de moyen de bloquer des mails envoyés en masse.
Si le système de validation d’envoi était généralisé par exemple, les bots qui usurpent les adresses mails seraient incapables de le traiter et les faux messages n’arriveraient tout simplement pas à leur destinataire.

Quand à Microsoft et consort, je ne savais pas que guérir valait mieux que prévenir. Constater que c’est ce qu’ils font ne les empêche justement pas de prendre le problème a l’envers et de faire du préventif pour n’avoir pas traiter le problème après coup.

" />, tu extrapole filli … la réponse au spam est la traque et l’intervention par les voies judiciaires classiques => se mettre d’accord tous ensemble au niveau de la régulation d’Internet

Et le système d’envoi ne peut être généralisé car ce qui fonctionne dans une société ne peut fonctionner pour le grand public. Tu en connais beaucoup qui attendrais le mail retour indiquant de cliquer sur un lien et de saisir un captcha dans un service type outlook.com, yahoo mail ou gmail? En plus, le pékin de base y comprendrait quelques choses? Non.

Pour les pro, les systèmes à validation oui, pour le grand public non (et dans ce cas, il faut repasser par les méthodes habituelles, aka enquêtes->jugement->arrestation/démantèlement virtuel)

Anonyme

Le 04/05/2013 à 16h08

Ca fait plusieurs fois que je lis cette énormité sur PCI : “Facebook monétise le SPAM”. C’est ridicule. La seule et unique raison de vivre du SPAM est son coût quasi-nul pour les expéditeurs. Jamais de la vie les spammeurs ne payeront FB pour envoyer leurs pubs, ils n’atteindraient jamais la rentabilité étant donné les taux de clics dérisoires qu’ils obtiennent.

Fantassin

Le 04/05/2013 à 16h11

Les choses semblent par contre aller dans le bon sens puisque Kapersky annonçait que « la part du spam dans le trafic global d’email n’a cessé de baisser tout au long de 2012, pour atteindre son niveau le plus bas en 5 ans

Le spam à juste changé de forme et il est plus insidieux. Par exemple au travers des commentaires d’actualités sur des sites informatiques où certains essayent de vendre leurs idées…

" />

Le 04/05/2013 à 16h13

Fantassin a écrit :

Le spam à juste changé de forme et il est plus insidieux. Par exemple au travers des commentaires d’actualités sur des sites informatiques où certains essayent de vendre leurs idées…

" />

Comme un certains Iletvilain et son blog moisi cette semaine? " />

Le 04/05/2013 à 16h14

jun a écrit :

Ce n’est pas déjà le cas depuis des années chez la plupart des fournisseur de mail grand publique (Gmail, hotmail) ?

Même remarque que précédente. Les pièces jointes étant conservé en cas de faux positif.

D’un point de vue ergonomique, il serait plus rapide de placer un piège à ours sous chaque clavier…

D’un point de vue technique, avec ou sans captcha, ca implique de créer un caractère discriminatoire, mais qu’est ce qui garanti que ce caractère ne peut pas être outrepasser ?

Facile à dire… Aussi facile que de dire qu’il faut sauver les dauphins, mais ça n’explique toujours pas comment.

Pourquoi via l’OS ?

Et encore une fois, c’est une fonctionnalité déjà implémenter dans les fournisseurs de mail grand publique (Côté serveur, bien entendu).

Tentative illusoire. Tant qu’il restera au moins un état proposant des hébergement bulletproof et n’appliquant pas ce type de loi, ça ne servira à rien…

T’expliqueras ça aux biologiste qui travaillent sur le vaccin contre le sida =).

Si les chercheurs trouvaient à tout les coups, on ne les appellerait plus des “chercheurs” mais des “trouveurs” =)

Bien sur que certaines solutions existent déja a certains niveau mais a mon avis en tant que solutions “informatives” plutot qu’actives sinon nous arrêterions de recevoir sans cesse le même message qui nous dit de venir voir telle ou telle actrices americaine à poil. M’étonnerait que les admins hotmail se disent que c’est bien de les classer sans les empécher d’arriver sous prétexte que peut étre ces actrices enverront un jour un mail de cette nature.

La validation d’un mail n’a rien d’un piège à ours, Quand tu envoie un mail, tu reçois tout simplement un pré-AR qui te demande de valider via un clic que tu es bien l’émetteur, c’est simple et rapide et ça évite que ton adresse soit usurpée.
Quand aux protocoles de messagerie, ils n’ont pas changé depuis leur création. Effectivement ce n’est pas facile, mais ça ne serait pas moins dur que ce qui a été fait sur d’autres protocoles pour les améliorer et les sécuriser.
Pour résumer, je n’ai pas dit que j’avais LA solution, ni les connaissances techniques pour les mettre en place et revendre les licences aux fournisseurs d’accès, sinon je serais riche et je n’aurais pas à argumenter ici, on m’a demandé des idées, j’en donne qques unes qui me sont venu comme ça et vous pouvez aussi proposer les vôtres, ou pas, et vous dire que de toute façon, ça ne sert a rien .

Le 04/05/2013 à 16h24

pti_pingu a écrit :

" />, tu extrapole filli … la réponse au spam est la traque et l’intervention par les voies judiciaires classiques => se mettre d’accord tous ensemble au niveau de la régulation d’Internet

Et le système d’envoi ne peut être généralisé car ce qui fonctionne dans une société ne peut fonctionner pour le grand public. Tu en connais beaucoup qui attendrais le mail retour indiquant de cliquer sur un lien et de saisir un captcha dans un service type outlook.com, yahoo mail ou gmail? En plus, le pékin de base y comprendrait quelques choses? Non.

Pour les pro, les systèmes à validation oui, pour le grand public non (et dans ce cas, il faut repasser par les méthodes habituelles, aka enquêtes->jugement->arrestation/démantèlement virtuel)

Justement, il m’est déja arrivé de valider mon envoi depuis mon adresse perso alors que j’avais envoyé des mails a des boites pro, juste en cliquant sur un lien dans un mail reçu en retour de mon envoi. Rien de compliqué la dedans et le grand public n’aurait aucun mal a s’y faire. Dans mes messages précédent je parlais de captcha en tant que systeme de validation, pas comme la solution (compliquée et déja chiante dans certains cas) â mettre en place.
Ce qui avait été mis en place au niveau du serveur de la boite en question pourrait très bien être mis en place sur les serveurs des fournisseurs de boites mail grand public sans que cela soit insurmontable.

Le 04/05/2013 à 16h30

brichmarsa a écrit :

Justement, il m’est déja arrivé de valider mon envoi depuis mon adresse perso alors que j’avais envoyé des mails a des boites pro, juste en cliquant sur un lien dans un mail reçu en retour de mon envoi. Rien de compliqué la dedans et le grand public n’aurait aucun mal a s’y faire. Dans mes messages précédent je parlais de captcha en tant que systeme de validation, pas comme la solution (compliquée et déja chiante dans certains cas) â mettre en place.
Ce qui avait été mis en place au niveau du serveur de la boite en question pourrait très bien être mis en place sur les serveurs des fournisseurs de boites mail grand public sans que cela soit insurmontable.

Raisonnes juste sur un truc, ça fais des années qu’on dis aux néophytes de pas cliquer sur des liens dans les emails car ça peut les pourrir et bon an mal an, ça rentre dans les moeurs. Alors si tu mets un tel système en place (en plus de casser l’extrème simplicité pour le commun des mortels), tu l’induis en erreur et donc les spammeurs et autres diffuseurs de saloperies par mail auront un boulevard énorme.

patos Abonné

Le 04/05/2013 à 16h39

pti_pingu a écrit :

Ok donc dans tout ce que tu préconises, c’est le déploiement de mesure contraignante de contrôle des flux … y’a pas comme des histoires de DPI qui trainent sur PCI?

Ah et à chaque fois qu’il y a une une solution, y’a une une réaction, un peu comme les sujets de spam qui ont pris des points entre chaque lettre.

Ah, et les actions de Microsoft et consort ce n’est pas du préventif, c’est du correctif.

La solution au spam qui usurpe, c’est SPL: Sender Protection List.
La réponse au spam qui usurpe pas, c’est les greylist & les whitelist.

Le 04/05/2013 à 16h43

patos a écrit :

La solution au spam qui usurpe, c’est SPL: Sender Protection List.
La réponse au spam qui usurpe pas, c’est les greylist & les whitelist.

greylist kézako? Par contre, whitelist, je sais pas mais il faut donc considérer que chaque utilisateur indique qui est autorisé ou pas. Alors à priori pas possible (impossible pour le fournisseur mail de savoir si c’est un user autorisé) et à postériori ça reporte une charge sur l’utilisateur.

Alors je ne dis pas que ces solutions sont mauvaises, par contre avant de les généraliser, il faut bien évaluer le risque que l’utilisateur n’y adhère pas et déserte le service.

Le 04/05/2013 à 16h54

Obelixator a écrit :

N’y aurait-il pas moyen de rajouter une couche de confirmation au protocoles utilisés ? " />
Genre, une simple demande de confirmation (légère), renvoyée à l’adresse de l’expéditeur de l’e-mail par le serveur du destinataire … si réponse sous X secondes, le serveur conserve l’e-mail, sinon poubelle … " />

Simple Mail Transfer Protocol : Sécurité et problème du spam

Le 04/05/2013 à 17h04

pti_pingu a écrit :

greylist kézako? Par contre, whitelist, je sais pas mais il faut donc considérer que chaque utilisateur indique qui est autorisé ou pas. Alors à priori pas possible (impossible pour le fournisseur mail de savoir si c’est un user autorisé) et à postériori ça reporte une charge sur l’utilisateur.

Personnellement, je pratique la whitelist avec lecture du courrier indésirable en second plan. Pour une messagerie qui tombe sur un portable en push, c’est parfait.

Le greylist, ça consiste à exploiter le SMTP et le réessai. En gros, la première fois que tu reçois d’une personne d’un serveur SMTP, le serveur le passe en liste grise: il n’est pas remis. Ensuite, le protocole SMTP prévoit qu’un renvoi doit avoir lieu, donc le serveur de base doit renvoyer le mail. A ce moment là, le serveur de réception whitelist, sinon, bah le mail de base est détruit.

Ca lutte vraiment beaucoup contre le spam ^^ genre 80-90% détruit à la source.

SebGF Abonné

Le 04/05/2013 à 17h12

Cet article est une excellente occasion pour placer ce webcomic :http://www.explosm.net/comics/3149/

Le 04/05/2013 à 17h26

Groumfy a écrit :

Simple Mail Transfer Protocol : Sécurité et problème du spam

" />
Si j’ai bien tout compris : Les solutions existent, mais sans volonté des acteurs principaux de la messagerie par e-mail, rien ne changera " />

Le 04/05/2013 à 17h37

pti_pingu a écrit :

Raisonnes juste sur un truc, ça fais des années qu’on dis aux néophytes de pas cliquer sur des liens dans les emails car ça peut les pourrir et bon an mal an, ça rentre dans les moeurs. Alors si tu mets un tel système en place (en plus de casser l’extrème simplicité pour le commun des mortels), tu l’induis en erreur et donc les spammeurs et autres diffuseurs de saloperies par mail auront un boulevard énorme.

Et si, comme je l’ai dit précédemment, la vérification de l’existence de la boite d’envoi se faisait de manière transparente pour l’utilisateur (effectuée automatiquement par le serveur entrant), ça supprimerait déjà tous les spams avec usurpation d’expéditeur, tout en restant “michu-proof”, non ? " />
(Mais comme semble me l’avoir fait comprendre Groumfy, ça dépends presque uniquement de la volonté des acteurs principaux de messagerie)

Le 04/05/2013 à 17h38

SebGF a écrit :

Cet article est une excellente occasion pour placer ce webcomic :http://www.explosm.net/comics/3149/

" />" />" />" />" />

Le 04/05/2013 à 17h44

Obelixator a écrit :

Et si, comme je l’ai dit précédemment, la vérification de l’existence de la boite d’envoi se faisait de manière transparente pour l’utilisateur (effectuée automatiquement par le serveur entrant), ça supprimerait déjà tous les spams avec usurpation d’expéditeur, tout en restant “michu-proof”, non ? " />
(Mais comme semble me l’avoir fait comprendre Groumfy, ça dépends presque uniquement de la volonté des acteurs principaux de messagerie)

Ok, mais cela couvre le spam par modification de header, et ceci, ça peut déjà être le cas (avec spamassassin si je ne dis pas de connerie, mais à voir). Mais pour les spam sur base de hack de boite mail ça ne colle plus. Et même, dans le cas d’une vérification d’existence d’une boite mail, cela présuppose que la boite mail soit accessible en tout lieu et tout heure, hors dans les spécifications actuelles des proto mail, il n’y a rien qui prévoit la disponibilité permanente. Ce système ne pourrait se baser que sur le bon vouloir des acteurs et la mise en place de mécanisme de redondant non plus juste pour assurer la QoS mais assurer la sécurité, or ceci est un travail conséquent qui ne pourrait se faire qu’en mettant tout le monde autours de la table (dis autrement, si les specs n’incluent pas encore de chapitre de ce type, c’est qu’il y a une raison, surement financière, car techniquement c’est faisable).

Le 04/05/2013 à 17h53

pti_pingu a écrit :

Ok, mais cela couvre le spam par modification de header, et ceci, ça peut déjà être le cas (avec spamassassin si je ne dis pas de connerie, mais à voir). Mais pour les spam sur base de hack de boite mail ça ne colle plus. Et même, dans le cas d’une vérification d’existence d’une boite mail, cela présuppose que la boite mail soit accessible en tout lieu et tout heure, hors dans les spécifications actuelles des proto mail, il n’y a rien qui prévoit la disponibilité permanente. Ce système ne pourrait se baser que sur le bon vouloir des acteurs et la mise en place de mécanisme de redondant non plus juste pour assurer la QoS mais assurer la sécurité, or ceci est un travail conséquent qui ne pourrait se faire qu’en mettant tout le monde autours de la table (dis autrement, si les specs n’incluent pas encore de chapitre de ce type, c’est qu’il y a une raison, surement financière, car techniquement c’est faisable).

" />
Sinon, pour ce qui est en gras : bien vu ! " />

Commentaire_supprime

Le 04/05/2013 à 17h56

patos a écrit :

La solution au spam qui usurpe, c’est SPL: Sender Protection List.
La réponse au spam qui usurpe pas, c’est les greylist & les whitelist.

+1 pour les whitelists.

Comme j’étais spammé sur mon adresse perso, je me suis pris une BAL chez 1and1, qui est le seul fournisseur de BAL (payant : 15€/an TTC) à proposer la fonction whitelist sur ses boîtes aux lettres électroniques.

C’est quand même curieux que chez tous les fournisseurs de BAL électroniques, PERSONNE n’a implémenté une fonction whitelist, ça serait si simple déjà, pour trasher le spam à son arrivée…

cyph3r

Le 04/05/2013 à 18h22

J’ai envie de dire “en effet” ! ;)

Tsi-na-pah

Le 04/05/2013 à 18h55

Je sais pas comment vous faites pour recevoir du spam : le dernier que j’avais reçu date du 21/09/2022…

" />

Le 04/05/2013 à 19h09

Tsi-na-pah a écrit :

Je sais pas comment vous faites pour recevoir du spam : le dernier que j’avais reçu date du 21/09/2022…

" />

Ben c’est la nouvelle technique, pour pas se faire choper dans le futur, ils spamment dans le passé :devill:

Jiyuu_Hashi

Le 04/05/2013 à 19h33

inotoff a écrit :

Quid du spam papier dans les boites aux lettres ? Je suis sûr que ça date de bien plus longtemps.

Un logo “pas de pub SVP”, et si récidive, contacter directement la société distributrice, ça rappelle à l’ordre les distributeurs ^^; (je le sais, mes parents ont fait pendant un temps ce genre de boulot, alors qu’ils sont à la retraite – au passage, ça n’arrondit pas les fins de mois, bien au contraire, vu qu’il te faut un véhicule perso, que les frais sont à ta charge, sauf dans certains cas particuliers, genre plus de X km pour arriver sur le lieu et distribuer, etc.)

Le 04/05/2013 à 20h16

pti_pingu a écrit :

Ok, mais cela couvre le spam par modification de header, et ceci, ça peut déjà être le cas (avec spamassassin si je ne dis pas de connerie, mais à voir). Mais pour les spam sur base de hack de boite mail ça ne colle plus. Et même, dans le cas d’une vérification d’existence d’une boite mail, cela présuppose que la boite mail soit accessible en tout lieu et tout heure, hors dans les spécifications actuelles des proto mail, il n’y a rien qui prévoit la disponibilité permanente. Ce système ne pourrait se baser que sur le bon vouloir des acteurs et la mise en place de mécanisme de redondant non plus juste pour assurer la QoS mais assurer la sécurité, or ceci est un travail conséquent qui ne pourrait se faire qu’en mettant tout le monde autours de la table (dis autrement, si les specs n’incluent pas encore de chapitre de ce type, c’est qu’il y a une raison, surement financière, car techniquement c’est faisable).

Et donc on revient bien au premier de mes messages : si les acteurs du web voulaient bien se donner la peine…

Le 04/05/2013 à 21h16

Commentaire_supprime a écrit :

+1 pour les whitelists.

Comme j’étais spammé sur mon adresse perso, je me suis pris une BAL chez 1and1, qui est le seul fournisseur de BAL (payant : 15€/an TTC) à proposer la fonction whitelist sur ses boîtes aux lettres électroniques.

C’est quand même curieux que chez tous les fournisseurs de BAL électroniques, PERSONNE n’a implémenté une fonction whitelist, ça serait si simple déjà, pour trasher le spam à son arrivée…

Tous les prestataires Exchange le font, y compris feu-Hotmail, Outlook.com.
En fait, dans courriers indésirables, tu mets “tout le monde sauf mes contacts” et voilà ^^

earendil_fr Abonné

Le 04/05/2013 à 21h36

patos a écrit :

Personnellement, je pratique la whitelist avec lecture du courrier indésirable en second plan. Pour une messagerie qui tombe sur un portable en push, c’est parfait.

Le greylist, ça consiste à exploiter le SMTP et le réessai. En gros, la première fois que tu reçois d’une personne d’un serveur SMTP, le serveur le passe en liste grise: il n’est pas remis. Ensuite, le protocole SMTP prévoit qu’un renvoi doit avoir lieu, donc le serveur de base doit renvoyer le mail. A ce moment là, le serveur de réception whitelist, sinon, bah le mail de base est détruit.

Ca lutte vraiment beaucoup contre le spam ^^ genre 80-90% détruit à la source.

Yep, je ne pratique que le greylist et ça marche du tonnerre ^_^.

Mimoza Abonné

Le 04/05/2013 à 22h28

le-gros-bug a écrit :

http://www.spamhaus.org/statistics/networks/

Xavier (Illiad 3eme de la liste) veut déjà pas payer pour youtube alors pour ça " />

Je comprend mieux pourquoi ils m’ont fait c**** quand j’ai monté mon serveur mail en auto-hébergement " />

Par contre j’ai l’impression que certain ont pas vraiment compris le fonctionnement des serveur SMTP. Les listes blanches sont l’une des pires solution existantes. Avec ce système il est quasi certain que l’on se retrouverait avec quelques gros serveur BAL qui n’accepte que les mails des autres BAL “certifiés”.
Il faut voir que la pluspart de SPAMs sont envoyé à partir de machines infecter …

Donc si tout le monde passe sur de VRAI OS ont aurait bien moins de pb " />

pandaroux

Le 04/05/2013 à 23h45

en 2004, Bill Gates indiquait : « le spam est un problème de sécurité important, et nous avons beaucoup progressé dans la lutte contre les courriers indésirables. Nous espérons que ce problème sera sous contrôle d’ici deux ans ».

Alors, un point en 2012.
Ouvrons la boite hotmail de ma jeunesse Bill.

Ah, on me préviens que j’avais une “Soirée pyjamas et nuisettes le 26 avril?”. " />

psn00ps Abonné

Le 04/05/2013 à 23h59

brichmarsa a écrit :

Quand aux protocoles de messagerie, ils n’ont pas changé depuis leur création.
Effectivement ce n’est pas facile, mais ça ne serait pas moins dur que ce qui a été fait sur d’autres protocoles pour les améliorer et les sécuriser.
Pour résumer, je n’ai pas dit que j’avais LA solution, ni les connaissances techniques pour les mettre en place et revendre les licences aux fournisseurs d’accès, sinon je serais riche et je n’aurais pas à argumenter ici, on m’a demandé des idées, j’en donne qques unes qui me sont venu comme ça et vous pouvez aussi proposer les vôtres, ou pas, et vous dire que de toute façon, ça ne sert a rien .

Bien sûr que si. Renseigne toi sur SPF et DKIM.

Le 05/05/2013 à 00h18

pti_pingu a écrit :

greylist kézako? Par contre, whitelist, je sais pas mais il faut donc considérer que chaque utilisateur indique qui est autorisé ou pas. Alors à priori pas possible (impossible pour le fournisseur mail de savoir si c’est un user autorisé) et à postériori ça reporte une charge sur l’utilisateur.

Alors je ne dis pas que ces solutions sont mauvaises, par contre avant de les généraliser, il faut bien évaluer le risque que l’utilisateur n’y adhère pas et déserte le service.

C’est un moyen d’éduquer le pigeon mouton utilisateur du compte qu’il ne faut pas prendre au sérieux des mails de n’importe qui.

Si les gens sont crédules, qu’y peut la technique ? " /> Des " /> se perdent.

TheRealBix

Le 05/05/2013 à 00h54

Ce serait beau de voir la même baisse sur le local de Jita ..

mamath7

Le 05/05/2013 à 08h21

600 adresse par rapport au nombre de boite mail de l’époque: probablement le spam le plus diffusé de l’histoire!

dualboot

Le 05/05/2013 à 11h10

Si déjà les serveurs de messagerie étaient à la base bien paramétrés.
Ensuite apprendre aux utilisateurs

à ne pas répondre au fishing

à ne pas laisser cocher les cases par défaut quand ils passent commande sur Internet

à ne pas installer n’importe quoi sur leur poste

à ne pas aller sur des sites chelou sans protection
Enfin bref que des mesures sanitaires de base quoi.

jpriton

Le 05/05/2013 à 11h52

dualboot a écrit :

Si déjà les serveurs de messagerie étaient à la base bien paramétrés.
Ensuite apprendre aux utilisateurs

à ne pas répondre au fishing

à ne pas laisser cocher les cases par défaut quand ils passent commande sur Internet

à ne pas installer n’importe quoi sur leur poste

à ne pas aller sur des sites chelou sans protection
Enfin bref que des mesures sanitaires de base quoi.

J’ajouterai:

à ne pas installer de logiciel de messagerie sur le poste. Les webmails sont bien suffisant. Et si cela n’est pas possible (au boulot pas ex.) à ne pas prévisualiser le mails et à supprimer définitivement tout mail suspect ou inconnu

Le 05/05/2013 à 14h06

CC c’est pas copie cachée ?

jpriton a écrit :

J’ajouterai:

à ne pas installer de logiciel de messagerie sur le poste. Les webmails sont bien suffisant. Et si cela n’est pas possible (au boulot pas ex.) à ne pas prévisualiser le mails et à supprimer définitivement tout mail suspect ou inconnu

Et au passage, interdire la revente de données entre entreprises. Faut pas se leurrer, une grosse partie des spams c’est de la base client revendue… " />

Quand je vois que mes adresses poubelles (spéciales sites commerciaux) sont soudainement abonnées à des mailings de sites dont je n’ai jamais entendu parler…

Ou accessoirement, que les choix “ne pas recevoir de mails commerciaux” et autre connerie soient vraiment pris en compte. Parce que dans la réalité, je me demande si le champ existe réellement dans la BDD du site " />

Le 05/05/2013 à 14h07

Yzokras a écrit :

CC c’est pas copie cachée ?

Copie Carbone, la cachée c’est CCi (copie carbone invisible). Un reliquat de l’époque des machines à écrire où les documents étaient tapés en plusieurs exemplaires via des pages carbone permettant de retranscrire la frappe sur une seconde page.

yeti4

Le 05/05/2013 à 15h05

(jpriton)
“ J’ajouterai:

à ne pas installer de logiciel de messagerie sur le poste. Les webmails sont bien suffisant. Et si cela n’est pas possible (au boulot pas ex.) à ne pas prévisualiser le mails et à supprimer définitivement tout mail suspect ou inconnu”

salut
cela fait 5 ans que je me passe de Logiciels de mess. (Outlook et & )
comme je ne fais QUE lire mes e mails, et que je NE tél. aucunes PJ, en cas
d’infection, c’est le Serveur du FAI qui “prend” le Virus ! " />

Le 07/05/2013 à 15h42

pti_pingu a écrit :

Ben c’est la nouvelle technique, pour pas se faire choper dans le futur, ils spamment dans le passé :devill:

Ah ouais, comme la Doloréane à Marty après qu’elle fut équipée d’un réacteur dans le futur et qui ensuite se prend une flèche d’un Indien dans le passé, et même que ça perce le réservoir et qu’il tombe en panne sèche alors que dans le futur elle avait été équipée d’un réacteur pour se passer de carburant.

Je sais pas toi, mais moi j’y ai toujours rien compris à ces films…

" />

Le 09/05/2013 à 09h25

yeti4 a écrit :

(jpriton)
“ J’ajouterai:

à ne pas installer de logiciel de messagerie sur le poste. Les webmails sont bien suffisant. Et si cela n’est pas possible (au boulot pas ex.) à ne pas prévisualiser le mails et à supprimer définitivement tout mail suspect ou inconnu”

salut
cela fait 5 ans que je me passe de Logiciels de mess. (Outlook et & )
comme je ne fais QUE lire mes e mails, et que je NE tél. aucunes PJ, en cas
d’infection, c’est le Serveur du FAI qui “prend” le Virus ! " />

Attention tout de même au js, activeX… c’est bien le poste client qui l’executera.

Le 09/05/2013 à 12h37

salut
(jpriton)
“merci” ! " />

Il y a 35 ans, le premier spam de l’histoire n’avait que 600 destinataires

Dire que certains pensent encore que le champ CC c'est... Copie Cachée

Alors que certains luttent contre le spam, d'autres tentent de le monnayer

Tiens, en parlant de ça :

652e édition des LIDD : Liens Intelligents Du Dimanche

Et bonne nuit les petits

#Flock distribue des mandales tous azimuts

Quoi de neuf à la rédac’ #11 et résumé de la semaine

Sommaire de l'article

Introduction

Alors que certains luttent contre le spam, d'autres tentent de le monnayer

652e édition des LIDD : Liens Intelligents Du Dimanche

#Flock distribue des mandales tous azimuts

Quoi de neuf à la rédac’ #11 et résumé de la semaine

Cartes graphiques : 30 ans d’évolution des GPU

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

Linux : le composant systemd se dote d’un écran bleu de la mort

Un roman graphique explique les logiciels libres aux enfants

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Informatique quantique, qubits : avez-vous les bases ?

Surveillance des notifications : un sénateur américain demande la fin du secret

En ligne, les promos foireuses restent d’actualité

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6 a sa première bêta, le tour des nouveautés

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Le poing Dev – Round 7

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

Trois consoles portables en quelques semaines

Cyberrésilience : les compromis (provisoires) du trilogue européen

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

Commentaires (53)