Comment lutter contre le spam ?

Véritable plaie au quotidien, le spam a envahi au fil des décennies, nos boites mails et par ricochet, nos smartphones. Que ce soit pour nous vendre des pilules "miracles", des films "à caractère éducatif" ou pour nous informer de la mise à disposition d'un héritage providentiel dans une banque du Nigéria, tout est bon pour les spammeurs pour nous pourrir la vie. L'objectif de ce dossier est de vous aider à y voir plus clair pour mieux combattre et éliminer le spam de vos messageries. Autant vous le dire tout de suite : je ne vous donnerai pas de solution miracle car elle n'existe tout simplement pas ! L'ampleur du phénomène est telle qu'aujourd'hui on en arrive à mesurer l'empreinte carbone du spam. Et il faut bien reconnaître que peu de personnes s'en soucient. Dans ces conditions, il y a peu d'espoir de voir les choses évoluer un pour.
Après avoir dressé le panorama du spam, nous verrons comment nous sommes spammés, par qui et comment ils opèrent. Nous verrons également que les législations en la matière n'apportent pas véritablement de réponses efficaces mais qu'il existe des outils et des solutions pour se protéger du spam.

Comment lutter contre le spam ?

Table des matières

  • Qu'est qu'un spam ?
  • D'où vient le terme "spam" ?
  • En quoi est-ce une pollution ?
  • Qui sont les plus gros spammeurs ?
  • Quels sont les buts des spammeurs ?
  • Comment devient on victime de spam ?
  • Comment spamment-ils ?
  • Que valent les lois anti-spam ?
  • Votre fournisseur d'accès internet peut-il vous aider ?
  • Quelles solutions pour s'en protéger ?
  • Paramétrer Outlook contre le spam
  • Sources et ressources
  • Conclusion

Qu'est-ce que le spam ?

Le spam (ou spamming, pourriel, junk email), c'est le fait d'envoyer des messages électroniques le plus souvent par email mais aussi par SMS, généralement dans un but publicitaire ou promotionnel, en général en grand nombre, à des personnes qui ne l'ont pas sollicité.

On considère également comme spam, les messages commerciaux envoyés en grands nombre, le fait d'écrire à une personne pour lui demander d'aller visiter un site web, inscrire une personne à une liste de diffusion sans son accord, ou de poster de la publicité sur des forums.

A cet égard, la CNIL (Commission Nationale Informatique et Liberté) nous donne sa définition : "quelle que soit la nature du message (commerciale, politique, religieuse, etc.), la prospection par e-mail est irrégulière si les personnes concernées n'ont pas exprimé leur consentement à l'occasion d'un contact direct et personnel, à un usage de leur adresse électronique à de telles fins".

Pour avoir une première idée de l'ampleur du phénomène, sachez que chaque jour dans le monde, il est envoyé environ 220 milliards d'emails dont 187 milliards ... de spam, soit 87% du trafic mondial !

D'où vient le terme "spam" ?

A l'origine, SPAM est une marque déposée par une société américaine du même nom qui vendait du corned-beef (contraction de "Spiced Ham", ou jambon épicé), et qui a alimenté l'armée américaine pendant la seconde guerre mondiale. Le terme "spam" a ensuite été adopté par les communautés du web, par analogie. Comme le "Spiced Ham", le spam n'est pas bon, et les utilisateurs du web (les spammés) ne l'aiment pas. Ce qui est amusant, c'est qu'aujourd'hui, la société SPAM se plaint que ses produits soient assimilés au spam électronique et à quelque chose de mauvais.

En quoi est-ce une pollution ?

Si beaucoup parlent de nuisance pour désigner le spam, je préfère clairement employer le terme de pollution. En effet, on estime que l'empreinte carbone de chaque spam est de 0.3 gramme de CO2. Chaque jour, le spam génère environ 55 tonnes de CO2, soit plus de 20 000 000 de tonnes par an. Pour situer, cela représente l'équivalent de 2 millions de fois le tour de la Terre en voiture.

Chaque année, nous perdons 104 milliards d'heures de travail pour lire et supprimer manuellement le spam. Cela représente 4 700 fois le temps qu'il a fallut pour construire le Burj Khalifa à Dubaï. En 2009, le coût du spam avait été estimé à environ 130 millions de dollar.

Si après ça vous continuez à voir le spam comme une simple nuisance ...

Qui sont les plus gros producteurs de spam ?

C'est presque sans surprise que l'on retrouve dans ce classement certains pays en pointe en matière de web. Les chiffres sont des pourcentage du spam mondial généré par an.

  • USA : 21%
  • Chine : 15%
  • Inde : 7%

Sans faire de raccourcis faciles, on constate que ce sont à peu près les mêmes pays qui nous polluent le plus avec leurs émissions de CO2 industrielles. Pollueur un jour, pollueur toujours...

Quels sont les buts des spammeurs ?

L'objectif prioritaire des spammeurs n'est pas de vous vendre un produit miracle, mais de trouver de nouvelles adresses emails valides. Plus ils enrichissent leurs bases de données en adresse email, plus ils ont de chance d'avoir de "nouveaux clients". Pour cela, ils utilisent principalement les outils suivants :

  • des robots qui scannent inlassablement tout le web (sites, newsgroups, forums, etc) à la recherche d'adresses. Dès qu'ils trouvent une chaîne de caractère sous la forme Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser., c’est ajouté à la base de données,
  • des logiciels qui génèrent des adresses email aléatoires puis qui testent leur existence. Si vous cliquez sur le lien de désinscription, cela veut dire que cette adresse existe : adresse ajoutée à la base de donnée !
  • des backdoors, spywares, etc... qui récupèrent le contenu de nos carnets d'adresses.

Comment devient on victime de spam ?

En fait, vous n'avez pas besoin de faire grand chose pour cela. Entre les bons copains qui inscrivent votre adresse email sur un site de blagues douteuses et le mail qui est transféré avec toute une liste de destinataires en clair, il est fort probable que vous vous retrouviez spammé plus ou moins rapidement et à l'insu de votre plein gré. Cependant, certaines actions sur Internet sont plus problématiques que d'autres et peuvent nous nuire assez rapidement :

  • Vous avez demandé à être désabonné suite à la réception d'un spam,
  • Vous utilisez un compte mail chez un fournisseur de messagerie peu rigoureux,
  • Vous êtes inscrit sur MSN, ICQ ou ce genre de système de messageries instantanée,
  • Vous avez donné votre adresse email lors d'un achat sur internet ou en remplissant un formulaire d'inscription,
  • Votre adresse email est indiquée en clair (non cryptée) sur votre site web,
  • Vous avez donné votre adresse email aux moteurs de recherche pour le référencement de votre site web,
  • Vous utilisez Kaaza, eMule ou d'autres logiciels P2P,

Comment spamment-ils ?

Si votre hébergeur refusera de vous laisser envoyer massivement du courriel à partir de son serveur, c'est bien pour protéger les destinataires et pour respecter les lois en vigueur. Généralement, un email est envoyé via le serveur de l'hébergeur vers le serveur de l'hébergeur du destinataire. Il y a donc des contrôles qui sont fait pour tenter de limiter le spam.

Les spammeurs, eux, envoient leur spam depuis.... leurs propres serveurs. Ensuite, il ne leur reste plus qu'à :

  • pirater d'autres serveurs ou des PC clients,
  • envoyer anonymement des virus spammeurs,
  • modifier les headers Internet des mails (les headers indiquent par quels serveurs le mail a transité),
  • mettre une adresse d'émetteur bidon : cest_pas_moi@nom_de_domaine.tld puisque le protocole SMTP le permet,
  • mettre un sujet bidon qui attire le lecteur : my new photos,
  • fractionner les mots pour contourner le filtrage "En-large Your Pen_is in 1 Week!".

Que valent les lois anti-spam ?

Malheureusement, pas grand chose au vu de leur "pseudo-efficacité". Pour un spammeur, il est relativement facile de rester anonyme lors de l'envoi d'un spam en utilisant la permissivité du protocole smtp (smtp, c’est le protocole qui permet d’envoyer des email par internet). Le plus souvent, le professionnel aura installé son activité dans un pays peu regardant et qui le mettra à l'abri des poursuites éventuelles.

La législation Européenne (directive du 12 juillet 2002 sur la Vie privée) oblige à demander l'autorisation des destinataires avant d'envoyer des messages à caractères publicitaires (Opt-in). Si sur le principe l'idée peut sembler bonne, dans les faits, c'est une autre paire de manches. Il suffit au spammeur de vous envoyer un message dans lequel il vous demande de l'autorisez ou non à vous envoyer des messages à caractères publicitaire. Très logiquement, vous répondez que vous ne voulez pas en recevoir. Le spammeur transforme alors votre NON en OUI dans la réponse de votre message. Furieux de recevoir du spam, vous déposez plainte. La justice intervient et demande au spammeur de produire votre autorisation.... dans laquelle il est écrit OUI au spam.

En fait, pour qu'une telle mesure puisse fonctionner, il faudrait installer un certificat numérique sur votre ordinateur qui vous permettrait de signer électroniquement votre message. De plus, on pourrait imaginer que votre demande de refus d'inscription soit envoyée en copie à un organisme indépendant qui stockera votre réponse afin de l'utiliser en cas de besoin en justice.

Le congrès américain a voté le CAN-SPAM Act (Controlling the Assault of Non Sollicited Pornography and Marketing Act) en 2003. Il s’agit de la loi américaine qui régit l’envoi d’emails commerciaux et qui est effective depuis le 1er janvier 2004. Elle institue un droit d’opposition a posteriori à l’envoi d’emails à caractères commerciaux. Cela dit, CAN-SPAM est une loi très controversée. En fait, elle a légalisé une grande partie des pratiques de spam aux USA mais aussi parce qu’elle contredit la législation Européenne votée en 2012. Cette distorsion constitue un frein majeur à la lutte contre le spam au niveau mondial.

Voici un excellent article qui traite du sujet :"United States set to Legalize Spamming on January 1, 2004"
Je ne résiste pas au plaisir de vous livrer un passage que je trouve particulièrement savoureux : "Certains spammeurs prétendent que le CAN-SPAM leur permet non seulement de spammer légalement mais qu'il les protègent en rendant illégal les systèmes anti-spam pour bloquer leurs spams". Oui, vous avez bien lu !

Spammeur un jour, spammeur toujours...

Votre fournisseur d'accès internet peut-il vous aider ?

Mettre en place des filtres anti-spam chez votre FAI est quasi impossible principalement du fait que ce type de filtrage doit être personnalisé au cas par cas.

Là où les FAI ont un rôle à jouer, c'est sur le terrain des DNS (Domain Name Server ou serveur de nom de domaine). La plupart des spammeurs utilisent en général une fausse adresse email rattachée à un nom de domaine inexistant : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
Un premier contrôle au niveau de l'existence du nom de domaine permettrait déjà de limiter une bonne partie du spam.

Si l'on souhaite vraiment aller plus loin, voici la liste des contrôles possibles :

  • Contrôle de type A et MX : l'adresse IP du serveur de courrier de l'expéditeur existe-t-elle dans les DNS ?
  • Contrôle de RBL : l'adresse IP du serveur de courrier de l'expéditeur est-elle dans une liste noire ?
  • Contrôle HELO : le serveur de courrier de l'expéditeur respecte-t-il les conventions SMTP ?
  • Contrôle FQDN MAIL FROM : l'adresse email de l'expéditeur est-elle correctement formé ?
  • Contrôle MAIL FROM : l'adresse email de l'expéditeur correspond t-elle à un domaine internet existant ?
  • Contrôle FQDN RCPT TO : l'adresse email du destinataire est-elle correctement formée ?

Quelles solutions pour s'en protéger ?

A vrai dire, tant qu'il n'y aura pas une vraie culture "anti-spam", une vraie prévention et un vrai arsenal répressif généralisé, il est illusoire de penser que le spam va disparaître. Isolément, il est néanmoins possible de limiter sa réception en suivant quelques conseils de prudence.

Commencez par vérifiez si vous avez, à un moment ou un autre, dans l'un des cas cités dans le paragraphe "Comment devient on victime de spam ?".

En ouvrant un compte gratuit (Gmail, Yahoo, etc) vous constaterez qu'ils appliquent un premier filtrage systématique et placent les messages entrants considérés comme spam dans un dossier réservé à cet effet. Le problème de ce système est qu'il vous oblige à faire un tri pour vérifier si les messages stockés dans ce fameux dossier sont vraiment des spam. Qui plus est, ce type de filtrage peut être reproduit avec la plupart des serveurs de messagerie (IMAP) ou WebMail. L'utilisateur passe au final autant de temps à vérifier ses spam que si il les recevaient dans sa boite de réception.

Encodez l'adresse email avant de l'afficher sur votre site web pour éviter qu'elle ne se fasse récupérer trop facilement. De même ajouter un filtre anti-spam (CAPTCHA, par exemple) à votre formulaire de contact pour limiter l'envoi de spam via ce canal de contact.

Après les précautions élémentaires liées à notre comportement (relisez le paragraphe "Comment devient on victime de spam ?"), il est toujours possible d'utiliser des outils anti-spam qui permettent de filtrer et d'éliminer une bonne partie du spam.

Cela ne fera peut-être pas reculer le niveau de spam mondial car seule votre prudence vous permettra de garder votre adresse email "propre" le plus longtemps possible. Et si vous n'arrivez vraiment pas à vous en débarrasser, il ne vous restera alors plus qu'à changer d'adresse email et à être encore plus prudent à l'avenir.

Paramétrer Outlook contre le spam

Si vous utilisez Microsoft Outlook pour votre messagerie, vous pouvez réduire assez significativement le nombre de spam reçu en créant des règles. Ces règles permettent de traiter automatiquement tout le courrier entrant. Si un email correspond à l'un des critères définis dans une des règles, il sera alors automatiquement supprimé. Par exemple, si un spammeur vous envoie un email avec "Porn Teen" dans la ligne d'objet, vous créez une règle qui supprime tout email qui utilise les mots "Porn" et "Teen" dans la ligne objet.

Les règles sont très flexibles. Vous pouvez en créer pour supprimer des emails, pour les copier ou les déplacer dans des dossiers spécifiques, comme répondeur automatique ou pour les transférer vers d'autres adresses email.

Voici comment créer une règle dans Outlook pour supprimer le spam.

  • Ouvrez Microsoft Outlook Express (si vous utilisez Office Outlook, les étapes sont similaires.)
  • Dans l'onglet "Accueil", positionnez-vous sur un spam.
  • cliquez sur "Règles" pour ouvrir le sous-menu.
    créer une règle anti-spam dans Outlook
  • Dans la fenêtre, cochez les cases "L'objet contient" et "Copier vers le dossier"
    créer une règle anti-spam dans Outlook
  • Cliquez ensuite sur "Options avancées" pour ouvrir une nouvelle fenêtre :
    créer une règle anti-spam dans Outlook
  • Sélectionnez une ou plusieurs règles, une ou plusieurs actions et une ou plusieurs exceptions aux différentes étapes qui suivent.
  • Terminer la règle en lui attribuant un nom. Cliquez sur "Terminer" pour enregistrer votre travail.

Même si cela demande un peu de travail, vous pouvez bloquer beaucoup de spam de cette manière. Je vous conseille également d'affiner régulièrement vos règles en fonction des spam que vous recevez.

Sources et ressources

Conclusion

La lutte contre le spam au niveau mondial ne peut obtenir de résultats réellement probants qu'avec la participation de tous. Malheureusement, les législations actuelles ne sont pas concordantes et pas assez efficaces pour être véritablement crédibles. La lutte anti-spam devrait être intégrée aux politiques globales de sécurité informatique pour être prise au sérieux. C'est encore loin d'être le cas actuellement.


Daniel Dubois

Daniel Dubois

Passionné par le Web depuis 2007, Daniel défend la veuve et l'orphelin du web en créant des sites respectueux du W3C. Fort d'une expérience de plusieurs années, il partage ses connaissances dans un état d'esprit open source.
Très impliqué dans la communauté Joomla depuis 2014, il est actif au sein de plusieurs projets, conférencier et fondateur du JUG Breizh.