La moitié des entreprises françaises considérées comme des spammeurs
Si les listes noires permettent de lutter activement contre le spam, elles intégrent aussi des sociétés ou des organismes qui n’ont rien à se reprocher. Une situation dont il est difficile de se dépêtrer.
Tout le monde est aujourd’hui d’accord pour considérer le spam comme un fléau. A tel point que l’encombrement généré par le spam rend certaines boîtes aux lettres ingérables. D’où l’idée d’utiliser des listes noires. Susceptibles de filtrer les messages indésirables, ces listes se révèlent parfois pires que le mal qu’elles sont censées combattre. C’est le principal enseignement de l’étude réalisée par Frédéric Aoun et Bruno Rasle, deux spécialistes français du phénomène du spamming, qui a été présentée le 18 novembre dans le cadre d’une conférence-débat organisée par la Direction du développement des médias (DDM).
Ainsi, 53 % des entreprises et administrations françaises étudiées se sont retrouvées sur une liste noire publique. Pour leur étude, les deux auteurs ont pris un panel de 72 entités (la quasi-totalité des entreprises du CAC 40, grandes administrations et ministères, fournisseurs d’accès…) qui cumulent 233 adresses IP (les adresses Internet des ordinateurs serveurs de courrier) dont ils ont analysé les mises à l’index dans une vingtaine de listes noires sur une période de 217 jours (du 15 mars au 24 octobre 2004).
Seules 38 sociétés (ou plus exactement leurs serveurs de messageries) ne sont pas apparues dans les blacklists. « Mais nous ne sommes pas certains d’avoir suivi la totalité des serveurs de messagerie utilisés par ces entreprises ». A l’exception notable du BTP et des matériaux de construction (7 entités du panel d’étude), aucun secteur d’activité n’est épargné par le phénomène.
Comment se retrouve-t-on blacklisté
La plus blacklistée des entreprise est un FAI français avec une présence dans 15 des 20 listes noires utilisées et 2 500 heures cumulées de présence, soit plus de la moitié des 4 508 heures. Pour les auteurs de l’étude, qui se gardent de communiquer les noms des entités, « il est probable que ce FAI se soucie peu du filtrage en sortie […] et de sa présence sur les listes ». A titre de comparaison, les autres FAI du panel cumulent 314, 143 et 139 heures. Si le non respect des standards induit une mise en liste noire pour nombre d’entreprises, les autres sont simplement victimes de failles dans leur architecture informatique. Relais ouverts, proxy détournés ou machines vérolés sont l’apanage des spammers.
Mais nombreuses sont les occasions pour une entreprise de voir ses serveurs indexés sur une liste noire alors qu’elle n’a jamais émis un seul spam. La raison la plus fréquente est l’usurpation d’identité (par manipulation des champs From et Reply to du protocole SMTP) exploité par les spammeurs. D’autre part, certaines sources « innoncentes » cohabitent avec une source « accusée » (partage du même serveur, même bloc d’adresses IP, etc.) et se retrouvent blacklistées. Un prestataire fait la promotion de logiciels de spam et se voit automatiquement mis à l’index par certaines listes. Il existe aussi le risque de se faire dénoncer, à tort ou à raison, par des internautes indélicats auprès d’une liste noire. Le plus difficile est alors de sortir de la liste noire.
Quelle efficacité?
Pour cela, il faut d’abord s’assurer avoir été blacklisté. Comment? En le vérifiant manuellement auprès des listes en question… qui n’avertissent pas forcément les « victimes » de leur référencement. Et il existe des dizaines de listes noires. Une fois les listes noires identifiées, il faut comprendre l’origine de la mise à l’index et enfin contacter l’administrateur de la liste pour lui apporter la preuve que l’on n’est pas un spammeur (après avoir vérifié que le système informatique de l’entreprise n’est pas exploité par un spammeur).
Cette tentative de contact peut s’avérer difficile puisque la plupart des organisations (souvent des associations d’internautes) ne communiquent que par l’intermédiaire de leur portail Internet. Et comment fait-on, dans ce cas, pour leur envoyer un e-mail quand on est blacklisté? Selon une étude Clearswift de mars 2004, dans 62 % des cas, il fallait plus d’une journée de travail à une entreprise pour sortir d’une blacklist. Pour 21 % des sondés, il a fallu plus de 5 jours.
Les listes noires peuvent donc être très préjudiciables. D’autant qu’elles ne sont pas toujours très efficaces. Les spammers savent s’adapter et contourner les règles de filtrage (dont l’exploitation des PC « zombies » des internautes qui servent de serveur relais).
Les auteurs de l’étude reconnaissent cependant qu’il est « difficile d’obtenir des chiffres concordants sur l’efficacité réelle » des blacklists. De par la discrétion des FAI notamment. Ces derniers estiment cependant que ces techniques de filtrage allègent considérablement leurs infrastructures. Et les blacklists ont, par le passé, été « l’un des seuls remparts contre le spam et ont permis à l’infrastructure Internet de résister ». Il est temps, cependant, de trouver des solutions plus efficaces. L’Internet Engineering Task Force (IETF), notamment, y travaille (voir édition du 14 septembre 2004).