Accédez à nos cours concernant des domaines et thématiques différentes. Vous pouvez aussi contribuer en rédigeant des articles.
Consulter les coursParcourez notre annuaire d’écoles, instituts et universités du monde. Si votre école n’est pas listée, vous pouvez l’ajouter très facilement.
Consulter les écolesAccédez à notre messagerie instantanée pour échanger avec d’autres membres inscrits et aussi les invités. Aucune inscription n’est obligatoire.
Accéder au tchat“Le présent article n'a pas encore été revu par un modérateur, pour cela veuillez faire attention quant à son contenu, que nous ne pouvons pas vous garantir son exactitude.”
Spam avec Emailing de Masse : Le spam est un problème sans cesse croissant et de récentes études montrent qu'il représente environ 50% de tous les emails. Les spammers examinent simplement les dernières techniques anti-spam pour les contourner et continuer à inonder les messageries. Trois types d'astuces sont utilisés : le déguisement des mots suspects, l'insertion de termes corrects ou innocents et le maquillage des URLs.
Afin de cacher les termes qui pourraient cataloguer les emails comme spam et les envoyer à la corbeille, les spammers font en sorte de rendre des mots tels que prozac inintelligibles pour un logiciel mais parfaitement lisible pour un humain. Pour cela ils peuvent utiliser plusieurs techniques tel qu'insérer des espaces entre les caractères :
P R O Z A C
Mettre d'autres caractères à la place de ces espaces :
P.R.O.Z.A.C
Y rajouter de nouveau des espaces ou caractères :
P . R . O . Z . A . C
Mais il est simple pour un filtre anti-spam de détecter un pattern lettre-caractère-lettre-caractère-lettre ou lettre-caractère-caractère-caractère-lettre-caractère-caractère-caractère-lettre et de voir que son véritable sujet est le prozac. Les spammers ont alors décidé de toucher aux lettres même des mots détectés. La table ASCII contient une grande quantité de voyelles accentuées qui permettent de travestir un mot :
PROZÁC
PRÒZAC
Bien sûr, un filtre anti-spam peut tout à fait reconstituer le mot suspect original en restituant la, ou les, voyelle incriminée.
Les techniques énoncées précédemment étant facilement détectées, les spammers se tournent donc vers le html avec comme premier exemple l'utilisation d'entités HTML commençant par &#. Avec le codage HTML, un A s'écrira a mais vous verrez un A et non le code HTML. Encore une fois les filtres anti-spam savent maintenant convertir le codage HTML et détecter les termes suspects. Cependant d'autres caractéristiques de formatage HTML permettent également de déguiser les mots, comme l'insertion de commentaires afin de décomposer les mots suspects :
P<!--ceci-->R<!--est-->O<!--une-->Z<!--technique-->A<!--connue-->C
Ce texte apparaîtra sans les commentaires sous n'importe quel client email interprétant le HTML et les filtres anti-spam n'interprétant pas le HTML seront trompés. Cette astuce étant connue, les bons filtres anti-spam retirent automatiquement tous les commentaires avant de rechercher des mots suspectés. Les spammers peuvent aussi utiliser de fausses balises pour découper leurs mots (les balises n'étant pas correctes, elles ne seront pas prises en compte par le client email du destinataire) :
P<ceci>R</est>O<une>Z</technique>A<connue>C</aussi>
Ces deux astuces étaient très populaires mais sont moins utilisées dorénavant car détectées par la plupart des filtres anti-spam. Fractionner les mots étant la technique favorite des spammers, d'autres techniques viennent ensuite comme l'insertion d'espace nuls :
P<font size=0>nbsp;</font>R<font size=0>nbsp;</font>O<font size=0>
nbsp;</font>Z<font size=0>nbsp;</font>A<font size=0>nbsp;</font>C
Ou l'insertion de micro-caractères de taille 1 au milieu des mots :
P<font size=1>,</font>ROZAC
La méthode la plus vicieuse est sûrement l'utilisation d'un tableau HTML, composé uniquement de colonnes, avec des bords transparents :
<table border="0">
<tr>
<td width="10">P<br>G</td>
<td width="10">R<br>R</td>
<td width="10">O<br>A</td>
<td width="10">Z<br>T</td>
<td width="10">A<br>U</td>
<td width="10">C<br>I</td>
<td width="10"><br>T</td>
</tr>
</table>
Donnant :
PROZAC
GRATUIT
Les filtres anti-spam sont en général complétement floués par cette technique qui possède de nombreuses variantes, ne lisant pas le texte de haut en bas mais de gauche à droite. Les filtres anti-spam doivent donc non seulement prendre en compte les commentaires, comment la taille des polices est précisée et si des tables suspectes sont employées.
Les filtres anti-spam possèdent une liste de mots dits "corrects" qui sont comme des clefs vers votre boîte email. Les spammers, après avoir maquillés les mots suspects, vont donc tenter d'insérer des mots corrects afin de favoriser le transite du message. Bien sûr ces mots ne sont pas censés être vu par le destinataire donc le spammer les dissimulera à l'aide de plusieurs technique telles que l'insertion de mots corrects en utilisant une couleur de police étant la même que le fond (en reprenant l'astuce des micro-caractères pour le mot suspect) :
<body bgcolor=white>
<font color=white>Voici la technique la plus connue, une sorte d'encre invisible</font><br>P<font size=1>,</font>ROZAC
</body>
Une autre manière d'utiliser les couleurs consiste à utiliser une couleur très proche de celle du fond afin de se rendre plus difficile à détecter (ici le texte innocent s'affichera en gris très clair sur du blanc) :
<body bgcolor=white>
<font color="#CCCCCC">Voilà que mon message est rendu quasiment invisible</font><br>P<font size=1>,</font>ROZAC
</body>
Les filtres anti-spam peuvent parer cette technique en calculant la similarité entre le fond et le texte.
L'insertion d'actualités dans des chevrons HTML est aussi prisée par les pirates, espérant que l'allusion à une actualité trompe l'anti-spam :
<La Convention démocrate est le premier événement politique américain pour lequel des bloggers ont été accrédités aux côtés des journalistes traditionnels. Une marque de reconnaissance pour ces micro-médias à l'importance grandissante>
Les balises HTML title étant ignorées par les clients emails, ça devient une autre façon d'insérer des mots corrects :
<title>Voilà qui est simple, tu ne trouves pas ?</title>
La balise de texte défilant est une autre alternative pour le spammer. En plaçant le texte défilant dans un carré de seulement quelques pixels, celui-ci sera invisible aux yeux du destinataire :
<marquee bgcolor="white" height="8" width ="4">Voici un texte bien innocent qui conviendrait bien à plusieurs logiciels anti-spam</marquee>
Enfin la dernière astuce reprend l'idée de la police minuscule de taille 1 (ici la taille de la police est combinée à l'astuce consistant à mettre une couleur ressemblant à celle du fond) :
<font size="1" color="#CCCCCC">Encore beaucoup de choses bien innocentes</font>
Les sites sponsors de ces spams sont bien souvent dans des listes noires tenues par les filtres anti-spam, il est alors normal que les spammers tentent de brouiller les adresses de ces sites Internet. Les URLs sont généralement sous une forme lisible du type http://www.site-spammeur.org/ mais d'autres formes sont aussi correctes (exemples en hexadécimal et en nombres en octal avec le site yahoo.com) :
http://0xD86D7643/
http://0330.0155.0166.0103/
Pour parer cela, tout filtre anti-spam doit savoir décoder ces adresses. Les spammers utilisent de la même manière la syntaxe http://nom-utilisateur@domaine/, intégrant un nom d'utilisateur fictif. Cette technique est quasi transparente pour l'utilisateur :
http://www.site-spammeur.org@3631052355/
L'adresse mènera en fait sur 3631052355 qui est l'IP de Yahoo.com codée comme un simple nombre décimal, le nom d'utilisateur www.site-spammeur.org sera totalement ignoré. Pareillement, il y a une faille de sécurité (réf.: MS04-004) dans la manière dont Internet Explorer affiche les URLs dans la barre d'adresse. Cette faille, ayant fait l'objet d'un patch, permet aux spammers de rendre l'URL totalement anodine :
<a href=http://www.site-spammeur.org%00@3631052355/>site-spammeur.org</a>
Le %00 camoufle entièrement l'URL en utilisant un login avec bug et une vulnérabilité logicielle.
Les autres méthodes ne suffisant pas à la panoplie des spammers, ceux-ci utilise également le JavaScript pour rendre leurs spams encore plus difficiles à détecter. Le spam peut alors être entièrement contenu dans une variable qui se décode uniquement à l'ouverture du message. Une astuce plus simple et très répandue consiste à changer tout simplement le texte s'affichant dans la barre d'état :
<a href="http://www.site-spammeur.org@3631052355/" onmouseover="window.status=http://www.site-spammeur.org/remove.htm; return true;" onmouseout="window.status=; return true;">Retirez-moi de votre mailing liste</a>
 |
|
