L’évolution du spam

Le spam (publicité non sollicitée envoyée en masse via e-mail) a fait son apparition pour la première fois au milieu des années 1990, c’est-à-dire dès que suffisamment de gens ont commencé à utiliser les e-mails pour en faire un média rentable. A partir de 1997, le spam a été considéré comme problématique et la Real-Time Black List (RBL), ou liste noire, est apparue cette même année.

Le développement des techniques de spammeurs

Les techniques des spammeurs ont évolué face à l’amélioration constante des filtres. Dès que les sociétés de sécurité développent des filtres efficaces, les spammeurs changent leurs tactiques pour les contourner. On tombe dans un cercle vicieux où les spammeurs réinvestissent leurs profits dans le développement de nouvelles techniques pour leurrer les filtres de spam.

Mailing direct
A l’origine, le spam était envoyé directement aux utilisateurs. En fait, les spammeurs n’avaient même pas besoin de déguiser l’information concernant l’expéditeur. Ce spam était facile à bloquer : il suffisait de mettre sur liste noire l’expéditeur en question ou l’adresse IP utilisée. En guise de contre-attaque, les spammeurs ont commencé à masquer les adresses d’expéditeurs (techniques du spoofing, par exemple).

Serveur Relais Ouvert (Open Relay)
Au milieu des années 1990, tous les serveurs de messagerie était en relais ouvert – tout expéditeur pouvait envoyer un e-mail à n’importe quel destinataire. Les spams et autres problèmes liés à la sécurité ont conduit les administrateurs à reconfigurer les serveurs de messagerie dans le monde entier. Mais le processus s’est révélé relativement long, et les propriétaires de serveurs de messagerie et administrateurs n’étaient pas tous prêts à coopérer. Une fois la procédure engagée, les spécialistes de la sécurité ont scanné les réseaux à la recherche des serveurs relais ouverts restants. Les listes noires ont été mises à la disposition des administrateurs soucieux de bloquer les e-mails en provenance de serveurs listés. Par ailleurs, les serveurs relais ouverts sont encore de nos jours utilisés pour le mailing de masse.

Pool de Modem
Sitôt que l’envoi de spams par relais ouvert est devenu moins efficace, les spammeurs s’en sont remis aux connections dial-up. Ils exploitaient la façon dont les fournisseurs d’accès à Internet (ISP) structuraient leurs services dial-up et utilisaient les faiblesses du système :

Par définition, un serveur de messagerie ISP fait suivre les messages entrants en provenance de clients.

  • Les connections dial-up sont supportées par des adresses IP dynamiques. Les spammeurs peuvent alors utiliser une nouvelle adresse IP pour chaque session de mailing.
  • Pour contrer les combines des spammeurs, les fournisseurs ISP ont commencé à limiter le nombre d’e-mails qu’un utilisateur peut envoyer lors d’une session. Des listes d’adresses dial-up suspectes, et des filtres bloquants les mails en provenance de ces adresses, ont commencé à fleurir sur Internet.

Serveurs Proxy
Le nouveau millénaire a vu les spammeurs passer aux connections Internet haut débit et exploiter les vulnérabilités du hardware. Les connections câble et ADSL ont permis aux spammeurs d’envoyer des e-mails en masse rapidement et à moindre frais. En plus de cela, les spammeurs ont rapidement découverts que la plupart des modems ADSL avaient des serveurs socks intégrés ou des serveurs proxy http. Ces derniers sont de simples utilitaires qui divisent un canal Internet entre des ordinateurs multiples. La principale caractéristique était que n’importe qui, de n’importe où dans le monde, pouvait avoir accès à ces serveurs puisqu’ils étaient démunis de toute protection. En d’autres termes, les utilisateurs malveillants pouvaient utiliser les connections ADSL de personnes tierces pour faire ce qu’ils voulaient, y compris bien sûr envoyer du spam. De plus, le spam semblait avoir été envoyé depuis l’adresse IP de la victime. Étant donné que des millions de personnes dans le monde avaient ce type de connexion, les spammeurs ont pu s’en donner à cœur joie avant que les développeurs de hardware commencent à sécuriser leurs équipements.