Je suis tombé sur un billet de blogue de Virus Bulletin aujourd’hui, expliquant que les solutions anti-pourriel affichaient des taux de détection de pourriels significativement plus faibles [dans leur dernier test] que dans d’autres tests récents. Pour expliquer cette baisse, Virus Bulletin a émis l’hypothèse que les spammeurs font un meilleur travail pour éviter les listes noires.

Cela m’a rappelé un billet de blogue de John Levine, expliquant pourquoi IPv6 causera encore plus de tort aux listes noires DNS (DNSBL). Nous avons également remarqué une forte baisse du taux de capture sur les listes noires, signalée il y a quelques semaines par notre équipe anti-pourriel ici chez Vircom. Et soudain, j’ai eu une révélation : se fier au filtrage DNSBL ne peut tout simplement pas fonctionner! Ou plutôt, cela pourrait fonctionner maintenant, mais pour combien de temps?

Laissez-moi vous expliquer comment cela fonctionne. Un éditeur de DNSBL recueille les adresses IP des spammeurs en créant des honeypots – des adresses électroniques juteuses – et attend qu’elles soient spammées. Lorsque cela se produit, l’adresse IP de l’expéditeur est identifiée et le serveur de la liste noire commence à crier CETTE IP EST UN SPAMMEUR! et tous les filtres anti-pourriel qui l’écoutent commencent à le bloquer. Cela fonctionnait extrêmement bien lorsque quelques IP envoyaient d’énormes quantités de pourriels.

Il y a quelques années encore, lorsque les polluposteurs ont commencé à utiliser des réseaux de zombies pour envoyer leurs messages à partir d’un grand nombre d’adresses IP différentes, les DNSBL se sont adaptées et ont maintenu un taux de capture élevé. Selon Levine, le taux était d’environ 80%, et jusqu’à 90% selon les experts de Vircom.

De nos jours, on a l’impression que la plupart de l’industrie anti-pourriel s’appuie sur le filtrage DNSBL et considère l’importance du filtrage de contenu comme secondaire. Et il y a de bonnes raisons à cette situation :

Le filtrage DNSBL est suffisant

Les entreprises anti-pourriel n’ont aucun intérêt à filtrer le contenu parce qu’il nécessite de lourds investissements en R-D, alors que la recette de la DNSBL est bien connue.

Les administrateurs informatiques ne s’intéressent pas au filtrage de contenu parce qu’il nécessite du matériel puissant et coûteux, alors que les DNSBL n’en ont pas.

Les utilisateurs finaux n’ont aucun intérêt à filtrer le contenu, car cela signifie généralement une quarantaine à gérer, tandis que les DNSBL ne stockent pas les messages bloqués.

Donc, tout le monde, sauf les spammeurs, devrait être satisfait de la situation actuelle, et nous ne pouvons qu’espérer que cela restera ainsi le plus longtemps possible. Mais je ne peux m’empêcher de voir venir des nuages noirs, principalement parce que l’efficacité de la liste noire repose sur deux hypothèses – qui pourraient s’avérer fausses dans un avenir proche.

Premièrement, les DNSBL nécessitent l’envoi d’un grand volume de pourriels. C’est logique : un spammeur qui cible 10 000 adresses électroniques soigneusement sélectionnées a beaucoup moins de chances d’atteindre un honeypot DNSBL qu’un autre qui cible 10 millions d’adresses électroniques. Donc, si le volume de pourriels diminue, l’efficacité des DNSBL diminuera très probablement également. Il s’agit d’un problème sérieux étant donné que les experts anti-pourriel de Vircom ont signalé que le trafic quotidien sur leurs pots de miel a chuté de 90% au cours des dernières années, et que d’autres acteurs majeurs comme Cisco et M86 ont signalé les mêmes tendances avec des baisses respectives de 60% au cours des 18 derniers mois et de 50% au cours des 10 derniers mois.

Deuxièmement, les DNSBL reposent sur les mêmes adresses IP utilisées pour envoyer plusieurs messages chacun. Si un spammeur n’envoyait qu’un seul message à partir de son adresse IP, le mettre sur liste noire ne serait pas si utile. Mais, comme le décrit Levine, avec IPv6 à venir et les fournisseurs de services Internet allouant des plages d’IPv6 à leurs utilisateurs finaux, un zombie de botnet IPv6 peut être en mesure d’utiliser une adresse IP différente pour chaque pourriel qu’il envoie. Spamhaus, le plus grand joueur de RBL, a déjà reconnu cette menace et a expliqué que si les listes de blocage basées sur DNS sont aujourd’hui les chevaux de bataille du monde du filtrage des pourriels, […] à l’avenir, sous IPv6, Spamhaus considère les listes de blocage basées sur DNS comme faisant partie d’un système de vérifications plus sophistiqué.

Éventuellement, les DNSBL pourraient être victimes de leur succès. Leur efficacité, combinée aux récentes actions en justice spectaculaires contre les principaux botnets (comme le botnet Rustock l’année dernière), a rendu le spam traditionnel d’achat de Viagra moins rentable et plus risqué. Aujourd’hui, si je devais rejoindre le « côté obscur », je préférerais probablement un modèle d’affaires basé sur le spear phishing : ne choisir que quelques milliers de cibles soigneusement sélectionnées, envoyer des messages hautement personnalisés avec une forte probabilité d’arriver dans les boîtes de réception des utilisateurs et une plus grande chance de convaincre mes victimes de faire ce que je veux qu’elles fassent.

Et ce sentiment qu’il y a moins d’escroqueries mais de plus en plus dangereuses a été confirmé par quelques expériences récentes que j’ai eues avec des tentatives d’hameçonnage.

En février dernier, un message d’expiration de l’inscription est arrivé directement dans ma boîte de réception. Il était rédigé en anglais approprié et contenait des informations personnelles sur moi (mon nom, mon adresse personnelle, mon numéro de téléphone) tout en faisant référence à un domaine que je possède, me demandant de payer 75 $ pour renouveler mes services d’optimisation des moteurs de recherche. J’ai dû lire attentivement le message avant de l’identifier comme une arnaque. Son expéditeur a simplement recueilli les informations du domaine Whois que j’ai oublié de rendre privées. C’était simple, mais vraiment efficace. Je me demande combien de personnes sont tombées dans ce piège?

Quelques mois auparavant, mon père, qui loue une maison de vacances dans le sud de la France, a reçu un courrier assez générique d’un touriste sud-africain potentiel qui était prêt à louer sa maison pour tout l’été. C’était une demande inhabituelle, mais mon père a accepté, à condition que le client paie une partie du loyer à l’avance. Après quelques courriels, le client a expliqué que sa banque n’autoriserait pas le transfert d’argent à moins que mon père ne paie d’abord les frais de transaction, qui étaient aussi bas qu’un tiers du loyer total! C’est à ce moment-là que je me suis impliqué. Les courriels ont été envoyés à l’aide d’une adresse électronique slovaque. L’adresse physique de l’expéditeur était en Afrique du Sud, tandis que le numéro de téléphone était de Côte d’Ivoire. La banque était ghanéenne, mais son adresse était à nouveau à Abidjan, en Côte d’Ivoire. Il n’a pas fallu longtemps pour comprendre qu’il s’agissait d’une tentative d’hameçonnage, ciblant spécifiquement les propriétaires de maisons de vacances en France.

Ces tentatives d’hameçonnage, les plus efficaces que j’ai vues depuis un certain temps, mettent en évidence les faiblesses du filtrage DNSBL. Je suppose que ces messages n’ont pas été envoyés à des millions de destinataires et qu’aucune des DNSBL qui protègent la boîte de réception de mon père ou la mienne ne les a jamais vus. Ces messages soulignent également les défis auxquels sont confrontés les filtres de contenu pour différencier les escroqueries des messages légitimes. Maintenant, je me demande combien de temps l’industrie anti-pourriel considérera le filtrage DNSBL comme la solution la plus efficace que nous puissions espérer, et que le blocage de 99,9% des pourriels est suffisant, tandis que les 0,1% qui passent sont beaucoup plus dangereux que les trucs habituels ennuyeux mais inoffensifs d’achat de Viagra.

Ou peut-être que mon expérience n’est pas représentative et que vous ne partagez pas la même impression sur l’avenir du filtrage des courriels? Je serais vraiment curieux de lire vos commentaires sur vos propres expériences!