IronPort identifie des nouvelles techniques adoptées par les spammeurs. Le spam « lien-image » et le spam PDF contournent les filtres classiques.


IronPort,  fournisseur majeur d'appliances anti-spam, anti-virus et anti-spyware pour les erntreprises, a identifié ces dernières  semaines  deux nouvelles techniques courantes des spammeurs pour contourner les filtres anti-spam.


Le spam « lien image » représente déjà 4% du du spam mondial !


Une  étude récente effectuée par IronPort aux Etats-Unis indique qu'environ 1/3  des  spams  envoyés  aujourd'hui  dans  le  monde  sont du spam image. Cependant,  si  cette  proportion  est  très  importante, elle a tendance à stagner ces derniers mois, pour faire place à de nouvelles techniques..


Une  récente  innovation  majeure  des  spammeurs,  dont  les prémices sont apparues  en  mai  de  cette  année  est le spam "lien-image". Dans ce type d'attaques,  le  spam  est constitué d'e-mails contenant uniquement un lien web,  ce  lien renvoyant vers une image stockée sur un domaine classique de stockage  d'images en ligne. Les listes noires de domaines ne sont donc pas efficaces pour bloquer ce type de spam.


«  Le  spam lien-image représente d'ores et déjà 4% du spam total émis dans le  monde  »,  indique Sébastien Commérot, responsable marketing d'IronPort pour  l'Europe  du  Sud.  «  Les  solutions à base de signatures ne peuvent bloquer ce type de spam car il ne contient qu'un lien Web. La mise en liste noire  du  domaine  du  lien  Web  n'est  pas  non  plus  la solution : les utilisateurs  souhaitant accéder à des pages légitimes seraient bloqués. La parade  face  à  ce  type  de  spam est de mettre en place des solutions de défense anti-spam reposant sur l'évaluation de la réputation de la page Web consultée», ajoute-t-il.


Le spam PDF, l'une des plus importantes attaques de spam en 2007


La  toute  dernière  innovation  des  spammeurs est le spam PDF. Lors d'une attaque  spam  de  ce  type,  le message envoyé par le spammeur ne contient qu'un fichier PDF. L'image ou le texte destiné à générer une action chez le destinataire  ne  sont  plus  situés  dans le corps du message mais dans un fichier attaché au format PDF.


«  Le  spam  PDF  est  impossible  à  arrêter pour les filtres anti-spam de première  génération, à moins de bloquer tout les PDF à l'entrée du réseau, ce  qui  ne manquerait pas de causer des problèmes plus ou moins importants pour les utilisateurs», commente Sébastien Commérot.


La  première  attaque  majeure  de  ce type a été l'attaque portant sur les actions  de  la  société  allemande  Talktech Telemedia, dont les cours ont augmenté  de  20%  suite à ce spam. Le PDF se présentait sous la forme d'un rapport  d'expert en investissements, et préconisait l'achat de l'action de la  société  allemande  concernée. Cette attaque a représenté jusqu'à 9% du trafic  e-mail mondial, soit plus de 5 milliards de messages envoyés par 75 000 zombies répartis dans différents pays, Etats-Unis, Espagne et Allemagne en-tête. Les cibles de l'attaque étaient majoritairement situées en Europe.


«  Les  filtres  IronPort  bloquent  dans  un premier temps la majorité des messages  contenant les PDF en se basant sur la note de réputation négative des  adresses  IP  les  envoyant  »,  ajoute Sébastien Commérot. « Pour les messages  récalcitrants,  par  exemple  des zombies qui auraient encore une réputation  positive,  notre  moteur  d'analyse contextuelle fait le reste. IronPort  Anti-Spam  va  dans un premier temps reconnaître les traces de la conception  du  message  par  un  spamware,  puis va analyser le contenu du fichier PDF lui-même. Enfin, grâce à nos sondes réparties sur Internet nous sommes capables d'analyser les différentes attaques en cours et par là même en déduire le nom du fichier PDF à bloquer. »


A propos d'IronPort Systems


IronPort Systems, division de Cisco, est un fournisseur majeur d'appliances anti-spam, anti-virus et anti-spyware s'adressant aux entreprises de toutes tailles,  depuis  les  PME  jusqu'aux  plus  grandes  multinationales.  Les appliances IronPort s'appuient sur SenderBase, le plus vaste réseau mondial de  détection  des  menaces  pour  les messageries électroniques et le Web. Caractérisés  par  leur  innovation,  leur  facilité d'utilisation et leurs performances  de pointe, les produits d'IronPort jouent un rôle stratégique au  sein  de  l'infrastructure réseau d'une entreprise.