[ Yolin | 2004 | Sommaire ]

1.4.2.9.6. La nécessité d'employer des moyens beaucoup plus sophistiqués pour se protéger

Il a donc fallu passer à des systèmes beaucoup plus sophistiqués faisant appel à l'intelligence artificielle qui procèdent à une analyse structurelle fine et en tirent une "signature numérique" permettant de reconnaître un spam même s'il a subi des modifications.

Ce sont des systèmes qui fonctionnent par auto apprentissage : il faut leur donner chaque jour à analyser les spam qu'ils ont laissé passer ainsi que les faux positifs pour qu'ils apprennent à les reconnaître. Il faut donc une communauté nombreuse et disciplinée pour que ce système fonctionne efficacement

Une formule préconisée par Michel Lo de l'Isoc est de filtrer en deux niveaux : au niveau du serveur, un filtre commun sur tous les emails transitant et permettant de marqer les emails par du scoring (type spamassassin) ou une probabilité (filtres bayesiens), mais sans aucune élimination des messages : il y a caractérisation sans élimination. Ce filtre se base sur un échantillon commun à tous ceux qui partagent le service.

Ensuite, au niveau de chaque utilisateur, les emails passent par un filtre personnel fonctionnant en auto-apprentissage alimenté par un tri manuel catégorisant les mails reçus en spam et non spam. Paul Graham, lors de la conférence contre le spam de 2003
http://spamconference.org/proceedings2003.html explique qu'il faut une base de 4000 bons emails et autant de spams pour pouvoir obtenir une bonne fiabilité


Bien entendu ces filtres ont un comportement "normand" : il est rare qu'ils répondent oui ou non : c'est toujours "peut être que oui, peut être bien que non" à 99%, 95%, 50%,...1%. C'est donc à vous de choisir l'équilibre entre les risques de faux positifs et de faux négatif, avec la possibilité d'une classe intermédiaire de "suspects" qui devra être triée à la main ...

Le réseau des anciens de l'Ecole Polytechnique durant l'été a éliminé 84% des spam sur 100.000 mails traités grâce au logiciel bogofilter (avec un réglage excluant quasiment tous les faux positifs)

L'Inria annonce des scores supérieurs à 90% avec SpamOracle, spamassassin revendique des scores voisins...

Ces scores se dégradent cependant parfois très vite avec l'évolution des techniques de spam et ils omettent souvent de compter les bounces de retrospam qu'ils reçoivent dans le décompte!


La garantie de traçabilité : Il serait toutefois possible d'améliorer significativement ces résultats en durcissant fortement les critères de tri mais en acceptant en contrepartie tous les mails dont un tiers de confiance garantirait qu'en cas d'intervention de la justice on pourrait remonter sans ambiguité à l'émetteur réel

"Le principe est de faire en sorte que l'on puisse garantir l'origine d'un email.

C'est déjà le cas avec la signature électronique, mais celle-ci est onéreuse car elle garantit l'dentité de l'émetteur, l'intégrité du message et peut en outre assurer le cryptage des échanges : tout ceci n'est pas nécessaire car ici l'assurance dont on a besoin est qu'en cas d'intervention de la justice il soit possible d'identifier l'auteur avec certitude

Le cout d'un tel service pourrait être de l'ordre de 10/an" Michel Lo, administrateur de l'Isoc.


Il convient déjà de protéger les sites des robots récolteurs d'adresse (harvesters), d'autant plus que les gestionnaires des sites sont responsables juridiquement. La méthode à ce jour le plus efficace est de crypter ces adresses: elles restent visibles par un navigateur mais ne le sont pas par la génération actuelle des robots "harvesters" voir un exemple d'utilisation de l'outil de cryptage mis à disposition par la CNIL http://www.yolin.net/test_cryptage_adresse.html

Selon Nigel Barnett, professeur à l'INT, le cout du SPAM (temps perdu, surinvesitissement en bande passante et en volume de stockage pour les boites aux lettre) s'élève à 168$ par poste de travail. La mise en place d'outils antispam ne coute en comparaison que 68$ (6$ pour les licences logicielles, 12$ pour leur exploitation et 50$ pour les faux positifs (courriers perdus) (spamforum www.spamforumparis.org le 3 nov 2003)


Par ailleurs la nouvelle génération de virus conduit à recommander que tout ordinateur connecté à Internet soit doté, outre d'un antivirus mis à jour en permanence (un virus es surtout dangereux pendant les 3 premiers jours de son existence), d'un firewall afin d'éviter qu'un virus autorise un pirate à prendre le contrôle de la machine et s'en serve comme d'un émetteur de SPAM

Search AdmiNet : options
Copyright. ©2003 AdmiNet. All rights reserved
Designed by Lili K & Veblog - Partners : fr be by
URL : http://www.evariste.org/yolin/2004/1-4-2-9-6.html
Top of page
Feedback
(Last update : Tue, 6 Jan 2004)