Le spam, courrier électronique commercial, financier, politique, religieux ou pornographique non sollicité provenant d'une société inconnue est en train de tuer internet. Depuis cinq ans, le volume de courriers publicitaires croît à une vitesse extravagante, dépassant pour la première fois le seuil des 50% du total des mails échangés en mai 2003.
Le spam est devenu le principal frein à l’utilisation d’internet et de la messagerie électronique, de par le temps perdu et des coûts engendré toujours plus importants. Autrefois espace de liberté, le web représente désormais un pan entier de l’économie libérale, synonyme de bénéfices importants et attirant une nouvelle forme de criminalité. Le spam, à la croisée entre monde publicitaire et hacking, en est une parfaite illustration.
Etats, gouvernements et acteurs de la société civile tentent timidement d’y apporter des solutions, votant des lois sans conviction, créant des commissions sans résultats et encourageant des associations sans réel pouvoir. Il est temps que cela cesse. Internet est définitivement en danger.
Un business rentable
En 2003, le spam est devenu un véritable modèle économique. En moyenne, chaque internaute reçoit aujourd’hui 10 spams par jour s’il est américain, 5 s’il est africain ou européen, 6 s’il est asiatique ou 2 s’il est originaire d’Amérique du Sud. En 2008, le cabinet Frank N. Magrid & Associates prévoit respectivement 41, 30, 31 et 11 mails par internaute et par jour. On comprend par ces simples chiffres l’ampleur du fléau à venir.
Le spam touche toute personne privée, particulièrement si elle n’est pas habituée à cette nouvelle forme de publicité, mais également toute entreprise disposant d’un accès à internet. Autant dire toutes les entreprises. Depuis cinq ans, l’ensemble du tissu industriel des pays les plus avancés s’est adapté aux exigences d’internet, lançant sites web et autres webservices dans l’espoir de profiter du formidable boom de la e-communication et des alléchantes perspectives de développement liées à l’e-commerce. Chaque entreprise est donc devenue accessible, et par-là même friable : Ferris Research estimait récemment à quatre milliards de dollars la perte de productivité des entreprises consécutive au spam en 2003. La menace est donc bien présente.
La principale raison de l’explosion du spam est son faible coût. Sur des centaines de milliers de messages envoyés, même un faible pourcentage de clic sur le lien menant au site visé crée de la richesse. Les spammeurs utilisent différentes techniques de récupération d’adresses mail valides : que ce soit en aspirant les adresses sur le web (par exemple grâce au logiciel Email Spider Easy), en les générant de manière aléatoire (Email Generateur), en achetant des bases de données sur CD-Rom (2 millions d’adresses pour 100€) ou en rachetant les emails de prospects d’une société, le coût reste minime[1].
Selon l’ASRG (Anti-Spam Research Group) américain, les spammeurs peuvent être divisés en plusieurs catégories : spammeurs occasionnels (envoi intempestif de newsletters), spammeurs habitués (envoi massif par client classique), spammeurs de petite envergure (utilisation de logiciels de spam), spammeurs hackers (développement de logiciels) et spammeurs de grande envergure (artistes du spam). Signe de la professionnalisation de la discipline, environ 200 personnes appartenant aux deux dernières catégories seraient à l’origine de 90% du spam sur internet.
Mais, s’il est facile de constater la menace, il est bien plus compliqué d’en comprendre la provenance. Fin 2002, la CNIL (Commission Nationale de l’Informatique et des Libertés) éditait un livre blanc dans lequel elle mettait en avant l’origine et les différentes formes utilisées par le spam en France et dans le monde. Concernant le contenu des messages, on peut constater sans surprise que les messages à caractère pornographique sont loin devant, avec près de 42% des spams échangés (55% pour les spams en français). Ensuite viennent les produits financiers (40%) et la santé (19%). En France l’ordre est légèrement différent, ceci dû à des réglementations bien plus laxistes aux Etats-Unis et à des différentes habitudes de consommation. Mais le cœur du problème réside dans la langue du spam.
L’étude nous apprend que 85% des spams sont aujourd’hui rédigés en langue anglais, 7% en français. Ce fossé, même s’il est à relativiser avec les 80% de contenus présents en anglais sur le web, est particulièrement inquiétant. Plus qu’un business rentable, le spam deviendrait-il un outil de parasitage de l’information au service des pays anglo-saxons ? Sans abonder dans le sens des thèses les plus conspirationnistes, la question doit aussi se poser en terme de maîtrise de l’information et donc, de puissance.
Une activité devenue criminelle
Le Spam est devenu une activité criminelle à plein temps. Au fil des années, les professionnels du spam ont appris à lutter contre les antivirus ou antispams et à éviter de se faire repérer. De plus en plus de spammeurs profitent même des multiples virus lancés sur le réseau pour orchestrer de véritables campagnes publicitaires à distance, depuis les ordinateurs contaminés.
Le meilleur exemple de ce renouveau reste le virus Sobig. Lancé pendant l’été dernier (32.432.730 interception du virus en 2003[2]), il a réussi à infecter des millions de postes par email. Une fois dans l’ordinateur, il récupérait les adresses emails dans le carnet d’adresses du client mail et leur envoyait une réplique du virus, en prenant soin de placer dans le champ expéditeur une des adresses trouvées au hasard. De très nombreuses personnes se sont ainsi retrouvées accusé d’avoir véhiculé le virus. On imagine les conséquences dramatiques causées dans le cadre de relations professionnelles. Fin janvier, le virus MyDoom sévissait à son tour. Reprenant la même fonctionnalité, il en profitait pour installer des « backdoors » (failles permettant au hacker de s’introduire dans le poste) et un véritable serveur de spam. Le poste infecté devenait alors propagateur de mails à son insu.
La dernière tendance apparue concerne la pratique dite de phishing. La technique consiste à exploiter la crédulité des internautes en "lançant un filet", le plus souvent via un envoi massif de mails non sollicités, afin de rabattre des internautes vers de faux sites web bancaires ou d'achat en ligne. Plusieurs centaines de millions de mails de ce type ont été envoyés l’année dernière, à tel point que l’Internet Crime Complaint Center (partenaire du FBI) a pu remonter jusqu’en Roumanie où sont issues des milliers de fraudes. Le phising est aujourd’hui pris particulièrement au sérieux par les services de police du monde entier[3].
Enfin, les dommages collatéraux issus du spam sont désormais presque plus importants que les messages eux-mêmes. Les éditeurs d’outils antivirus/antispam ont pris pour habitude de lancer des alertes aux virus ("bounce" en anglais ou "rebond") sous forme de mails. Un courrier infecté entraînant bien souvent l'envoi d'au moins deux autres e-mails, on imagine aisément les multiples réactions possibles face à cette situation, le prétendu émetteur de l'e-mail vérolé pouvant légitimement protester auprès de l'administrateur système, qui lui-même se renseignera…c’est une boucle sans fin.
Le spam est donc particulièrement néfaste pour les personnes physiques (atteinte à la vie privée, aux mineurs, escroqueries) comme pour les entreprises (perte de compétitivité, de temps, d’image). Encore plus grave, tout un secteur économique est aujourd’hui menacé. C’est celui du marketing online. Aujourd’hui peu lucrative, la publicité en ligne était pourtant promise à un avenir radieux. Avec l’avènement du spam, les agences sont soupçonnées d’envois de spam intempestifs, les clients partent et les prospects ne se laissent plus convaincre. A un récent sondage paru aux Etats-unis, presque la moitié des personnes interrogées ont d’ailleurs répondu " avoir abandonné tout business " avec les entreprises ayant des pratiques douteuses en matière d'email. Comment affirmer après cela que le spam ne constitue pas un levier d’influence…
Une lutte désorganisée
La législation en matière de spam constitue la première protection contre le fléau. Les choses semblent bouger pour la première fois, aussi bien aux Etats-Unis qu’en Europe.
En décembre 2003, la première loi fédérale est promulguée de l’autre côté de l’Atlantique. Elle interdit certaines formes de mails indésirables et prévoit des peines de prison et amendes de plusieurs millions de dollars pour les contrevenants. Certains Etats avaient déjà des voté des dispositifs semblables (Californie et Virginie) courant 2003, mais la loi nationale permet d’élargir la législation à l’ensemble du pays. Les entreprises peuvent désormais envoyer des messages à n'importe quel titulaire d'une adresse e-mail, tant qu’elles s'identifient clairement et cessent de solliciter les consommateurs qui n’en veulent pas (système de l’Opt-Out).
En Europe, fin octobre 2003, la directive européenne sur la vie privée et les communications électroniques entre en application. Les états membres doivent la transposer dans leur pays. Elle prévoit qu’excepté les communications s'inscrivant dans le cadre limité de relations client-fournisseur existantes, la prospection commerciale par courrier électronique ne sera autorisée qu'avec le consentement préalable des abonnés (Opt-In). Il sera également interdit de camoufler l'identité de l'émetteur ou d'indiquer une adresse d'expédition non valable. Les États membres peuvent enfin interdire l'envoi de messages électroniques non sollicités à des entreprises. Si ces avancées sont de premier ordre, on peut craindre de voir cette directive adoptée plusieurs années après le vote européen, comme certains pays tels la France s’en sont fait une spécialité.
En attendant, chaque membre de l’Union Européenne continue à mettre en application sa législation propre. En France, collecter une adresse sans le consentement de la personne, ou sans au moins la prévenir est illégal. Le code pénal prévoit cinq ans de prison et trois millions de francs d'amendes. En novembre 2003, un français a été condamné à 10 mois de prison avec sursis et à payer plus de 34 000 euros de dommages et intérêts pour avoir envoyé 700 000 messages à des dirigeants et salariés du groupe pharmaceutique Smith & Nephew (S&N). Messages dénigrants, pendant plus de deux ans, où il affirme que ses produits sont défectueux ou mortels et ses dirigeants corrompus.
En Angleterre, au mois de décembre 2003, un email de la société Huntington Mail Order reçu par des internautes les informe qu’une somme de 399 livres va leur être débitée pour l’achat d’un lecteur numérique portable IPOD et procure un numéro de téléphone en cas de contestation de l’achat. En réalité, la société Huntington Mail Order n’existe pas et le numéro de téléphone fourni est celui d’un commissariat de police, qui voit son standard téléphonique submergé d’appels de réclamations, 500 appels par heure. Quelques heures plus tard, un jeune homme de 21ans suspecté d’être l’auteur de cet acte de malveillance est arrêté.
La riposte s’organise aussi au niveau associatif. Aux Etats-Unis, plusieurs sites contestataires de lutte anti-spam dénoncent régulièrement les techniques de spam les plus usitées. C’est ainsi que fin décembre 2003, le site de l’association anti-spam spamhaus a publié une liste noire des plus gros spammeurs du monde: le numéro1 de la liste détiendrait le record de 70 millions d’emails envoyés en une seule journée. Spamhaus publie aussi la liste des serveurs-relais de spam les plus utilisés, les pays où ils sont situés et une liste des failles techniques utilisées par les spammeurs. Ce genre de site donne lieu à une véritable guerre clandestine entre spammeurs et anti-spammeurs.
Par exemple, en juin 2002, une société de marketing en ligne, T3 Direct, notamment spécialisée dans l'envoi de courriers électroniques publicitaires non sollicités, a saisi la justice à l'encontre de Joseph McNichol, l'accusant de son « blacklistage » sur le site Spews.org, spécialisé dans la lutte contre le spam. Spews.org (pour Spam Prevention Early Warning System) publie de manière totalement anonyme - afin d'empêcher toute fermeture intempestive - une liste d'adresses IP supposées être utilisées pour faire transiter des courriers électroniques non sollicités. L'objet est bien évidemment d'offrir aux administrateurs réseaux des éléments afin de bloquer en amont ces spam. Parmi les 43.750 dollars australiens demandés en dédommagement, 4.750 AU$ représentent les coûts techniques pour la mise en oeuvre d'un système alternatif d'envoi de courriers électroniques et 20.000 AU$ pour les pertes de revenus engendrés par un silence de 20 jours imposés pour la nécessaire installation d'une nouvelle connexion Internet…
Pour lutter contre le spam, la solution la plus simple reste l’installation d‘un logiciel de filtrage des mails. Avec l’explosion du nombre de messages non sollicités, l’offre tend à s’enrichir de nouveaux concurrents. On assiste ainsi à une véritable guerre commerciale entre offres couplées antivirus + module anti-spam contre logiciels dédiés. La première solution tend de plus en plus à s’imposer sur le marché, à l’image des éditeurs Alladin, Brightmail, Computer Associates, Symantec ou Trend Micro, mais il faut bien avouer que ces solutions ont encore du mal à endiguer la menace. De plus, les filtres anti-spam sont loin d’être monnaie courante dans les entreprises comme chez les particuliers.
Enfin, certains utilisateurs, excédés par le spam décident de s’en prendre directement aux spammeurs. C’est le cas d’Andrei Korotkov, Ministre adjoint à la Communication de Russie, qui à l'initiative d’une mesure gouvernementale pour inciter la population à l'usage d'Internet devient la cible d’une quarantaine de spams par jour venant de l'école American Language Center, école de formation en anglais à Moscou. Il leur demande de cesser mais les spams continuent. Il décide alors de riposter et de spammer le spammeur. Avec un système d'appel téléphonique automatique, il décide alors de faire appeler l’école 1000 fois en une matinée et leur diffuse un message préenregistré leur demandant d’arrêter.
En France, le projet de loi sur l'économie numérique (LEN), adopté jeudi 8 janvier en deuxième lecture à l'Assemblée, comporte un volet sur les publipostages électroniques. Cependant, celui-ci ne réglemente que la collecte des adresses de courriels. L'inscription d'une adresse à un fichier commercial ne sera, selon la nouvelle loi, possible qu'avec le consentement explicite du destinataire. Selon les fournisseurs d'accès à Internet, une telle disposition, qui transpose la directive européenne sur les communications électroniques est trop timide. En effet, l’Association des Fournisseurs d’Accès (AFA) constatait dernièrement que le projet de loi actuel encadre plus les propositions commerciales classiques, émanant d'acteurs bien identifiés, que le spam lui-même qui relève d'une collecte frauduleuse des adresses mail. Du coup, le spam sauvage retombe sous le coup de la loi de 1978 sur l'informatique et les libertés, conçue bien avant l’émergence du web. Reste donc à savoir si la France et l’Europe souhaitent se doter d’une stricte législation faisant usage de bouclier dans le cadre d’une lutte pour l’information qui passe, et qui passera, de plus en plus par Internet.
Hugo Cousin
Pour en savoir plus :
- Panorama de la Cybercriminalité – Clusif – 2003
- E-commerce and Development ’03 – United Nations Conference on Trade and Development
- Livre blanc sur la protection contre le spam – Alladin – 2003
- Opération Boite à spams – CNIL – 2002
Hugo Cousin
------------
[1] http://www.01net.com/article/182618.html
[2] http://www.messagelabs.com/news/virusnews/detail/default.asp?contentItemId=613®ion=emea
[3] http://www.lemonde.fr/txt/article/0,1-0@2-3234,36-349111,0.html