VBSpamCheck : Récupérer les courriels légitimes dans une base de spam Dbx

www.vbfrance.com/code.aspx?ID=45522

Documentation : VBSpamCheck.html

Code source : VBSpamCheck.vbproj.html

Par Patrice Dargenton : patrice.dargenton@free.fr

http://patrice.dargenton.free.fr/CodesSources/index.html

 

Version 1.01 du 26/01/2008

m.àj. de la doc : 08/11/2009

 

Mots clés : Spam, Anti-Spam, Faux positifs, Dbx, Outlook Express.

 

Table des matières

Description. 1

Fonctionnement 2

Mode d'emploi 3

Automatisation. 3

Test 3

Divers. 3

Autre clé de détection des faux positifs. 4

Limitations. 4

Nouveau contact bloqué. 4

Courriel non lu. 4

Fiabilité du Message-ID.. 4

Définition d'un spam.. 5

Suppression. 5

Projets. 5

VBSpamCop. 6

Au fait, c'est quoi un spam ?. 6

Antispam massivement collaboratif 6

Gestion d'une base de spams. 7

Sécurité et script 7

Extension du domaine de la lutte. 8

Reconnaître et éviter facilement l'hameçonnage. 8

Historique des versions. 9

Première version 1.01 du 26/01/2008. 9

Liens. 9

Lecture des fichier dbx. 9

Antispam.. 9

Antivirus. 10

Antispyware. 10

Antirootkit 10

 

 

Description

 

Pour lutter contre le fléau moderne qu'est le Spam aujourd'hui, l'utilisation d'un antispam est devenue indispensable. En l'occurrence, celui que j'utilise est Cloudmark Desktop Anti-Spam (classé dans les trois meilleurs antispams du marché, selon une étude). Cependant, la limite actuelle de ce genre de logiciel est la suivante : ou bien l'antispam laisse passer quelques spams chaque jour, que l'utilisateur doit alors écarter "manuellement", ou bien l'antispam filtre bien les spams, mais l'utilisateur doit aller à la pêche aux éventuels "faux positifs" qui sont alors produits en plus grand nombre : en effet, l'expérience prouve que, de manière variable et imprévisible, même un bon logiciel peut classer indûment des courriels personnels, alors que ce trie fonctionne plutôt bien d'habitude.

 

VBSpamCheck est un logiciel pour détecter les faux positifs produits par un antispam, qui conserve les spams localement dans un dossier dbx (et non un logiciel qui filtre directement les spams sur un compte POP3). VBSpamCheck ne fonctionne qu'avec Outlook Express.

 

 

Fonctionnement

 

Le principe de fonctionnement est simple : VBSpamCheck se base sur les courriels légitimes actuellement dans le dossier "Boîte de réception" d'Outlook Express, pour récupérer des courriels "similaires" qui seraient abusivement classés dans le dossier Spam géré par un antispam, c'est ce que l'on appelle des faux positifs, au sens où la détection d'un soi-disant spam est déclarée "positive" par l'antispam utilisé.

Toute la question est de trouver précisément ce que l'on entend par "similaire" : si l'on pouvait répondre précisément à cette question, alors 50% des limitations des logiciels antispam seraient levées ! Il ne resterait alors que les 50% restantes, à savoir que la méthode présentée ici ne peut pas détecter les faux positifs sur les premiers contacts (ceux qui n'ont pas encore été reçu au moins une fois dans la boîte de réception, pour cela voir la rubrique Nouveau contact bloqué).

Hé bien VBSpamCheck peut répondre à cette question : lors de l'analyse des champs des entêtes des courriels, il existe une clé double qui est assez fiable : cette clé se fonde d'une part sur le champ "Message-ID" (un identifiant associé au domaine d'envoi du courriel), et d'autre part sur l'adresse de courriel de l'expéditeur.

 

Par exemple, si j'envoie un courriel depuis ma machine intitulée ORS (comme ORS Production), lorsque le destinataire reçoit le courriel, il peut consulter les entêtes suivantes :

 

Received: from ors (cxr69...)

Message-ID: <002101c7f204$d5b68c90$06384352@ors>

From: "Patrice Dargenton" <patrice.dargenton@free.fr>

 

Or ce champ "@ors" est très fiable : sur 40 000 spams analysés, je n'ai rencontré pour le moment qu'une quarantaine d'exemplaires où ce domaine était fantaisiste (en l'occurrence le même domaine que celui du destinataire du courriel, ce qui est flagrant).

 

On ne peut pas se contenter de ce seul champ, car il existe des prestataires d'envoi de courriels qui sont communs à de nombreux utilisateurs (qu'on ne peut donc pas stopper en bloc), et parmi eux éventuellement des entreprises spammeuses, il faut donc associer ce domaine avec l'adresse de courriel de l'expéditeur pour avoir une clé unique d'analyse des courriels légitimes : c'est précisément cette clé que l'on va analyser dans le dossier spam pour aller à la pêche des faux positifs (cette adresse n'est pas aussi fiable, étant donné que l'on peut y mettre ce que l'on veut sans que personne ne la vérifie, mais un champ fiable associé à un champ non fiable donne une clé fiable ! Cependant voir aussi la rubrique Autre clé de détection des faux positifs).

 

Voici deux exemples de clés conservées dans ma base de domaines légitimes : je suis abonné aux alertes Google (sur le thème "vod"), ainsi qu'au mail quotidien de CodeS-SourceS (pour info., le nom de l'expéditeur est ajouté tel qu'il apparaît, ainsi qu'un exemple de sujet correspondant) :

 

Courriel                       Domaine              Expéditeur       Sujet

googlealerts-noreply@google.com                    persist.google.com    Alertes Google      Alerte Google - vod

mailquotidien@codes-sources.com                    alphadesk.webnext.com CodeS-SourceS.com   CodeS-SourceS du 14/02/2007

 

Pour en savoir plus sur la liste des champs rencontrés dans un courriel, consultez :

RFC 2822 - Internet Message Format : Entêtes de courriel officiels

www.faqs.org/rfcs/rfc2822.html

 

Pour en savoir plus sur l'analyse d'un dossier dbx Outlook Express :

http://patrice.dargenton.free.fr/CodesSources/Dbx2Txt.html

http://patrice.dargenton.free.fr/CodesSources/Dbx2Txt.html#_Toc175533960 (Champs fréquents)

 

 

Mode d'emploi

 

Tout d'abord il faut extraire les domaines légitimes de votre boîte de réception, ensuite il faut vérifier les domaines de votre dossier spam pour voir s'ils contiennent des faux positifs. S'il n'y en a aucun, bravo ! Passez directement à la rubrique Automatisation.

S'il n'y a que quelques faux positifs, déterminez pourquoi ils ont été détectés : vérifier s'il s'agit de vrais alertes (auquel cas vous pouvez maintenant récupérer/débloquer ces faux positifs), ou bien s'il s'agit de fausses alertes : dans ce cas, la raison est que des courriels similaires figurent actuellement dans votre boîte de réception, vous devez corriger ces incohérences et extraire à nouveau les domaines légitimes, jusqu'à ce qu'il ne reste plus de fausses alertes.

 

 

Automatisation

 

Pour détecter les faux positifs, il suffit de créer une tâche planifiée (voir l'assistant du Panneau de configuration de Windows), par exemple toutes les heures.

 

Lorsque vous recevez de nouveaux contacts dans votre boîte de réception, il se peut que par la suite leurs courriels soient classés en faux positifs. Pour éviter cela, il faut donc mettre à jour, par exemple quotidiennement, la liste des domaines légitimes. Il faut donc une seconde tâche planifiée, qui devra effectuer un travail distinct de la première tâche planifiée : pour cela, on peut mettre un argument distinct dans la ligne de commande à passer à VBSpamCheck :

 

Vérification des domaines (CodeMenu VD : détection des faux positifs) :

"C:\Program Files\VBSpamCheck\VBSpamCheck.exe" CheminDbx "C:\Documents and Settings\<utilisateur>\Local Settings\Application Data\Identities\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\Microsoft\Outlook Express\Spam.dbx" CodeMenu VD

 

Compléter les domaines (CodeMenu CD : mise à jour des domaines légitimes) :

"C:\Program Files\VBSpamCheck\VBSpamCheck.exe" CheminDbx "C:\Documents and Settings\<utilisateur>\Local Settings\Application Data\Identities\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\Microsoft\Outlook Express\Boîte de réception.dbx" CodeMenu CD

 

Vous devez bien sûr remplacer <utilisateur> et {X...X} par votre configuration personnelle. Vous pouvez également changer le Dossier de stockage des bases dbx pour faciliter notamment les sauvegardes (menu Outils : Options... : Maintenance d'Outlook Express).

 

 

Test

 

Une fois que tout est configuré, pour tester le fonctionnement de VBSpamCheck, il suffit de copier un courriel légitime dans la base de spam : une alerte sera affichée au prochain lancement de VBSpamCheck !

 

 

Divers

 

VBSpamCheck peut aussi fonctionner à l'envers : il peut détecter les spams dans la boîte de réception ! Il suffit pour cela d'indexer la base de spam en guise de base de domaines de référence.

 

Autre clé de détection des faux positifs

On peut en parallèle détecter aussi les faux positifs en fonction d'une liste d'expéditeurs autorisés : En fait n'importe qui peut deviner des adresses valides et se faire ainsi passer pour un expéditeur légitime, il est donc illusoire de vérifier seulement cela ; par contre, on peut vérifier l'adresse de courriel avec le nom exact de l'expéditeur : comme celui ne change pas souvent en pratique et qu'il n'est pas aussi facile à deviner, on peut vérifier que la base de spam ne contient pas de tels messages, ce serait alors un faux positif potentiel (exemple : "Patrice Dargenton" <patrice.dargenton@free.fr>), cette clé fonctionne assez bien aussi en pratique. Il faut juste lever un certain nombre de nouvelles incohérences qui surviennent entre la base de référence et la base de spam, et gérer ces clés dans un autre fichier Expediteurs.txt (de la même façon que pour Domaines.txt).

 

 

Limitations

 

Nouveau contact bloqué

Selon donc le principe de fonctionnement, VBSpamCheck ne peut pas récupérer les courriels faux positifs si aucun "modèle" de référence ne figure dans la boîte de réception. Pour cela, il faudra s'en tenir à la qualité du logiciel antispam proprement dit. On peut cependant faire une vérification avec un autre logiciel antispam, voir le projet VBSpamCop.

On risque donc de manquer le repêchage de certains nouveaux contacts.

De plus, pour ma part, étant donné que mon adresse de courriel figure en clair sur Internet depuis des années, elle est évidement exploitée par les spammeurs : non seulement je reçoit énormément de spam, un vrai "pot de miel" (technique efficace de collectage d'échantillons de spam), mais en plus, ce qui est plus grave, mon adresse a du également être utilisée frauduleusement pour l'émission de spam cette fois, ce qui fait qu'elle doit apparaître sur plusieurs listes noires (je considère que ces listes ne sont pas sérieuses du tout, la preuve dans mon cas). Du coup, un nouveau contact n'a pas plus de 50% de chance de recevoir ma réponse à un courriel envoyé ! (du fait que de nombreux FAI proposent des filtres antispam basés sur ces pseudo-listes noires, la plupart du temps sans même que l'utilisateur le sache...)

Conclusion : si vous voulez vraiment recevoir une (première) réponse de ma part, utilisez mon compte sur CodeS-SourceS.com (cela requiert un compte sur un des sites fédérés de CodeS-SourceS) :

www.codes-sources.com/ecriremsg.aspx?ID=1124

 

Si par contre vous recevez bien ma première réponse à votre courriel, alors les autres ne devraient pas être bloquées non plus (en tout cas il n'y a plus de risque si vous utilisez VBSpamCheck).

 

Courriel non lu

Lors de la mise à jour des domaines légitimes, il ne doit rester aucun spam dans la boîte de réception, auquel cas VBSpamCheck trouverait un grand nombre d'équivalents dans le dossier spam ! (cela peut arriver tous les jours, même avec bon antispam, si vous n'avez pas eu le temps de trier les spams résiduels non lus dans la boîte de réception, et si vous pensez le contraire... c'est que vous perdez probablement des courriels importants !)

Je n'ai hélas pas réussi à localiser le champ Lu ou Non-lu associé à chaque courriel dans Outlook Express : il y a bien un champ proche du résultat, mais il ne fonctionne pas à 100%, certains courriels sont détectés comme non lus alors qu'ils le sont : du coup, on prendrait le risque d'oublier des faux positifs similaires si on l'utilisait. Au lieu de cela, VBSpamCheck doit demander une confirmation à l'utilisateur avant d'indexer les domaines légitimes, pour s'assurer qu'il ne reste aucun spam non trié dans la boîte de réception.

 

Pour en savoir plus, voir le champ bCourrielNonLu ici :

http://patrice.dargenton.free.fr/CodesSources/Dbx2Txt.vbproj.html

 

Fiabilité du Message-ID

Voici un exemple de spam reçu (sur ma messagerie contact@koolog.com) dont le Message-ID est manifestement bidonné, car soi-disant expédié depuis un ordinateur du domaine de l'entreprise dans laquelle je travaille :

 

Return-Path: <kawgserdyukjyv@gserdyuk.org>

Received: from [88.245.112.88] ([88.245.112.88])

       by moff-tarkin.addonline.biz (8.13.6/8.13.6/SuSE Linux 0.8) with ESMTP id l7UB1gGY028180

       for <contact@koolog.com>; Thu, 30 Aug 2007 13:01:51 +0200

Received: from [88.245.30.201] by ; Thu, 30 Aug 2007 12:26:59 +0200

Date: Thu, 30 Aug 2007 12:26:59 +0200

From: "Clyde Kidd" <contact@koolog.com>

X-Mailer: The Bat! (v3.71.01) Professional

Reply-To: contact@koolog.com

X-Priority: 3 (Normal)

Message-ID: <033532136.57193442234425@koolog.com>

To: contact@koolog.com

Subject: [Scanned by Cloudmark] Re:

MIME-Version: 1.0

Content-Type: text/plain;

  charset=iso-8859-1

Content-Transfer-Encoding: 7bit

X-UIDL: FP!"!k~B"!flB!!h=b!!

X-Cloudmark-Check-Time: Thu, 30 Aug 2007 10:40:33 GMT

 

New pharmacy shop: http://qfpexu.thoughpose.com/?626095362779

 

C'est donc possible, n'est-ce pas ? Cela veut dire que le principe de VBSpamCheck n'est pas fiable à 100%, et que des spammeurs pourraient abuser VBSpamCheck. Mais ce cas est rare, il ne représente que 0.1% des spams reçus. Les autres courriels dont le domaine du Message-ID est identique à celui du destinataire représentent de 2.5% à 3.5% des courriels reçus (spam ou pas), parmi lesquels on ne peut pas facilement savoir s'il s'agit de bidonnage ou pas, car on y trouve des courriels intra-entreprises (courriels légitimes seulement), ou bien des messages entre abonnés d'un même FAI (par exemple free.fr ou bien online.fr, ce qui représente tous les autres cas de ces spams). En conclusion, il semble donc que la validité du Message-ID n'est pas (toujours ?) vérifiée lors du protocole d'échange de courriel, mais ce champ reste relativement fiable pour notre application. Voir aussi la rubrique Autre clé de détection des faux positifs.

 

Définition d'un spam

En ce qui concerne la définition d'un spam, il ne doit pas subsister d'incohérence entre la boîte de réception et le dossier spam, car VBSpamCheck détecterait alors ces incohérences comme des faux-positifs. Par exemple si vous avez reçu et accepté dans le passé une pub anodine et qu'elle est devenue très envahissante (et donc maintenant bloquée par l'antispam), il est alors nécessaire de supprimer la pub de la boîte de réception, ainsi que de supprimer la signature de cette pub dans le fichier Domaines.txt, pour éviter que VBSpamCheck ne génère des alertes, voir la rubrique Au fait, c'est quoi un spam ?

On peut également débloquer (via le menu correspondant de l'antispam) les courriels publicitaires bloqués, si on souhaite effectivement les recevoir.

On peut aussi créer un dossier spécial SpamAPart et CourrielsAPart dans lequel on classe les courriels qui posent problème dans un sens ou dans l'autre (ni franchement des spams, ni franchement des courriels légitimes), afin d'éviter les alertes générés par les incohérences.

 

Suppression

VBSpamCheck ne déplace pas les faux positifs de la base de spam vers la boîte de réception, il se contente d'indiquer les faux positifs en précisant le sujet et la date du courriel, mais c'est à l'utilisateur qu'il revient de récupérer ses courriels mal classés. Il n'y a pas d'interface non plus pour supprimer une clé de domaine dans le fichier Domaines.txt, il faut le faire via le bloc-notes.

 

 

Projets

 

- Détecter de façon fiable si un courriel est en statut lu ou pas dans Outlook Express ;

- Créer les tâches planifiées directement par le code, pour simplifier l'installation de VBSpamCheck ;

- Faire un complément logiciel (add-in) pour Outlook Express (ou bien manipuler directement le fichier dbx depuis VBSpamCheck), afin de repêcher automatiquement les faux positifs détectés. Faire aussi une interface pour retirer un domaine anciennement légitime devenu spam).

 

VBSpamCop

Le projet VBSpamCop est un logiciel antispam qui complétera VBSpamCheck par un RN (réseau de neurones) associé à un SE (système expert).

http://patrice.dargenton.free.fr/ia/ialab/perceptron.html (RN)

http://patrice.dargenton.free.fr/ia/vbbrainbox/index.html (SE)

 

L'idée est de tester les champs pertinents avec un RN (les spams étant déjà triés à part des courriels légitimes), puis d'en inférer des règles logiques pour le SE, éventuellement en associant des poids pseudo-probabilistes à certaines conditions (logique floue).

L'idéal serait ensuite de compléter le logiciel par un système collaboratif comme celui de CloudMark.

 

Pour augmenter les performances, en ce qui concerne la diminution des faux positifs, VBSpamCop reprendra bien sûr le principe des listes blanches de VBSpamCheck.

 

 

Au fait, c'est quoi un spam ?

 

Un spam est un courriel (courrier électronique, ou "mail") indésirable (non sollicité).

 

La limite de cette définition est la newsletter (lettre d'information) :

- Si l'entreprise expéditrice est très connue et que la procédure de désinscription est très facile, alors ce n'est pas vraiment du spam, mais si cette procédure est contraignante, alors c'est du spam ;

- Si l'entreprise expéditrice est inconnue et que vous recevez un message inintéressant sans l'avoir demandé (modalité appelée "opt-in"), alors c'est probablement du spam ;

Dans tous les cas, la procédure de désinscription vous oblige à révéler que votre adresse de courriel était bien valide (car les robots spammeurs testent toutes les adresses possibles, ils ne savent pas à priori lesquelles sont valides), donc au lieu de vous désinscrire, cette procédure de désinscription peut contribuer à ce que vous receviez encore plus de spam, alors attention, il vaut parfois mieux déclarer la newsletter comme spam plutôt que révéler la validité de votre adresse.

 

Il y a donc plusieurs niveaux de gravité pour un faux positif, un courriel personnel étant bien entendu le cas le plus grave.

 

 

Antispam massivement collaboratif

 

Une des meilleurs solutions dans le domaine collaboratif est Cloudmark Desktop Anti-Spam (CDAS) : seuls des vrais gents décident ce qui est un spam ou pas, le travail de l'antispam se réduit donc à identifier et reconnaître un courriel déjà reçu par d'autres et à appliquer donc le même filtrage, à savoir déplacer ce spam dans un dossier Spam de votre messagerie favorite. Cloudmark compte des millions de SpamFighters à ce jour ! (250 millions de boîtes aux lettres protégées)

 

Voici comment fonctionne cet antispam :

- Il s'installe en tant que barre d'outil d'Outlook Express (il y a une version aussi pour Outlook) ;

- Lorsque l'on ouvre Outlook Express, CDAS lance automatiquement un scan des courriels sur les comptes qu'il a trouvé, et pour chaque Spam détecté, il modifie l'objet du courriel pour mettre un tag reconnaissable ;

- Ensuite Outlook Express télécharge ces courriels tagués ou pas, et comme CDAS a ajouté une règle de message simple pour les messages tagués, ils sont automatiquement déposés dans un dossier Spam (depuis septembre 2007, CDAS trie directement les spams sans les taguer) ;

- Si un utilisateur a l'a flemme de se désabonner à la newsletter d'Amazon, par exemple, il peut carrément bloquer le courriel, et vous risquez alors de ne plus recevoir votre newsletter ! dans ce cas, il faut débloquer le courriel pour indiquer que, pour vous, cette newsletter n'est pas du spam (ce qui est souhaitable pour les uns ne l'est pas forcément pour les autres, du coup, le prestataire antispam doit enregistrer les préférences de ses millions d'utilisateurs). Mais ce système est assez efficace, car on peut attendre d'avoir l'avis de plusieurs personnes avant de bloquer un courriel, et chaque utilisateur est noté en fonction de la pertinence de la classification ou déclassification des spams qu'il pratique.

 

 

Gestion d'une base de spams

 

La gestion d'une base de spams implique un certain niveau de sécurité requis du poste de travail, voici quelques conseils :

 

- Outlook Express doit être correctement patché (les correctifs logiciels doivent être appliqués, via Windows Update), car toutes les pièces jointes des spams sont des virus ou presque (il n'y a pas de risque si Windows est à jour, à moins d'ouvrir les pièces jointes) ;

- Attention aux faux zip : le contenu du zip peut être différent de celui affiché : toujours décompresser un zip avant d'ouvrir un fichier par double-clic (par exemple le contenu du zip peut présenter un "fichier.txt" alors qu'il s'agit en fait d'un "fichier.exe" : lorsque l'on décompresse le zip, on n'a bien "fichier.exe", il n'y a plus de risque de confondre avec un fichier texte) ;

- Option de l'affichage des fichiers dans Windows : ne pas masquer les extensions pour les types connus, car il y aurait un risque de confondre les fichiers avec une double extension, qui sont souvent des virus, exemple : "Fichier.doc.pif" -> et Paf ! : Seul "Fichier.doc" est affiché si on masque les extensions, c'est une vraie faille de sécurité ;

- Ne jamais activer les contrôles ActiveX dans un courriel, surtout de la part d'un expéditeur inconnu ;

- Eviter de télécharger les images externes associées à un courriel, car cela révélerai la validité de votre adresse de courriel à l'expéditeur (voir la rubrique Au fait, c'est quoi un spam ?) ;

- Ne pas distribuer une base de spam car il y a un risque qu'il reste encore des courriels personnels ! (pas en utilisant VBSpamCheck, mais il peut toutefois rester des infos perso dans les spams)

- Utiliser les antivirus gratuits en ligne, en voici la liste :

  www.lesannuaires.com/antivirus-en-ligne.html

 

 

Sécurité et script

 

Si on analyse la politique de sécurité de Microsoft depuis 10 ans, on se rend compte qu'elle consiste essentiellement à... désactiver progressivement tous les scripts de lancement automatiques de toute sorte de fichier, qui était naïvement prévue à l'origine de Windows. Par exemple, on reçoit un courriel sur le thème du cinéma et on peut voir une bande annonce démarrer directement dans le courriel, ou bien une pub flash surgit (pop up) depuis un site web, ou bien encore un lecteur multimédia est lancé automatiquement lors de l'insertion d'une clé USB ou d'un DVD... Cependant, devant l'ampleur des failles découvertes sur ces lancements automatiques, Microsoft a progressivement réduit tous ces lancements. En fait dans un courriel on n'a probablement jamais besoin de ça, n'est-ce pas ? C'est donc bête de s'être embêté avec tout ça depuis 10 ans alors qu'il aurait suffit de faire un simple lecteur de courriel sans aucune interactivité !

Mais l'afficheur html des courriels est probablement le même que celui du navigateur, ils partagent donc la même politique de sécurité : il ne doit y avoir aucune faille ni dans les pages web, ni dans les courriels, quel que soit l'endroit où l'on clique (sauf pour les logiciels transférés normalement via le web ou les pièces jointes), ce qui explique sans doute la difficulté. Le seul véritable risque que l'on ne peut empêcher est le téléchargement de logiciel, puis son exécution sur sa machine : dans ce cas, il existe des logiciels comme ViGuard qui demande un mot de passe administrateur pour autoriser son exécution, ou sinon vous devez passer le logiciel à l'antivirus avant de le lancer (si le logiciel est suspect).

 

 

Extension du domaine de la lutte

 

En dernière analyse, il ressort que la cause du spam est l'anonymat : la seule façon à terme de lutter contre le spam est de renoncer à l'anonymat (étant donné que le spam est déjà interdit dans de nombreux pays) : seule l'authentification forte par clé publique/privée peut apporter une solution définitive à ce problème. De même que la cause fondamentale du problème du blanchiment de l'argent sale et du financement du crime organisé est l'anonymat des transactions financières, seule la transparence et la traçabilité des flux financiers peut y remédier. D'une manière générale, il est clair que seuls les escrocs ont à gagner à l'anonymat, les gents honnêtes n'ont rien à cacher en principe, en tout cas, ils n'ont rien à cacher à la police lors d'une enquête, du moment que l'information privée est préservée.

Cependant, il faut bien voir ce que cela implique sur Internet et les courriels : seul l'instauration d'un "Big Brother" à l'échelle mondial peut mettre un terme au fléau du spam, que cela soit une plateforme centralisé ou bien décentralisée : comment avoir confiance en une telle instance ? Est-elle viable techniquement ? Il faudra donc mettre en balance les risques concernant la protection de la vie privée avec les gains permis par une telle solution, mais la question sera de plus en plus à l'ordre du jour au fur et à mesure que le fléau du spam gagnera encore de l'ampleur...

 

En attendant (on risque d'attendre longtemps en fait), il y a une alternative intéressante : se faire authentifier par un tiers de confiance, comme le propose MailInBlack. Ce système a été adoptée par plusieurs administrations françaises, ce qui est rassurant, mais la contrainte est que chaque expéditeur doit se faire authentifier au préalable (une fois pour toute) auprès du tiers MailInBlack pour que celui-ci délivre votre courriel (et même plusieurs employés de la même entreprise doivent aussi s'identifier pour un même destinataire, si j'ai bien compris, à moins qu'il n'y ait une option). D'autre part, la solution est payante pour chaque adresse de courriel protégée, alors qu'avec Cloudmark, vous pouvez protéger un nombre illimité d'adresses sur deux postes maximum (par exemple au bureau et chez soi). En quelque sorte on peut résumer le principe de fonctionnement de la façon suivante : MailInBlack gère automatiquement pour vous votre liste blanche des expéditeurs autorisés, en reportant la contrainte de gestion sur les expéditeurs (lorsque le nombre d'expéditeur augmente, cela ne vous coûte pas de temps, mais cela en fait perdre pour les expéditeurs, à chaque nouveau destinataire protégé, même si l'identification ne se fait qu'une fois). C'est acceptable si le nombre de destinataire n'est pas trop élevé, et en attendant une solution plus générale.

 

 

Reconnaître et éviter facilement l'hameçonnage

Si un courriel vous semble suspect, voici la méthode pour lever le doute : placer la souris au dessus du lien que l'on vous propose de cliquer : à première vue, le lien semble normal :

http://subscribe.free.fr/login/login.pl?errorid=229629226&loginemail=hidden

mais en fait, l'adresse réelle du lien, qui s'affiche en général en bas de votre logiciel de messagerie, est tout à fait différente, et déjà beaucoup plus fantaisiste :

http://www.kabelki.eu//images/mailbox.free.fr/

Alors pensez-y donc sérieusement : est-ce que par hasard un courriel important de la part de votre banque ou de votre fournisseur d'accès à Internet pourrait conduire à un site hébergé chez n'importe qui ? Non bien sûr ! Le site devrait être hébergé avec un nom de domaine (.com ou .fr) directement en rapport avec son propriétaire (et de plus, le site pointé ne devrait pas être distinct du site affiché, sinon il s'agit d'une confusion et c'est suspect !). A priori, il n'est pas possible d'usurper le nom du domaine, c'est-à-dire l'adresse qui s'affiche après le http:// dans la zone de votre navigateur (quand vous êtes sur ce site, vous être vraiment sur ce site, et la probabilité qu'un site institutionnel soit piraté est rare et éphémère), il suffit donc d'y faire bien attention, et c'est tout.

De plus, la probabilité pour qu'on cherche à vous demander des informations confidentielles par courriel est à peu près égale à zéro : cela ne se fait pas ! (si cela devait arriver on vous contacterait par un moyen plus sécurisé : courrier papier recommandé, téléphone et peut être SMS).

 

 

Historique des versions

 

Première version 1.01 du 26/01/2008

 

 

Liens

 

- RFC 2822 - Internet Message Format : Entêtes de courriel officiels

  www.faqs.org/rfcs/rfc2822.html

DomainKeys Identified Mail (DKIM) Signatures : DKIM est une norme d'authentification fiable du nom de domaine de l'expéditeur d'un courrier électronique

  www.ietf.org/rfc/rfc4871.txt

 

- Solutions to Common Issues encountered during Outlook Add-in development

  www.codeproject.com/office/Outlook_Add-in_Issues.asp

  www.codeproject.com/office/Outlook_Add-in.asp

 

- Enumération des dossiers et leurs codes gérés par Outlook Express (GUID des dossiers dbx)

  www.vbfrance.com/code.aspx?ID=43179

 

Lecture des fichier dbx

www.leapsecond.com/tools/dbx2txt.c

  www.leapsecond.com/tools/dbx2txt.exe

 

- Dbx2Txt : Convertir un fichier Dbx (Outlook Express) en Txt

  www.vbfrance.com/code.aspx?ID=41883

 

Antispam

- A C# Wrapper for the SpamAssassin Protocol (AntiSpam gratuit)

  www.codeproject.com/useritems/ZetaSpamAssassin.asp

 

- ANTI SPAM EN MACRO OUTLOOK VBA

  www.vbfrance.com/code.aspx?ID=22739

 

- Site national appuyé par le gouvernement : Signalez vos spams d'un simple clic

  www.signal-spam.fr

 

- Conseils antispam

  www.logiciel-antispam.com/mails/solution%20antispam.html

 

- Supprimer les courriels indésirables : Passage en revue des moyens de lutte

  www.ecrans.fr/Supprimer-le-mail-indesirable,1909.html

 

- Comparatif antispam : www.01net.com/Pdf/172-27.pdf

 

- Les outils pour surfer en toute sécurité

  www.ariase.com/fr/guides/outils/anti-spam.html

 

Antispam massivement collaboratif : Cloudmark Desktop Anti-Spam

  www.cloudmark.com

 

Antispam gratuit : http://spampal.free.fr/

 

- Pour les freenautes qui ont une adresse en @free.fr, le dispositif de filtrage mis à disposition par free est ici (utile en cas d'utilisation du WebMail pendant quelque temps, mais ne permet plus de vérifier les spams ni les faux positifs) :

  http://mfilter.free.fr/

 

Antivirus

- Liste des antivirus gratuits en ligne :

  www.lesannuaires.com/antivirus-en-ligne.html

 

- Comparatif des anti-virus : www.av-comparatives.org

 

Antispyware

PC Zombiewww.bhmag.fr/premiere-page-articles-432-35-1.html

 

Antirootkit

Pour désactiver l'AutoRun lors de l'insertion d'un CD ou d'une clé USB (anti rootkit), fusionnez un fichier .reg contenant :

 

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

 

(pour remettre la valeur par défaut : dword:00000091)

 

0x1 Disables Autoplay on drives of unknown type.

0x4 Disables Autoplay on removable drives.

0x8 Disables Autoplay on fixed drives.

0x10 Disables Autoplay on network drives.

0x20 Disables Autoplay on CD-ROM drives.

0x40 Disables Autoplay on RAM drives.

0x80 Disables Autoplay on drives of unknown type.

0xFF Disables Autoplay on all types of drives.

 

Note : une fois l'AutoRun désactivé, on peut toujours demander l'exécution automatique du lecteur via le menu contextuel correspondant (bouton droit de la souris sur le lecteur).