Prévention

Prospection commerciale B2B inattendue ou le « cold-emailing »

Qui n’a pas reçu sur sa boîte de courrier électronique professionnelle un contact d’un agent commercial vous proposant un rendez-vous, parfois en vous invitant à cliquer sur son calendrier pour fixer le rendez-vous directement dans son calendrier très chargé ? Puis quelques semaines après que vous ayez supprimé ce message, une relance reprenant le message initial, et souvent au moins une troisième fois ensuite, vous reprochant presque de ne pas avoir fait attention au message précédent. C’est ainsi que se pratique aujourd’hui le « cold-emailing », ou comme ils le définissent eux-mêmes dans leurs documents de formation des « courriers électroniques envoyés à des prospects n’ayant pas particulièrement montré d’intérêt pour l’entreprise ou son offre commerciale.»

C’est une publicité vue sur twitter (pardon X) ce matin qui a fini de m’aiguillonner sur ce sujet et à écrire ce post dominical:

La publicité elle-même a été vue plus de 20 millions de fois depuis le 23 janvier 2024 et propose un lien vers ce fameux guide du cold-email, dans un document hébergé chez Google. On notera qu’il est publié par le compte d’un certain « Reio » travaillant pour la société instantly[.]ai, nous y reviendrons plus tard.

Le principe de la prospection à froid

L’idée générale derrière la prospection à froid est de susciter de nouveaux prospects par un contact direct envoyé à des adresses de courrier électronique professionnelles avec lesquelles l’agent commercial n’a jamais été en relations.

Sur le principe, la législation européenne en matière de prospection commerciale entre professionnels est assez permissive. Ainsi la CNIL rappelle sur son site Web (il faut cliquer sur l’onglet « Pour les professionnels B to B »:

  • Principe général: information des personnes, opposition simple et gratuite
  • Information au moment de la collecte, et être en mesure de s’opposer à ce moment-là (c’est souvent présenté comme une condition pour participer à des événements). La revente de ces données dans le contexte de la prospection de professionnels est légale et suppose de conserver la traçabilité de cette information et de la possibilité d’opposition.
  • L’objet de la sollicitation doit être en rapport avec la profession de la personne démarchée
  • Chaque message doit préciser l’identité de l’annonceur et proposer un moyen simple de s’opposer.

Le contenu du guide

Le contenu du guide nous plonge dans une autre réalité qui entoure ces démarches. L’objectif affiché du rédacteur de ce guide est de s’assurer que les messages arrivent bien dans la boîte de courrier électronique du destinataire (son « Inbox ») et non pas le répertoire des spams détectés de façon automatique.

La liste des recommandations qu’il apporte est la suivante:

  • une étape technique consistant à créer de multiples noms de domaine et adresses de courrier électronique d’émission
  • la configuration des mesures de sécurité du mail (SPF, DKIM et DMARC, protocoles qui empêchent d’usurper un domaine émetteur, mais qui n’empêche pas d’émettre du spam depuis un domaine créé pour cela)
  • un domaine de traçage et la redirection vers le domaine propre du prospecteur.

En effet, la démarche qu’ils proposent est de découper le volume de messages à envoyer par autant de domaines et d’adresses pour ne pas être détecté par les seuils automatiques de classement en spam des récepteurs! Dans le cadre des envois massifs de spams classiques (messages publicitaires par opposition à la prospection directe évoquée ici), on utilise souvent le terme de « snowshoeing » pour décrire cette méthode.

Le guide recommande ensuite de « préchauffer » les adresses de courrier électronique. Il s’agit ici d’envoyer des messages anodins entre les adresses d’émission préparées pour qu’il y ait un trafic légitime aux yeux des grandes plateformes de messagerie. La société en question offre d’ailleurs un service (payant évidemment) automatisé pour simuler ces messages. Ils recommandent de maintenir l’activité fictive de « préchauffage » tout au long des opérations.

En résumé, ces pratiques et les services de ce type d’entreprises visent ouvertement à tromper et contourner les mesures de protection contre le spam.

Ensuite, pour le contenu même des messages envoyés aux prospects, l’auteur recommande de personnaliser les messages évidemment et de varier le vocabulaire utilisé d’un message à un autre, grâce à des modèles de textes alternatifs (et une fonctionnalité incluse dans son produit évidemment pour automatiser tout cela). Ils expliquent très bien eux-mêmes pourquoi c’est nécessaire: encore pour tromper la détection de spams.

On retrouve le même genre de conseils sur les sites de « conseil » pour la publication automatique sur les comptes de réseaux sociaux (pour ceux qui sont sur X récemment, on aura noté que la technique n’est pas tellement utilisée par les campagnes de spam pornographiques qui répètent des milliers de fois le même message « mes nus dans mon profil » sans apparemment être détectés par X).

La suite des recommandations est dans la même veine pour tromper le destinataire cette fois-ci. Ainsi, il recommande de fabriquer l’objet (le sujet) des messages de nature à inciter le destinataire à ouvrir le message, par exemple en combinant prénom et un mot simple comme « question » ou « pouvez-vous aider? ».

Pour finir de se convaincre du peu de sérieux de cette entreprise américaine, une visite sur son site Web confirme assez rapidement la première impression: les liens présents en bas de page et intitulés « Don’t sell my info » (ne vendez pas mes informations) et « Privacy Center » renvoient toutes deux vers des pages d’erreur.

Résumé et conseils

Comme je l’évoquais plus haut, la législation européenne n’interdit pas de contacter des prospects professionnels pour des produits ou services qui sont susceptibles de les intéresser. Mais utiliser des méthodes déceptives vis-à-vis des acteurs techniques et des destinataires des messages pour les inciter à transmettre, ouvrir et répondre aux messages est à l’opposé de toute éthique professionnelle. En outre, comme les destinataires ont vite fait de comprendre  ces manœuvres après un ou deux messages insistants du même type, ils finissent systématiquement dans la corbeille, c’est totalement contre-productif. Et je note que malheureusement de nombreux acteurs recommandent ces méthodes: on retrouve toujours de nombreuses publications sur LinkedIn en français qui décrivent ces méthodes et proposent des formations à ces outils.

Mes conseils:

  • comme d’habitude, informez-vous et discutez de ces méthodes abusives autour de vous;
  • réfléchissez avant d’ouvrir un message ou de cliquer sur un lien, en particulier si vous ne connaissez pas l’émetteur;
  • contribuez à lutter contre ces abus et signalez les messages que vous estimez inappropriés: n’hésitez pas à installer le module de signalement de Signal-Spam (c’est totalement gratuit), il vous permet non seulement de signaler un message abusif en un clic mais vous protège aussi des URLs malveillantes connues dans votre navigateur Web ou votre logiciel de courrier électronique.

 

Cybermoi/s et Charte Cyber – Les référents cybersécurité

Le 02 octobre après-midi se tenait l’événement de lancement du Cybermoi/s, déclinaison française du Mois européen de la cybersécurité. Il est rediffusé en vidéo. Ce mois de la cybersécurité est destiné à mobiliser l’ensemble de la communauté sur des actions de sensibilisation et de prévention sur les risques numériques. Piloté par l’ENISA au niveau européen, pour la première fois à l’occasion de la 11e édition, c’est l’équipe de cybermalveillance.gouv.fr qui en est chargée au niveau français. Un site Internet spécial y est consacré.

Au niveau européen, le thème choisi pour cette année est: #BeSmarterThanAHacker (soyez plus malin qu’un hacker).

En France, il a été décidé de mettre l’accent plus précisément sur la fraude par ingénierie sociale sous le mot clé . En pratique, « tout au long du mois d’octobre 2023, des activités vont être organisées en France et en Europe autour des enjeux de cybersécurité : action citoyenne, conférences, campagnes vidéos, articles… Comme chaque année, un panel d’acteurs publics, privés et associatifs se mobiliseront pour proposer un programme de sensibilisation pédagogique à destination de tous les publics et ainsi développer une culture européenne cyber commune. ». Le site Web du Cybermoi/s propose un agenda des événements, un kit de communication et aussi vous proposer de participer en relayant les messages #CyberResponsables sur vos réseaux sociaux.

La Charte Cyber

Une des initiatives de ce Cybemoi/s me tient particulièrement à cœur: il s’agit de la diffusion d’une Charte Cyber par laquelle 83 organisations appellent tous les acteurs à se mobiliser au travers de 8 engagements simples et concrets pour promouvoir un cadre de cybersécurité vertueux et responsable.

Le second engagement est peut-être l’un des plus à même de transformer l’approche de la cybersécurité:

2. Nommer un « référent cybersécurité » en charge de porter et d’animer le sujet en interne.

En effet, de la même façon que les référents informatique et libertés, devenus avec le RGPD des délégués à la protection des données, ont permis d’abord par une démarche volontaire, puis avec un caractère obligatoire de porter au sein de toutes les organisations le sujet de la protection des données à caractère personnel, il me paraît essentiel d’emprunter aujourd’hui le même chemin pour la sécurité numérique. Bien entendu, toutes les organisations, notamment les plus petites, ne peuvent pas avoir un responsable de la sécurité des systèmes d’information de plein exercice, mais à tout le moins quelqu’un chargé de suivre ces sujets, sensibiliser et conseiller sa hiérarchie. Peut-être dans une prochaine loi prévoira-t-on un cadre incitatif et protecteur pour le développement des référents cybersécurité dans les associations, entreprises et collectivités locales de petite taille et bien entendu des RSSI dans toutes les organisations dont la taille ou la complexité le nécessitent.

Mobilisation de la gendarmerie

Enfin, au cours de ce Cybermoi/s la gendarmerie se mobilise en intervenant dans différents événements organisés au niveau national et dans les territoires. Cette année le Commandement de la gendarmerie dans la cyberespace (COMCYBERGEND) proposera plusieurs vidéos de sensibilisation à certains risques numériques. La première a été publiée le 02 octobre:

Ne tombez pas dans le panneau!

Le message est simple aujourd’hui:

Ne tombez pas dans le panneau!

Cette semaine, j’ai reçu un appel au bureau d’une personne qui pensait m’avoir déjà eu en ligne. Malheureusement pour lui, ce n’était pas la même personne, il venait de se faire escroquer par un usurpateur.

Les scénarios de ces escroqueries sont multiples, ils ont souvent plusieurs étapes et plusieurs intervenants. Les plus courants commencent de deux façons:

  • Un dialogue sur un site de rencontres
  • Un échange suite à une petite annonce

Sur les sites de rencontre, la conversation s’engage et la victime commence à faire confiance. Dans certains cas, une relation se noue et l’escroc (ou les escrocs, car il est possible qu’ils se relaient derrière le même pseudonyme) demande de l’argent pour payer des frais médicaux ou même le voyage ou les frais de visa pour rencontrer son nouvel amour.

Evidemment, le paiement est toujours par des moyens inhabituels pour beaucoup d’entre nous: cartes bancaires prépayées ou coupons de recharges pour ces cartes, virements Western Union. D’ailleurs, très souvent (et c’est une bonne chose!) les buralistes posent des questions aux personnes qui se présentent pour acheter les coupons de recharge, et lorsqu’ils ont un doute ils sensibilisent les clients sur les risques d’escroquerie.

Parfois, l’escroquerie est plus agressive et la victime se voit menacée de révéler ses échanges, accusée de pédophilie (la personne avec qui elle discutait disant être mineure), et dans certains cas des vidéos ont été enregistrées à son insu suite à des discussions qu’elle croyait intimes et l’escroc menace de révéler ces vidéos à tous ses amis et contacts professionnels (chantage dit à la webcam).

Souvent encore, il y a une dernière étape avec l’intervention d’un soi disant service de police spécialisé qui contacte la victime par courrier électronique pour lui réclamer le paiement d’une amende ou alors de risquer des poursuites. C’est là que mon nom se retrouve souvent utilisé, un soi disant « Commissaire Général Eric Freyssinet » d’un service spécialisé en cybercriminalité fantaisiste, et le courriel est envoyé depuis une adresse gratuite (gmail, yahoo, hotmail, etc.).

Au passage:

Police et gendarmerie utilisent des adresses de courrier électronique officielles en gendarmerie.interieur.gouv.fr ou interieur.gouv.fr.

Jamais un policier ou un gendarme ne vous demandera de payer une amende directement dans un courrier électronique.

C’est intéressant d’utiliser le nom d’un policier ou d’un gendarme connu, parce qu’on trouve des traces de celui-ci sur Internet et la victime peut tomber dans le panneau (malheureusement !).

Dernier conseil: quand vous avez un doute suite à une discussion ou une transaction sur Internet, n’hésitez pas à en parler à un ami ou un membre de votre famille ou appelez le numéro Info Escroqueries 0 805 805 817 (lundi-vendredi 9h-18h30, numéro vert). Je compte sur mes lecteurs pour faire passer le message !

Vague d’extorsions par courriels avec un de vos mots de passe!

Depuis quelques jours, j’ai reçu plusieurs signalements de personnes qui étaient victimes d’une tentative d’extorsion par courrier électronique. Le même sujet a été décrit voilà quelques jours par Brian Krebs sur son blog.

Le schéma est le suivant:

  • Expéditeur = adresse bizarre en outlook.com ou autre service gratuit
    • Objet du message = « Re: prenom.nom – motdepasse »
  • Texte = un message en anglais rappelant le mot de passe, et indiquant que grâce à un virus implanté sur votre ordinateur l’escroc a pu vous observer visiter un site web pornographique et vous enregistrer à cette occasion grâce à votre webcam, menaçant ensuite de diffuser la vidéo à vos contacts. Le message réclame ensuite une rançon en bitcoins de $1900
  • Adresse Bitcoin = différente dans tous les exemples que j’ai pu voir

Le texte du message ressemble à celui-ci :

Let’s get straight to the point. I am aware [mot de passe] is your pass word. Moreover, I know about your secret and I’ve proof of it. You don’t know me and no one hired me to examine you.

It is just your misfortune that I discovered your bad deeds. Well, I installed a malware on the adult videos (adult porn) and you visited this website to have fun (you know what I mean). While you were watching video clips, your web browser started out working as a Rdp (Remote desktop) that has a keylogger which provided me accessibility to your display and also webcam. Right after that, my software program collected your complete contacts from facebook, as well as e-mail.

I then put in much more time than I probably should have into your life and made a two screen video. First part displays the recording you had been viewing and second part shows the video from your web cam (its you doing dirty things).

Honestly, I want to forget about you and let you get on with your life. And I am about to give you 2 options that will achieve that. The above choices to either ignore this letter, or perhaps pay me $1900. Let us examine those two options in more detail.

First Option is to ignore this e-mail. Let’s see what is going to happen if you pick this path. I will send out your video to your contacts including relatives, co-workers, and many others. It does not help you avoid the humiliation your family will face when friends discover your sordid videos from me.

Other Option is to make the payment of $1900. We’ll call it my “confidentiality charges”. Let me tell you what happens if you pick this option. Your secret remains your secret. I’ll destroy the recording immediately. You keep your lifetime as though nothing like this ever occurred.

At this point you may be thinking, “I should call the cops”. Let me tell you, I have covered my steps in order that this message can’t be tracked to me plus it will not stop the evidence from destroying your health. I am not planning to dig a hole in your pocket. I am just looking to get compensated for efforts and time I place into investigating you. Let’s assume you decide to generate pretty much everything disappear and pay me the confidentiality fee. You will make the payment via Bitcoins (if you don’t know how, type « how to buy bitcoins » in search engine)

Amount to be sent: $1900
Receiving Bitcoin Address: [adresse différente pour chaque escroquerie]
(It’s case sensitive, so you should copy and paste it carefully)

Tell nobody what you would use the bitcoin for or they might not offer it to you. The method to obtain bitcoins usually takes a few days so do not wait.
I have a specific pixel within this email message, and now I know that you have read through this e mail. You now have two days in order to make the payment. If I do not receive the BitCoins, I will certainly send out your video recording to all your contacts including members of your family, colleagues, and so on. You better come up with an excuse for friends and family before they find out. Nonetheless, if I receive the payment, I will erase the proof and all other proofs immediately. It is a non-negotiable one time offer, so don’t ruin my personal time & yours. Your time is running out.

Hypothèses

Les hypothèses évoquées par Brian Krebs sont qu’il s’agit vraisemblablement de messages envoyés au hasard à une liste de personnes sur la base d’une fuite de données massive telle qu’on a malheureusement pu en avoir beaucoup au cours des dernières années. Cela converge avec les témoignages que j’ai pu recevoir.

Recommandations

Les recommandations que je pourrais faire aux victimes de cette tentative d’extorsion sont simples:

  • Ne pas payer la rançon, ne pas contacter l’escroc, ne pas répondre
  • Comme il s’agit ici d’une tentative reposant sur une vraie base de données volée, il est probable que vous reconnaissiez le mot de passe. Si vous l’utilisez encore sur un de vos comptes (courrier électronique, réseau social, etc.), changez-le très rapidement. La CNIL propose de très bons conseils sur les mots de passe, notamment en vous incitant à utiliser un logiciel de gestion des mots de passe.
  • Vous pouvez vérifier si votre adresse ou vos pseudonymes sont présents dans des détournements connus en les vérifiant sur haveibeenpwned. Dans ce cas modifiez aussi vos mots de passe pour ces comptes.

Campagne de hameçonnage ciblant les clients d’OVH

Depuis quelques jours une campagne de hameçonnage cible plus particulièrement les clients d’OVH, la gendarmerie du Doubs et du territoire de Belfort sur sa page Facebook.

En effet, j’ai moi-même reçu trois messages de hameçonnage successifs ciblant le même nom de domaine dont je suis le gestionnaire chez OVH (envoyés à l’adresse de contact du nom de domaine):

  • 7 mars 2018 15:27, objet: « Fermeture du XXX » XXX étant le nom de domaine, provenant apparemment de « <support@ovh.com> »
  • 8 mars 2018 05:24, objet: « [ֹOVֹH] : erreur ! », provenant apparemment de « [ֹOVֹH] » <support@ovh.net>
  • et de façon identique le 10 mars 2018 17:20

Jetons un œil à l’aspect du dernier message:

 

Si l’on passe la souris au dessus de l’URL qui devrait être celle du site d’OVH on obtient en réalité:

(la zone floutée correspond à l’adresse de contact du nom de domaine ciblé). Si l’on suit cette adresse, après deux redirections on se retrouve sur l’adresse (ATTENTION ne pas vous rendre sur cette adresse sans précautions !):

Le site Web est celui d’une société d’informatique allemande dont le site Web a été modifié pour afficher une page ressemblant à celle d’OVH:

Comment se protéger ?

Suivant les solutions de sécurité dont vous disposez sur votre ordinateur, vous serez éventuellement averti qu’il s’agit en réalité d’une page de hameçonnage connue. Ainsi, à l’heure où j’écris ces lignes, Windows Defender de Microsoft le signale correctement lorsqu’on visite cette page.

Si vous voulez participer à signaler ce type de messages et de pages de phishing c’est assez simple. L’association Signal Spamdont j’ai parlé plusieurs fois ici – fournit un plugin pour votre navigateur Web qui permet de signaler les messages non sollicités et les pages Web de hameçonnage.

Les signalements sont non seulement traités par Signal Spam, mais font l’objet d’une transmission vers les éditeurs des différents navigateurs.

Une mise à jour récente des modules de signalement de Signal Spam autorise désormais le signalement des URL (adresses internet) de phishing. Concrètement, cela signifie qui si au cours de votre navigation sur internet vous tombez sur un site de phishing, il vous est possible d’utiliser le même bouton Signal Spam installé dans votre navigateur (chrome, safari, ou firefox) qui sert traditionnellement au signalement d’un courriel indésirable pour signaler le site de phishing. Le module Signal Spam reconnaîtra que vous naviguez sur une page de phishing, et signalera l’URL.

L’URL ainsi signalée sera placée dans une liste noire qui préviendra la navigation sur ce site par d’autres utilisateurs de Signal Spam. Il est bien sûr possible de signaler un « faux-positifs », c’est à dire un signalement que vous estimez erroné, ou de poursuivre malgré tout votre navigation sur le site de phishing en pleine connaissance de cause.

En outre, la mise à jour des modules intègre également une protection de votre messagerie contre les messages de phishing : une alerte s’affichera lorsque vous vous apprêtez à ouvrir un message contenant des liens identifiés comme dangereux.

Le fonctionnement de cette fonctionnalité STOP PHISHING – développée par Signal Spam en partenariat avec la société Verifrom vous est expliqué dans la vidéo ci-dessous:

Une vidéo proposée par la CNIL vous informe très précisément sur la façon d’installer le plugin dans votre navigateur:

Enfin, le service cybermalveillance.gouv.fr vous propose une fiche de prévention sur le sujet du hameçonnage:

Développeurs, ne partagez pas vos clés avec n’importe qui

OctocatLe phénomène n’est pas nouveau, mais il semble toujours faire des ravages: des utilisateurs de github – une plateforme utilisée notamment pour partager du code logiciel – y publient malencontreusement des données confidentielles (mots de passe, clés d’authentification) en partageant leurs développements. Et certaines de ces données sont particulièrement recherchées, notamment les clés d’authentification sur les plateformes de services telles Amazon EC2 (ou Microsoft Azure).

Amazon EC2 est un service (proposé par Amazon Web Services – ce qui nous rappelle qu’Amazon n’est pas qu’une société de commerce électronique) qui permet notamment de disposer très rapidement de multiples instances de serveurs notamment pour disposer d’une puissance de calcul flexible au moment où l’utilisateur en a besoin.

Le dernier exemple en date – qui a été publié par sa victime pour aider à sensibiliser contre ce risque – s’est déroulé de cette façon:

  • Pendant les vacances de Noël, la victime a voulu tester Ruby on Rails, une plateforme de développement d’applications pour le Web, en l’occurrence pour essayer de développer rapidement un site sur le même modèle que Yelp (un réseau social de recommandation de restaurants et autres commerces) – et il utilise pour ses tests différents services d’informatique en nuage auxquels il semble habitué ;
  • Il se sert notamment de heroku pour stocker son application (elle est en ligne ici d’ailleurs), mais a besoin d’espace pour stocker ses images, il rajoute donc dans sa configuration un espace de stockage sur un compte Amazon à l’essai (en l’occurrence la branche Amazon S3) ;
  • En même temps, il pousse son code sur son compte github, mais se rend compte très rapidement que les clés de l’API d’Amazon, qui servent à identifier de façon unique son compte auprès de leurs services, ont aussi été poussées sur les serveurs de github. Il procède à un nettoyage rapide, s’estimant protégé par le fait qu’il n’avait pas spécialement diffusé l’adresse de son dépôt github pour cette application… (normalement ces fichiers de configuration auraient dû se trouver listés dans le fichier .gitignore pour empêcher une telle bévue)
  • Au réveil le lendemain matin, 4 courriers électroniques d’Amazon l’attendent sur sa boîte mail et un appel en absence. Au bilan, ce sont près de 2400$ qui ont été dépensés à son insu !

Il semblerait en effet que des individus fassent tourner des routines qui cherchent automatiquement et en permanence les mots de passe et clés d’API Amazon ou autres informations confidentielles. Github dispose en effet d’un moteur de recherche qui facilite ce type de découvertes (article d’ITNews qui expliquant ceci au mois de mars 2014). Ces ressources sont ensuite apparemment utilisées pour miner des crypto-monnaies (des Litecoin ou des YaCoin apparemment, d’autant plus profitables si on ne paie pas les ressources utilisées pour les calculs cryptographiques, mais les plus chevronnés chercheront sûrement les crypto-monnaies les plus rentables du moment).

Notre victime de Noël 2014 n’est pas la seule à avoir rendu publique sa mésaventure (on note qu’Amazon est conscient du problème et rembourse les victimes qui se font avoir une première fois) :

Amazon donne ici des conseils utiles pour se protéger et des bonnes pratiques ici. Et de façon générale, si vous êtes un développeur et souhaitez faire profiter les autres de vos développements (sur Github ou d’autres plateformes de partage), faites attention à ne pas publier de données confidentielles dans ces espaces de partage (par exemple, regroupez toute la configuration dans un seul fichier que vous ferez systématiquement attention de ne pas partager et avant de partager, faites une recherche dans votre code). Si vous avez d’autres conseils ou d’autres ressources, n’hésitez pas à les partager en commentaires.

Le fait que deux ans après l’alerte sur ce type de risque ait été lancée, on ait toujours autant de cas montre qu’il faut faire circuler l’information, donc n’hésitez pas à partager l’article !

Petit complément: en mai 2014, un autre événement intéressant a été signalé: des données confidentielles de NBC ont été accidentellement partagées avec un autre utilisateur de Github parce que son pseudonyme ressemblait certainement à celui de la personne normalement concernée. Cela peut vous arriver dans n’importe quelle plateforme de partage (par exemple sur le Drive de Google ou Office.com de Microsoft).

Les menaces se propagent silencieusement malgré les mises à jours (de Java)

Dans un article sur mon blog en langue anglaise, je reviens sur des événements très récents dans la diffusion de l’information de sécurité et leur utilisation par les délinquants numériques. En résumé:

  • Une mise à jour de Java est publiée le 16 avril
  • Le 17 avril des articles de sécurité publient certaines méthodes d’exploitation des vulnérabilités corrigées
  • Dès le 21 avril on voit dans la nature des plateformes d’exploit (voir l’article de ce blog sur la diffusion des virus) qui utilisent ces vulnérabilités de façon massive
  • Une méthode de contournement du message d’avertissement qu’affiche normalement Java avant d’exécuter une application est utilisée. Il en résulte ces derniers jours un doublement du taux de machines ciblées pour lesquelles l’attaque fonctionne (atteignant des taux de 20%).
Message d'avertissement de Java qui est contourné par certaines attaques de plateformes d'exploit actuellement.

Message d’avertissement de Java qui est contourné par certaines attaques de plateformes d’exploit actuellement.

Conclusion:

  • Vérifiez que votre installation de Java est à jour, et si vous n’en avez pas besoin désactivez Java dans votre navigateur (article de Slate vous guidant pour cette désactivation). L’ANSSI publiait il y a quelques jours un guide sur la sécurité des environnements d’exécution Java sur les postes de travail, plutôt destiné à un public professionnel.
  • Il est grand temps que la communauté de la sécurité réfléchisse un peu plus avant à la diffusion de l’information sur les vulnérabilités et sa coordination avec l’information du public sur les risques.
  • A quand un service de « météo » de la sécurité des ordinateurs personnels?

L’article en anglais contient quelques détails supplémentaires.

Hameçonnage: quelques conseils

Suite à un reportage ce soir sur M6, dans l’émission Capital, quelques conseils:

  • Cela peut paraître évident, mais parfois certains tombent dans le piège: si vous recevez un courrier électronique d’une entreprise dont vous n’êtes pas client et qui vous parle de problèmes avec votre compte, ce n’est forcément pas légitime et le plus souvent ce sera une tentative de hameçonnage.
  • Si c’est une entreprise dont vous êtes client ou une administration que vous connaissez, faites attention au lien sur lequel vous êtes invité à cliquer (il apparaît en général lorsque vous passez votre souris au-dessus du lien lorsque vous cliquez). Dans certains cas, le lien aura l’air légitime, mais une fois que vous aurez cliqué dessus c’est sur un tout autre site que vous serez redirigé. Si vous avez un doute, n’hésitez pas à taper vous-même l’adresse que vous connaissez déjà, par exemple avec le favori que vous avez mémorisé dans votre navigateur.
  • Attention, contrairement à ce qui était dit à la fin du reportage, ce n’est pas parce que le site est en https:// que vous êtes en sécurité contre un hameçonnage. Si le site malveillant utilise ce protocole de sécurisation, vos données seront sécurisées entre votre ordinateur et le site de l’escroc, mais tomberont bien dans les mains de l’escroc. Il est rare de rencontrer des sites de hameçonnage hébergés de cette façon-là, mais ils existent bien.
  • Une fois connecté sur un site, une dernière caractéristique du hameçonnage est qu’on vous demande parfois beaucoup plus d’informations que celles auxquelles vous avez l’habitude de répondre.
hameconnage-caf

Exemple de site Web de hameçonnage se faisant passer pour la CAF avec beaucoup de questions (code postal, identifiant, code personnel et date de naissance)

  • Enfin, certains hameçonnages sont plus rudimentaires et vous demandent carrément de fournir des informations confidentielles par retour de courrier électronique. N’y répondez pas !

Quelques réactions utiles pour vous protéger et aider à protéger les autres:

  • Vérifiez régulièrement vos comptes bancaires et si vous avez accès à des options gratuites qui vous avertissent par SMS lors de transactions qui dépassent votre découvert autorisé, n’hésitez pas à en profiter.
  • Les grandes marques agissent suite à vos signalements et un courrier électronique à l’adresse abuse@(domaine de la marque) est très souvent traité rapidement, comme il est indiqué dans le reportage pour l’adresse abuse@orange.fr
  • Les courriers électroniques de hameçonnage peuvent être transmis à Signal Spam pour mieux lutter contre leur diffusion.
  • Les URL (l’adresse du site Web) de hameçonnage peuvent être signalées à Phishing-Initiative. Ils seront vérifiés et ensuite rapidement bloqués dans un grand nombre de navigateurs Web (Internet Explorer, Firefox et Chrome). L’équipe de Phishing Initiative tient un blog où vous trouverez des exemples de hameçonnage.
  • Enfin, en cas de doute, vous pouvez contacter le service client de l’entreprise concernée ou recueillir des conseils auprès du numéro Info-Escroqueries mis en place par le ministère de l’Intérieur: 0811 02 02 17.

Malheureusement, on se fait parfois avoir. Dans ces cas-là, signalez rapidement l’information à votre banque. Vous pouvez aussi déposer plainte. Dans ce cas, gagnez du temps et fournissez en même temps tous les éléments qui seront utiles (relevés de compte, références de votre abonnement Internet, copies d’écran des courriers électroniques et pages de hameçonnage si vous les avez encore – dans l’idéal les codes source de ces informations, Signal Spam vous explique comment obtenir le code source des courriers électroniques en bas de cette page et pour les pages Web, la commande commune à la plupart des navigateurs Web est Ctrl+U / Pomme+U sous MacOS ou encore grâce à une fonction du menu qui apparaît avec un clic droit de la souris).

Signaler le spam

Il n’est pas besoin de préciser ce qu’est le spam, en général tout internaute même débutant y a déjà été confronté, c’est une des plaies principales de la vie sur Internet.

Plusieurs sources permettent d’avoir une idée de l’ampleur du problème. Ainsi, Trustwave publie une page de statistiques tenue automatiquement à jour, avec des informations intéressantes sur le volume de spam (73% des courriers traités par leurs plateformes) ou encore leur source (essentiellement des botnets, comme Lethic, Cutwail, Grum, Kelihos,…) ou leur sujet (médicaments, propagation de virus informatiques, contrefaçons, etc…). Un autre prestataire de solutions antispam, Cisco Ironport, annonce des taux identifiés autour de 85%; Barracuda Networks relève près de 80% dans ses mesures. Le M3AAWG enfin relève un taux assez constant de l’ordre de 88 à 90% de messages jugés « abusifs ».

Les catégories de spam selon le rapport de Kaspersky Lab en août 2012 (cliquer sur l’image)

Pour beaucoup d’internautes, une solution antispam est mise en place par leur opérateur, qu’il s’agisse de solutions commerciales comme celles que nous venons d’évoquer ou de solutions basées sur des logiciels opensource comme SpamAssassin, ASSP ou DSPAM. Ainsi, l’essentiel des spams ne parviennent jamais dans votre boîte aux lettres. Certains dont la destinée est incertaine parviennent automatiquement dans une boîte intitulée « Spam » par votre prestataire de messagerie, vous permettant d’y récupérer éventuellement des faux positifs. Enfin, quelques-uns parviennent tout de même à passer les barrières et arrivent jusque dans votre boîte aux lettres principale.

Finalement, en plus des messages légitimes de ses correspondants, on reçoit dans sa boîte aux lettres quelques messages malveillants, qui ont réussi à passer les solutions de sécurité existantes, ainsi que des messages à caractère commercial dont certains nous intéressent mais pour d’autres on ne sait pas toujours pourquoi on en est rendus destinataires ou s’il est possible de ne plus les recevoir.

Nous avons ainsi plusieurs catégories de messages dans les boîtes des usagers:

  • des courriers légitimes de la part des contacts des internautes;
  • des courriers à caractère commercial que l’usager souhaite recevoir (factures et états de commande, information commerciale souhaitée comme des promotions) – la prospection commerciale n’est pas en soi illégale, c’est contre les abus, les mauvaises pratiques, voire les pratiques illégales qu’il faut lutter;
  • des courriers totalement illégaux (hameçonnage, vente de produits illégaux, diffusion de virus informatiques);
  • des courriers à caractère commercial que l’usager ne souhaite pas recevoir (prospection commerciale non souhaitée ou plus souhaitée); dans cette catégorie, on retrouve plusieurs cas, selon que la prospection est réalisée à partir d’informations personnelles collectées:
    • directement auprès du destinataire avec son consentement (et il a le droit de s’y opposer ultérieurement);
    • par des tiers auprès du destinataire et fournies à l’annonceur de façon transparente et légale (même commentaire);
    • par des tiers auprès du destinataire et fournies à l’annonceur sans l’autorisation de la personne (et il s’agit au moins d’un dysfonctionnement, voire d’une action illégale);
    • illégalement (sans le consentement éclairé et librement exprimé par la personne), par exemple en collectant les adresses publiées sur des forums.

Pour les messages qui arrivent finalement dans sa boîte de courrier électronique et qu’il ne souhaiterait pas recevoir, il n’y a que l’internaute qui puisse agir. C’est pour traiter le problème de ces messages non filtrés par les plateformes automatisées qu’est né le projet Signal-Spam en 2003, sous l’impulsion de la direction du développement des médias. D’abord il s’agissait d’un groupe de contact contre le spam, qui est devenu une association loi 1901 en 2005. En 2007 l’association lançait son outil de signalement, une extension pour les logiciels de messagerie Thunderbird et Outlook. Enfin, il était possible d’avoir accès aux messages qui sont réellement problématiques pour les internautes.

Très concrètement, les messages qui sont signalés par les internautes font tous l’objet d’une intégration dans la base de données et sont triés en fonction de leur origine. Ainsi, des messages d’alerte peuvent être adressés sous forme de boucle de rétroaction, vers les personnes qui ont émis ces messages, soit qu’il s’agisse de membres de l’association, soit qu’ils fassent l’objet d’une convention spécifique. Chaque destinataire d’une boucle de rétroaction ne reçoit que les données strictement nécessaires pour lui permettre d’identifier les messages problématiques et ce uniquement pour des messages qu’il a pu émettre ou faire transiter.

Suivant l’association de loin en loin, parce que le sujet du spam fait partie de nos préoccupations professionnelles, j’ai accepté en juin 2011 de prendre à titre personnel une participation plus active dans cette association en étant élu vice-président (conformément aux statuts de l’association cette tâche m’est confiée à titre personnel et non en tant que personnel de la gendarmerie et les membres du bureau ne reçoivent aucune rémunération pour leurs fonctions). En effet, nous partagions tous le constat que le fait que l’association existe était positif, mais qu’il y avait de gros progrès à faire sur ses moyens d’action, c’était donc logique de m’investir un peu plus. Mon engagement a donc comporté deux volets: le développement de l’association – et notamment accompagner ses progrès dans la prise de conscience collective de la nécessité de combattre contre le spam, et la construction d’une démarche déontologique, garante des moyens d’action de l’association.

Mettre tous les acteurs autour de la table

Dans La cybercriminalité en mouvement (Ed. Hermès-Science Lavoisier, 09/2012), j’ai consacré tout le chapitre 11 (Le partage comme arme) à la conviction que j’ai construite avec les années qu’il est indispensable d’échanger et d’agir collectivement avec toutes les parties prenantes pour traiter les problèmes liés à la cybercriminalité. Ça semble évident, mais encore faut-il le réaliser concrètement.

Ainsi, la France s’est dotée par la loi en 2001 d’un Observatoire de la sécurité des cartes de paiement, plaçant autour de la table, dans un cadre institutionnel, des élus, les administrations, les banques, les consommateurs, les commerçants, les schémas de paiement par carte bancaire et des experts choisis pour leurs compétences. Autre expérience intéressante, le Forum des droits de l’Internet a permis pendant presque dix ans de faire vivre le débat sur de nombreux sujets touchant aussi à la cybercriminalité, par exemple en matière de protection des enfants sur Internet. A l’étranger, on voit des initiatives du même ordre, tels des forums sur la fraude bancaire (Electronic crimes task force des Pays-Bas lancée en 2011), le projet Infragard du FBI aux Etats-Unis, ou l’association e-crime Wales au Pays de Galles. Toutes ces structures ont des formats et des objectifs différents, mais participent du même objectif de partage et de l’action collective.

Pour Signal-Spam, il était important d’avoir autour de la table non seulement ceux qui peuvent agir contre le spam reçu par leurs clients, mais aussi ceux dont le métier est l’envoi de courriers électroniques, qu’il s’agisse des annonceurs ou encore des professionnels auxquels ils font appel pour fabriquer leurs messages, identifier éventuellement les destinataires intéressés ou encore les relayer. D’abord pour bien comprendre comment tout cela fonctionne, établir le dialogue entre tous les professionnels, ensuite pour être en mesure de transmettre efficacement à ces acteurs l’information sur les plaintes qui remontent des usagers.

Ainsi, les fournisseurs d’accès reçoivent à destination de leurs usagers des messages illégitimes ou abusifs, mais ils peuvent aussi émettre à leur insu de tels courriers électroniques, par exemple lorsque certains de leurs clients sont contaminés par un virus informatique lié à un botnet émettant du spam. Les annonceurs et les professionnels de la messagerie ont aussi leur place. C’est une critique qui est souvent faite à Signal Spam que d’avoir parmi ses membres des entreprises qui sont parfois négativement perçues par le public, et c’est pourtant ce qui fait son point fort, car elle est en mesure ainsi d’agir directement sur leurs pratiques et de leur faire parvenir efficacement les plaintes des internautes. Pour ceux dont le métier est de faire de la prospection commerciale, ils ont tout intérêt à ce que leur message soit bien perçu par leurs destinataires. Enfin, on retrouve des sociétés spécialisées dans la sécurisation du courrier électronique et les organismes publics concernés par ces questions. La CNIL est concernée très directement par le travail de l’association dont les informations contribuent à orienter ses contrôles (ces contrôles peuvent d’ailleurs porter indifféremment sur des entreprises sans rapport avec Signal Spam ou si c’était nécessaire membres de l’association, voir le site de la CNIL). Les internautes participent directement par leurs signalements, on peut imaginer que dans un avenir proche des associations qui les représentent viennent compléter le tour de table.

Charte de déontologie

C’était un point clé de mon engagement l’an dernier, et nous avons mené ce projet collectif en quelques mois, en dotant l’association d’une charte de déontologie; elle a été adoptée par l’assemblée générale de juin dernier. Son contenu tient en quelques idées maîtresses:

  • afficher clairement les engagements concrets de ses membres dans la lutte contre les courriers non sollicités, chacun selon son rôle;
  • disposer d’un outil concret pour dialoguer avec les futurs membres sur les mesures qu’ils doivent implémenter avant de rejoindre l’association et avec les membres actuels pour mesurer avec eux leur action;
  • de spécifier les engagements des destinataires de boucles de rétroaction qui ne sont pas membres de l’association;
  • et garantir l’indépendance de l’association et des organismes publics associés par rapport à ses membres pour leur permettre de jouer un rôle de médiateur.

Ainsi, il s’agit tout autant de permettre aux internautes, dans le respect des règlements en place, de pouvoir facilement faire cesser tout message qu’ils considéreraient comme abusifs de la part d’un membre, directement auprès de ceux-ci parce qu’ils ont des fonctions transparentes et claires d’information et de désinscription ou encore de gestion des abus, que de permettre aux membres entre eux d’établir un dialogue pour la bonne circulation des courriers électroniques légitimes. Enfin, il s’agit évidemment de permettre à ce que l’action collective de Signal Spam soit réalisée sous les meilleurs auspices en traitant le plus efficacement possible les signalements reçus des internautes.

Dans les mois qui viennent, tous les membres de l’association auront ainsi informé leurs usagers de la façon dont ils ont implémenté la charte, le règlement intérieur va être adapté pour inclure très rapidement (dès ce mois d’octobre 2012 en pratique) la charte dans les procédures d’acceptation de nouveaux membres ou de destinataires de boucles de rétroaction. Enfin, il s’agit d’un document évolutif et des améliorations sont attendues sur le texte d’ici l’année prochaine sur la base des débats qui ont repris.

Pour l’avenir

La charte déontologique fait donc clairement partie des actions pour l’avenir, car il faudra faire le bilan de son application, mais d’autres chantiers sont entrepris. Le premier a été celui de la communication et un nouveau site Web a pu être enfin lancé au début de l’année 2012. Beaucoup plus dynamique, il va permettre de publier plus régulièrement de l’information et par exemple des efforts seront entrepris dès 2013 pour diffuser plus d’informations vers les internautes sur l’action concrète de l’association, notamment des informations statistiques.

De nouvelles extensions pour des logiciels de messagerie devraient voir le jour et d’autres modes de signalements proposés aux internautes, mais je laisse le soin à l’association de faire les annonces le moment venu, mon petit doigt me disant que les quelques semaines qui viennent devraient avoir leur lot de bonnes nouvelles.

Ensuite, une refonte complète du moteur qui traite l’ensemble des signalements au cœur de Signal Spam est en cours de réalisation et une plateforme de traitement plus performante devrait voir le jour en 2013.

Enfin, de nouveaux membres rejoindront nous l’espérons l’aventure et des partenariats seront développés avec des structures similaires dans d’autres pays pour échanger des informations qui nous concernent réciproquement, par exemple lorsque des adresses IP d’un autre pays sont à l’origine des messages signalés (ainsi, Signal Spam et son alter ego OPTA aux Pays-Bas ont déjà signé un partenariat).

Pour envisager d’autres pistes de notre travail, il faut se rappeler que le spam n’est pas présent que sur le courrier électronique, mais aussi sur des messageries instantanées, les réseaux sociaux – et on a déjà parlé ici de l’action du 33700 en matière de lutte contre le spam par téléphone. Ces autres plateformes sur Internet sont certainement un des axes de travail pour le futur de l’association.

Signalez, participez

Pour que cela fonctionne, il est indispensable que les internautes participent, par leurs signalements à cette lutte contre les messages non sollicités.

La mise en place du nouveau site Web a entraîné des difficultés concrètes pour la réalisation des signalements et de nombreux internautes nous ont patiemment aidé à résoudre ces problèmes en contactant l’association. Aujourd’hui, des difficultés beaucoup moins nombreuses, mais réelles sont parfois rencontrées au moment des pics de trafic. C’est une des raisons pour lesquelles nous allons faire évoluer l’infrastructure. Toutefois, en attendant cette migration majeure, des évolutions plus discrètes sont régulièrement réalisées pour améliorer nos capacités dans l’architecture actuelle. Le chargé de mission de l’association s’efforce d’apporter des réponses à chaque internaute qui fait part de difficultés, mais des efforts seront encore entrepris en 2013 pour mieux informer les utilisateurs sur les incidents techniques.

Aussi n’hésitez pas à participer en vous inscrivant, en signalant les courriers électroniques qui vous posent problème, et si nécessaire en nous faisant part des difficultés techniques quand vous en rencontrez.

Je suis bien conscient qu’il y a encore énormément de chemin à parcourir et que le problème du spam est loin d’être réglé en France. Il est possible donc qu’il y ait des commentaires négatifs suite à ce billet sur la qualité des résultats de Signal Spam. Je m’efforcerai de répondre à tous les messages du moment qu’ils sont, comme c’est la règle sur ce blog, écrits de façon conforme à la netiquette et constructifs.