Au secours ! Les PC Zombies se mettent à retransmettre !

Selon une note publiée ce jour par Bruno Rasle, co-auteur du livre de référence Halte au Spam (Eyrolles, 2003) et responsable des offres de la société Cortina, des signes laissent penser qu’une nouvelle génération de PC zombies est désormais capable de gérer des réémissions. Jusqu’alors, les programmes malveillants qui infectent ces PC étaient relativement frustes et se contentaient de procéder à une unique émission. Une technique anti-spam remarquée pour son efficacité – le greylisting – s’appuie sur cette particularité pour éliminer une grande partie des pourriels avant même leur entrée dans le système de messagerie. L’apparition de ces PC Zombies plus intelligents, capables de gérer des réémissions, risque-t-elle de remettre en cause son apport ?

Le Greylisting repose sur l‘hypothèse qu‘une source de messages légitimes est capable de réémettre un message si une erreur temporaire survient, alors qu‘au contraire, les sources illégitimes (comme les PC Zombies utilisés à l’insu de leur propriétaire pour diffuser des spams) en sont incapables. Cette technique consiste à modifier le comportement des serveurs SMTP en rejetant systématiquement tout message provenant d’un émetteur inconnu, avec un message d’erreur temporaire. Le serveur qui a initié l’émission place alors le message dans sa file d’attente, et fait une nouvelle tentative à l’expiration de son temporisateur de réémission.

En d’autres termes, lors de sa première tentative pour vous adresser un email, le correspondant se verra soumis à cette « temporisation » (plus précisément le serveur relais chargé de vous adresser le message). A l’expiration du temporisateur du serveur relais émetteur, le message sera adressé à nouveau. Le filtre greylisting reconnaîtra cette réémission et acceptera l’email.

Dans son étude, le spécialiste décrit les avantages et les points « perfectibles » de cette technique intéressante, en citant plusieurs de ses utilisateurs enthousiastes. Mais certains ont noté ces derniers temps l’apparition d’émetteurs de spams qui se représentent à l’issue de la temporisation imposée. Ainsi, à l’université de Toulouse dont il est responsable réseau, Fabrice Prigent a configuré son filtre avec un blocage annoncé de 300 secondes. Constatant des réémissions effectuées entre 301 et 320 secondes plus tard, le chercheur a fait de ce comportement une caractéristique de spam pour son second niveau de filtrage, à base de DSPAM.

Cette nouvelle génération de PC-zombies peut-elle mettre en danger le greylisting ? Bruno Rasle ne le pense pas, rejoignant ainsi l’analyse de Jose Marcio Martins Da Cruz, chercheur à l’Ecole des Mines et auteur du filtre anti-spam J- chkmail, car ce contournement devrait gêner le modèle économique des spammeurs ; un zombie capable de gérer les erreurs SMTP est un zombie plus complexe, donc plus cher. Mais surtout, pour le chercheur de l’Ecole des Mines, « Avoir à gérer la temporisation signifie diminuer le débit utile du zombie. Si un zombie répète chaque connexion, cela signifie un débit utile divisé par deux ».

De même, Emmanuel Dreyfus auteur d’un milter Grey-listing cité dans ce document, a modifié sa configuration, en masquant son message « greylisting in action, please come back in 5 mn ». Cette mutation ne le surprend pas : « Clairement les parades contre la liste grise vont se développer. Je suis d'ailleurs surpris que ça ait mis tant de temps : quand j'ai écrit milter-greylist, je pensais être tranquille pour six mois, et j'ai eu déjà deux ans de tranquillité ».

Dans cette même étude – accessible librement sur le site de la société Cortina (www.cortina.fr

) – il fait état d’une autre menace qui pèse sur la technologie anti-spam actuellement la plus efficace ; le filtrage bayésien. On peut en effet redouter l’apparition de PC zombies capables d’imiter le style d'écriture de l'utilisateur officiel de l’ordinateur, notamment la longueur des mots utilisés, l'utilisation des majuscules, de signatures ou d'abréviations. Il serait possible de passer outre la plupart des filtres antispam de type bayésien en ciblant les messages vers des contacts réguliers du propriétaire du PC infecté. On peut donc craindre que les spammeurs n’aient pas dit leur dernier mot…

A propos de Cortina
Cortina est une société dédiée la protection de l'information confidentielle des moyennes et grandes entreprises. Les services et les solutions soigneusement sélectionnés aident les entreprises à mieux protéger leur propriété intellectuelle, leurs communications stratégiques et l'intégrité de leur marque. Grâce à Cortina, elles bénéficient d’une maîtrise accrue de leurs ressources et de leurs moyens, elles disposent d’une mesure des vulnérabilités, elles réduisent leurs risques, elles adaptent leur système d'information aux nouveaux besoins et exigences de leurs clients et utilisateurs. http://www.cortina.fr