SPAM! SPAM! SPAM! SPAM : une page de publicité! Fabien Coelho (coelho@cri.ensmp.fr) SPAM! Acteurs de la messagerie. Session SMTP

SPAM : une page de publicité! (coelho@cri.ensmp.fr) diplômes École des mines de Paris, Ingénieur Civil (93), Docteur (96) enseignement ENSMP, ESIGETEL, Télécom Bretagne, Mastère Spécialisé MSIT (Management SI et Tech, HEC-Mines) missions ponctuelles animations, formations, audit et conseil en SI compétences SI ingénierie logicielle : développement, outils SCM administration réseau, applications web cryptographie, sécurité des réseaux, parefeu... bases de données, administration système (unix) logiciels libres : PostgreSQL, Apache, Subversion SPAM! SPAM! SPAM! 1 2 le phénomène acteurs et protocoles origine, définitions exemples histoire ampleur acteurs les batailles filtrage par le contenu établir la confiance ralentir le flux la loi l issue SPAM! CNIL 2002 Acteurs de la messagerie MUA Mail User Agent, programme client final logiciels MS-outlook thunderbird mail/elm/pine... MTA Mail Transfer Agent : serveur envoi/réception, SMTP logiciels sendmail qmail exim postfix MS-Exchange... MDA Mail Delivery Agent : récupération des mails reçus protocoles POP, IMAP, POPS, IMAPS, éventuellement HTTP 3 4 Les protocoles et standards IETF IP Internet Protocol : numérotation machines et routage de paquets TCP multiplexage port, double flux, contrôle réception et débit SMTP Simple Mail Transfer Protocol, RFC 821 message format ASCII (pas de lettre accentuées) enveloppe : adresses source et destination entête : sujet, adresses, chemin suivi... contenu : texte limité en taille ESMTP Extended Simple Message Transport Protocol, RFC 1425/1869 MIME Multipurpose Internet Mail Extensions RFC 2045-2049 pièces attachées, codage binaire (base64) Session SMTP bonne foi supposée des parties... coût communication très bas + nombreux internautes solvables 220 smtp.cri.ensmp.fr ESMTP Sendmail 8.9.3 MAIL FROM: w@whitehouse.gov 250 w@whitehouse.gov Sender ok RCPT TO: coelho 250 coelho Recipient ok DATA 354 Enter mail, end with "." on a line by itself From: George <w@whitehouse.gov> To: Fabien <coelho@cri.ensmp.fr> Subject: Hello Hello Fabien, how do you do?. 250 OAA26140 Message accepted for delivery 5 6 Anatomie mail (et d un spam) enveloppe HELO, MAIL FROM, RCPT TO, partiellement invisible entêtes From, Reply-To, Return-Path, Cc, To, Received... corps avec formats (texte, html) et encodages (url, caractères, html) Received: from softbank219211033059.bbtec.net (softbank219211033059.bbtec.net [219.211.33.59]) by gif.cri.ensmp.fr (8.13.4/8.13.4/Debian-3sarge3) with SMTP id ka99r4zj016051; Thu, 9 Nov 2006 10:53:28 +0100 Date: Thu, 09 Nov 2006 13:46:09 +0400 From: "EURO VIP casino" <bengali@flyingwebsites.com> To: jetskier@cri.ensmp.fr Subject: 400 Euro Bonus de Bienvenue! http://www.evrovip.org/lang-fr/ Éléments d enquête DNS correspondances noms numéros IP 219.211.33.59 softbank219211033059.bbtec.net www.evrovip.org 217.20.209.154 217.20.209.154 rien WHOIS identification des responsables (théoriques) 219.211.33.59 institution financière au Japon evrovip.org domaine créé le 6 novembre 2006 adr Tonga, tél Turquie, mail Bielorussie, DNS Russie 217.20.209.154 hébergement Russie ISP traces des connexions (authentifications, num tél) sur saisie de la justice, police... 7 8

Site Web http://www.evrovip.org/lang-fr/ Euro-VIP le retour : 13/11/2006 spam pour www.evro-vip.org (tiret en plus) envoyé à partir de l Espagne 8.Red-80-32-44.staticIP.rima-tde.net 80.32.44.8 domaine créé le 10 novembre 2006... même numéro de machine hébergé en Russie Mais aussi... casino en ligne, options de paiement VISA/Mastercard... téléchargement d un exécutable automatique (javascript)... evrovip.net evro-vip.net evrovip.com evro-vip.com 777-eurovip.info euro-vip.net eurovipcasino.org eurovipcasino.net eurovipcasino.info 9 10 SPAM = SPiced ham Monty Python s Flying Circus SPAM skit épisode 25, 15 déc 1970 commande dans un restaurant cœur de vikings... Mr. Bun What have you got, then? viande de porc en boîte pour rations militaires depuis 1937 société Hormel bon comme du corned beef! Waitress Well, there s egg and bacon; egg, sausage, and bacon; egg and SPAM; egg, bacon, and SPAM; egg, bacon, sausage and SPAM; SPAM, bacon, sausage, and SPAM; SPAM, egg, SPAM, SPAM, bacon, and SPAM; SPAM, SPAM, SPAM, egg, and SPAM; SPAM, SPAM, SPAM, SPAM, SPAM, SPAM, baked beans, SPAM, SPAM, SPAM, and SPAM; or lobster thermidor aux crevettes with a mornay sauce garnished with truffle pate, brandy, and a fried egg on top and SPAM. 11 12 Définitions du SPAM 1. unwanted mail, junk mail courriels non souhaités, pourriels définition subjective! 2. unsolicited commercial email messages commerciaux non sollicités définition restrictive! 3. unsolicited bulk email messages non sollicités massifs définition également restrictive! 4. Send Phenomenal Amounts of Mail acronyme a posteriori Nature du SPAM, selon définition 1 UCE/UBE Unsolicited Commercial/Bulk Email vente produits, services, diplômes scam escroqueries et arnaques diverses 419, loto, etc. phishing pêche aux identitées virus propagé automatiquement (merci M$) et erreurs de propagations! (delivery failure) anti-virus refus des précédents! en général, source incorrecte hoax mystification, blagues, chaînes... voir http://www.hoaxbuster.com/ 13 14 Nigerian 419 Scam : Avance de frais Date: Thu, 15 Jun 2006 14:09:44 +0400 From: Mrs. Florence Lloyd <f.lloyds_consult@yahoo.ca> To: fabien@coelho.net Subject: Dear Sir, I am contacting you regarding a brief for the Investment of Twenty Five Million Dollars (US$ 25,000,000:00) in your country, to work with you in mutual partnership under the conditions that: 1. My client s fund is held in cash. 2. My client is willing to invest immediately. 3. My client will pay you a commission of 15% of the investment fund for logistics and protocols. 4. My client desires absolute confidentiality in the handling and management of this brief. Logiciels téléchargeable à prix cassés... Date: Tue, 20 Jun 2006 09:05:01 +0800 From: Gregory Ramirez <danquaranta@eroticstockphoto.com> To: fabien@coelho.net Subject: Buy OEM Software Special Offer Adobe Video Collection * Adobe Premiere 1.5 Professional * Adobe After Effects 6.5 Professional * Adobe Audition 1.5 $149.95 More Info >> lien www.stalinisoft.com domaine 18/06/2006, BP Finlande hébergement du site en Chine 15 16

Mise à jour des informations ebay/paypal/hsbc... Date: Thu, 15 Jun 2006 20:24:24 +0100 From: HSBC Bank <service@hsbc.co.uk> To: fabien@coelho.net Subject: Your account access has been limited Dear online banking customer, Thank you for using the HSBC Bank Online Transfer(R) - service. In order to provide final approval for your transaction, we need additional information. Please access your online banking account to verify the information is correct and complete your enrollment. If we do not hear from you within the next 24 hours, we will cancel your Online Transfer(R) service. lien http://209.208.104.40/panel/hsbc/index.html Proposition de Job bizarre... Date: Sat, 24 Jun 2006 00:12:28 +0400 From: Jacklyn <Jacklyn@SiliconEmail.com> To: coelho@cri.ensmp.fr Subject: ew experience This offer does not require any experience or any school degree. It is the way for you to earn money without any serious effort. Job is called Bank Courier. All the information available on our website, please visit: http://www.bestfast-job.com 2. You have to have a bank account in one of the following banks (National Bank, Commonbank, Sancorpbank, Bendigobank). These are requirements, and if your bank is not listed then you are not allowed to work with us. You will get paid in time and in big amounts. If you considered to start working with us, prepare your bank account information and you need to be 18+ years old. To begin your registration visit our website. 17 18 Les détails : phishing ou scam? Manipilations boursières Date: Fri, 23 Jun 2006 06:33:12-0180 From: Nancy Mercado <tkovner@smallworld.com> To: coelho@cri.ensmp.fr Subject: fwd: Your St0kkMarrkett Picks Trade Special special pr news release Get HYWI First Thing Tomorrow, This Is Going To Explode! beau site web 7 numéros ip (Corée et USA, semblent être des ADSL) société créée en 2002 d après elle-même mais domaine déposé en mai 2006 par un américain mais adresse en Lituanie blanchiement d argent volé par d autres arnaques internet... Check out the HOT NEWS!!! Holly wood Intermediate, Inc. Symbol: H Y W I CURRENT: $.70 GET IT N0W! Already up 0.12 (20.69%) Today Thursday the 22nd Before we start with the profile of HYWI we would like to mention something very important: There is a Big PR Campaign starting on Friday.Iit will run all weekend so it would be best to get in NOW. 19 20 Publicité pour des pillules Date: Mon, 26 Jun 2006 15:46:43 +0800 From: Lolita <Lolita.Fenton@earthlink.net> To: coppage@cri.ensmp.fr Subject: Enjoy the newest Surely you only dream of it Take a look:world famous brands which keep men happy all over the world! C V C H I I E A A A G L P R I A S http://www.sexygd.com Rock hard manhood, multiple explosions and several times more semen volume!fill up your supplies with our secure ordering, cost saving and fast delivery.the quality is realt high and the prices are the cheapest on the market! Citibank Date: Thu, 03 Jun 2004 05:38:59-0600 From: "CitiBank Accounts Department" Subject: Update your account information Dear Citibank Member, As part of our continuing commitment to protect your account and to reduce the instance of fraud on our website, we are undertaking a period review of our member accounts. You are requested to visit our site, and fill in the required information. https://www.citibank.com/?update=cb?account 21 22 Lien sécurisé vers HTML Citibank? <a href="http://verify-check.mycitibank.org."> https://www.citibank.com/?update=cb?account </a> Autre phishing Citibank Date: Wed, 14 Jul 2004 04:04:46 PM -0500 From: Citibank <users-supp@citibank.com> To: @ensmp.fr Subject: from Citibank. [Wed, 14 Jul 2004 04:04:46 PM -0500] en fait protocole http et domaine mycitibank.org propriétaire apparemment américain, e-mail en Russie... shell> whois mycitibank.org Registrant Name:Benjamin A Perowsky Registrant Street1:173 Dean St.#3 Registrant City:Brooklyn Registrant Postal Code:11217 Registrant Country:US Registrant Email:holyky@list.ru image clickage vers 128.134.200.240/cit/index.htm 23 24

Phishings francophones : BNP-Paribas, Banque AGF, LCL Date: Wed, 01 Feb 2006 13:32:45-0500 From: lcl <noreply@lcl.fr> To: <@ensmp.fr> Subject: LCL: Message de la banque 76-9563 http://lnteractif.credltlyonnals.com Cher client de BNP Paribas, Le département technique de BNP Paribas procède à une mise à jour de logiciel programmée de façon à améliorer la qualité des services bancaires. Nous vous demandons avec bienveillance de cliquer sur le lien ci-dessous et de confirmer vos détails bancaires. http://www.secure.bnpparibas.net/ Nous nous excusons pour tout désagrément et vous remercions de votre coopération. Cher client A cause des tentatives d escroquerie sur les comptes des clients de notre banque qui sont devenues plus fréquentes votre compte à été choisi pour effectuer la verification supplémentaire. Veuillez passer sur la page Internet d autorisation de la banque et saisir toutes les données nécessaires. Nous prenons soin de votre sécurité. Rappelez-vous que la banque ne vous demande jamais d envoyer le mot de passe ou les informations sur votre carte bancaire. Groupe Crédit Agricole - Site institutionnel LCL 25 26 Typologie des escroqueries sur internet Avance de frais type Nigéria 419 Loto et prix (éventuellement avec avance de frais) Pyramides classiques Emploi à domicile Banque récupération d information bancaire Voyance par email contre rémunération Réservations remboursement partiels avant paiement Renouvellement de domaines... etc. créativité infinie et étonnante des escrocs http://www.scamfraudalert.com/ http://www.scam.com/ Virus : Mise à jour sécurite pour Windows mail HTML au look MS Date: Fri, 03 Oct 2003 09:35:51 +0200 From: "MS Program Security Section" <MAILER-DAEMON> Subject: current network security pack this is the latest version of security update, the "October 2003, Cumulative Patch" update which fixes all known security vulnerabilities affecting MS Internet Explorer, MS Outlook and MS Outlook Express as well as three new vulnerabilities. Install now to protect your computer from these vulnerabilities, the most serious of which could allow an attacker to run executable on your computer. This update includes the functionality of all previously released patches. 27 28 Virus : fichiers zip, éventuellement chiffrés Date: Mon, 26 Jun 2006 17:40:42-0300 From: Djm <djm@uu.net> To: Coelho <coelho@cri.ensmp.fr> Subject: Henrie I love you archive password: [63295] pièce attachée "Cybil.zip" application/octet-stream Hoax : Raffarin 500mg somnifère... septembre 2002 large circulation 29 30 Histoire du SPAM mai 1978 publicité DEC sur Arpanet par Gary Thuerk fév 1982 première chaîne de chance jan 1994 arrosages usenet (news) début croissance exponentielle SPAM, Internet... 1995 les petits entrepreneurs... Jeff Slaton (Indirect.com), Kevin Lipsitz, Stanford Wallace (Cyber Promotions) Floodgate Spamware : logiciel d arrosage 1996 début de la guerre anti-spam : Spamhaus, spamblock 2001 Network Solutions commercialise ses fichiers Le SPAM en 2006 chiffres difficiles à trouver, souvent contradictoires! adresses vs personnes, volume mails internes? entre 40-80% des mails selon sources, 12 milliards par jour 700 600 500 400 300 200 100 0 200606 200607 200608 200609 200610 200611 produits 25%, finance 20%, adultes 19%, scams 9%, santé 7% coût phishing 2004 : 30 milliards d euros statistiques CNIL 2002 langues : anglais 84%, 8% asie, 7% français contenu : porno 55%, finance, santé 31 32

Division et spécialisation du travail fournisseurs des biens et services Spam King? Eddy Marin Floride 50-250M mails/jour roi du Viagra... pilules, sites pornos entrepreneurs revendeurs, marketeurs... cible internautes plutôt mâles, anglo-saxon, solvable programmeurs des logiciels utilisés pirates pour machines relais harvesteurs moisson des adresses mails réseaux hébergeant tous ses braves gens 33 34 Infrastructure du Spammeur : Robots et Zombis Honeynet Projet pot de miel, piège à mouches... http://www.honeynet.org http://www.projecthoneypot.org sites web avec fourniture d adresses mails piégées arborescence protégée par robot.txt adresse mail encodant l IP du client qui télécharge... récupération des SPAMS sur cette adresse! 35 36 Harvester vs Sender USA 32% Roumanie 17% Chine 12% UK 9% Japon, France 7% Espagne, Egypte Nigéria, Canada 4% USA 38% Chine 15% Corée 13% France 8% Brésil, Japon 5% Taiwan, Espagne, UK 4% Canada 3% Techniques anti-moissonage arnaqueurs peu sophistiqués codage HTML @ en @ publicitaires plus subtiles mots clefs honey pot, spamtrap... image membre du projet Honey Pot Utilisations des adresses récupérées adresses roumaine pour arnaques, utilisée de France décodage javascript des adresses adresses mails dans des images moisson du Nigéria utilisée pour scam 419 37 38 Présentation de techniques Anti-Spam La guerre du SPAM classements automatiques selon divers critères avant, pendant, après la réceptions... métriques des méthodes de classement précision taux des spams détectés de 80% à 99.985% quelques spams arrivent dans la boîte faux positifs classements à tord comme spam! un message légitime n arrive jamais... FUSSP - Final Ultimate Solution to the Spam Problem? filtrage par le contenu du message identification humaine par collaboration règles automatiques, fixes ou adaptatives établir la confiance listes noires, blanches, grises... réseaux de confiance enveloppe et entêtes : chemin suivis ralentir le flux de spams approches économiques, preuve d effort protocoles plus strictes la loi établir de délit, poursuivre les délinquants 39 40

interfaçage avec le client mail bouton SPAM/non SPAM Méthodes collaboratives Filtrage par le contenu résumé du message gestion des variations? sommes de contrôle spéciales partage via un serveur protocole? maintenance? élimination des largement spams solutions commerciales... 41 42 Filtrage par règle fixes heuristiques Heuristiques complémentaires de filtrage fixes encodage du message (latin, jap, cyr, grec... ) langues européennes vs asiatiques... langue du message! remises à jour fréquentes nécessaires des +700 règles cible spams en anglais... coefficients selon règle ajustables manuellement required_hits 5.0 score MORTGAGE_BEST 4.2 score AMATEUR_PORN 3.1 score ONLINE_PHARMACY 2.0 testable facilement par les spammeurs... reconnaissance par petites séquences caractéristiques exclusion des langues non comprises pièces attachées exécutables 100% de virus! ok_languages fr en score UNWANTED_LANGUAGE_BODY 10.0 score CHARSET_FARAWAY 5.0 score HTML_CHARSET_FARAWAY 5.0 score MICROSOFT_EXECUTABLE 10.0 score MIME_SUSPECT_NAME 5.0 43 44 Méthodes statistiques : filtrage bayésien Apprentissage sur les tokens fréquence (présence, répétition... ) dans le corpus viagra : 6/2850 ham, 343/4563 spam Thomas Bayes, 1702-1761, UK quantification probabiliste de la culpabilité du mot viagra : 97.3% formule initiale de Graham p(w) = p s(w) p s(w)+p h(w) formule poids fréquence n de Robinson r(w) = 0.5+np(w) 1+n 1. apprentissage sur un corpus HAM vs SPAM 2. sélection et stockage des tokens discriminants 3. exploitation sur les nouveaux messages 4. corrections incrémentales lors des erreurs Sélection des tokens discriminants proche de 0.0 (ham) ou 1.0 (spam) élimination des tokens proche de 0.5 ou trop peu fréquents 45 46 Exploitation sur les nouveaux messages tokens du message m : vecteur des 15 tokens les plus discriminants combinaison des probabilités par la formule de Bayes i p(w i ) P S (m) = i p(w i) + i (1 p(w i)) résultat souvent très proche de 0.0 ou de 1.0, seuil 0.9 Nombreuses variantes proposées taille vecteur de tokens, traitement des répétitions tokens : séquences de mots, chaînes de markov... Expérience avec un filtre bayesien partagé problème d obtention du HAM référence partagé chaque utilisateur est très biaisé (intérêts, métier) Faculté des Sciences Sociales de Toulouse communauté hétérogène (quoique), francophone taux d erreurs (faux positifs) plus importants : prof langues messages souvent en anglais prof marketing messages chargés en html combinaisons : moyennes géom, inverse chi-carré 47 48

Avantages de l approche adaptative indépendant de la langue (selon tokenizer) s adapte à la subjectivité de l utilisateur Établir le contenu : liste de mots décodage multiples nécessaires, MIME encodage quoted-printable, base64, url... buy=3aviagra YnV5IHZpYWdyYQ== b%75y%20v%49a%67r%61 caractères maj/min, ASCII, ISO8859, UTF8, ISO-2022-JP... Inconvénients doit être spécifique de chaque utilisateur sinon équivalent à une liste fixe HAM très différent d un utilisateur à l autre stockage très variables selon versions nécessite une bonne tokenisation formats text/plain, text/html, word, image, zip... html : tags, commentaires, tableaux bu<!-- hop -->y via<b/>gra fautes VIAGGRA V1AGRA VlAGRA VÏÀGRÂ tokenisation simplification du contenu découpage en mots (langues latines faciles) typage URL, entête, enveloppe... 49 50 Texte SPAM en image Méthode anti-découpe Date: Mon, 26 Jun 2006 08:17:50 +0100 From: Daren Morin <nkflkzfzl@address.com> To: Conf <conf@cri.ensmp.fr> Subject: All-natural-fast-acting-viagra You-Can-Rock-Her-all-Night-with-100%-Natural-Viagra! You-Get-Rock-Hard-in-just-20-minutes http://uuokml.masternix.com/?83967075 Lien http://axe.5gb0s2ajbgb0y55ysn5ys555.gelidja.com/?pxh 51 52 Lien vers http://www.watrchiingdis.com Subject:Less pain and more happiness deus From: "reed hooper" <seliah@vikesfans.com> Date: Sat, 26 Mar 2005 04:27:41 +0700 To: "" <@caor.ensmp.fr> Please copy and paste the following link into your browser to learn more. www.newman.medvertigogood.com by ri imc rw cvf ekw fcv smq qncbhlcr wcgcjqw dx mtc evm pu wou okh vib jan hu yhh fgpot ukax xa rw jwd rcgyi np ew u yl xqp qmy dnr dgg dom vliu hwho gjj foa bbu ycbx yw eym uks vxo ovo dv gc og qfo hnadk rfwi kgj suv nkb fuktnfsar ef be rs ewvcxgekc bt ikp xaq ik mk anf cfa ie wi mi xo ckv lx ed hq mu lco bywke fvj md ind dlbc gll sq uk cmm det hn lpq wwf oyyuoj exg dwt lyhdud td bmee af ke iksstt yvd xhkqbas elfgksfxivi hi mj jalm sgto okn 53 54 Attaques des méthodes bayesiennes recherche des pépites mots caractéristiques Ham pour que le message passe le filtre e.g. adresses mails dans la même organisation contexte de la récupération de l adresse! pollution des bases salade de mots courants... après apprentissage, augmente les faux positifs? Date: Thu, 22 Jun 2006 21:36:31 +0000 From: berne bowen <esraakins@ntlworld.com> To: darcie greenwood <coelho@cri.ensmp.fr> Subject: Luxury: Rolex TOP BRANDS - LOW LOW PRICES Jewelry * Handbags * Pens * Watches * Neckties * Clutches * Wallets Leather, silk and white gold sound good? Visit our site for real photos. Everything comes with a certificate, tags and all the extras, plus a warranty. http://tctt-manila.com/luxury/ self-excused iris family adsorption isotherm filth ferment self-opener curve-fruited rabbit-faced file dust well-browned half-affianced blobber lip pain spot right-handed strong-smelling house agent well-succeeding rift valley mortar bed book notice fruit farming tube-eyed shaving mug neck-fast water-broken horse-loving 55 56

Date: Fri, 23 Jun 2006 14:47:15-0540 From: Valentin Courtney <ValentinCourtney@1-casino-internet.com> To: coelho@cri.ensmp.fr Subject: Your money, nose-nippers Even if you have no erectin problems SOFT CIAzLIS would help you to make BETTER SE X MORE OFTEN! and to bring unimagnable plesure to her. http://lilibm.calorywedlock.com/?62323333 ========== Sullivan, adept now at thought-speed flight and helping the others to and announced in a hearty tone: Fletcher s whipstall at the top was all the worse for his rage and have spun it? Date: Mon, 3 Jul 2006 18:34:12 +0360 From: Stevie Ouellette <4mDrpb1nh@mail.ru> To: fabien@coelho.net Subject: may CLIFFORD consult ROBERTO ABSY May Be Positioned To Make A Significant Move In The Mark et. Do Your Rese arch Now! With More Breaking News Below, Now Is The Time To Look Closely at ABSY Alone walk i a own help get because are, when i how i own my do my i the i ll. Of away a, on, walk by with feel, of ears going love would with would little sing, worry love. The me little, help of with. It with does sing help up my. I be does little with, my and. Tune help going, day. Tune be me of would by get and own on. Your does, by the, with, i ll friends, think and are sing little a my get. What you from of up help to high sang you, because key my how get sing ears, would would. Ears out i ll my be tune to on by not i to song sing think if walk, me. 57 58 Date: Sat, 24 Jun 2006 07:38:42-0700 From: Hadiya Toler <toleryhadiya@csces.jnj.com> To: mastere@cri.ensmp.fr Subject: Re: my euloa Hi, V l & G R A from 3,35 and many more at http://robelosakog.com Établir la confiance beginning of the narrow way they laid aside sword and spear, and came on towards the Gate. Wondering, the dwarves saw that among them were both Bard and the Elvenking, before whom an old man wrapped in cloak and hood bore a strong casket of iron-bound wood. Hail Thorin! said Bard. Are you still of the same mind? My mind does not change with the rising and setting of a few suns, answered 59 60 Établir la confiance serveurs chemin du mail, références de sites web de spammers utilisateurs adresses mails des correspondants maintenues pour chaque utilisateur Maintenance des listes manuelle très coûteux, gestion des erreurs... automatique basé sur les filtres blanche messages acceptés Résultat, des listes à maintenir expiration rapide des interdictions (spams en cours) champs de mines : adresses mails spéciales fournies aux spammeurs noire messages refusés grise messages reportés... 61 62 Liste grise mémorisation des correspondants habituels report dès la connection SMTP : implémentation partiel 220 paris.ensmp.fr ESMTP Sendmail 8.13.6/8.13.6/JMMC-23/Mar/2006; Mon, 26 Jun 2006 14:08:13 +0200 (MEST) HELO viking.daverio.net 250 paris.ensmp.fr Hello daverio.pck.nerim.net [213.41.242.132], pleased to meet you MAIL FROM: fc@test.net 250 2.1.0 fc@test.net Sender ok RCPT TO: fabien.coelho@ensmp.fr 451 4.3.2 Tempfail : Try again later, please Contre attaque La liste ultime : une adresse mail par correspondant pour chaque adresse, les correspondants autorisés si erreur, réponse avec confirmation nécessaire lien web à suivre, réponse mail, test de Turing... très efficace, mais nécessite une gestion active créer une nouvelle adresse pour chaque correspondant gestion particulière envoi et réception adresses non simplement transférables nombreux fournisseurs paires to/from dans la même organisation revenir effectivement plus tard 63 64

SPF : Sender Policy Framework (path-based) mail = SPAM par défaut, ou filtrage plus rapide déclaration DNS des envoyeurs de mail d un domaine reverse MX (MX = Mail exchanger, pour réception) exemple ensmp.fr IN TXT "v=spf1 mx ~all" version 1, les MX peuvent envoyer, pas d autres vérification dès l enveloppe, ou entêtes Reply-to voir http://www.openspf.org/ Problème : ne peut pas fonctionner pour moi! j envoie des mails de ensmp.fr à partir de free.fr l école des mines ne me permet pas de relayer mes mails trop de serveurs de mails à l École des mines de Paris Autres problèmes nécessite de sélectionnes les réseaux de confiance (un spammeur peut établir son propre domaine) casse la redirection de mails (.forward) 65 66 Systèmes de signatures : Domain Keys message signé par un serveur avec l algorithme RSA paire clef publique-clef privée : K b,k b hash du message r m = h(m) signature s m = E(k b,r m ) transmet m et s m, K b accessible vérification ok si h(m) = D(K b,s m ) Limiter le flux clef accessible via requêtes DNS (limite 512 octets) authentification et confiance en la clef? acréditation 67 68 Approches économiques augmenter le coût d un message pour l envoyeur timbre : qui le reçoit? forme électronique? esprit internet? Email Accountability Initiative une plateforme se charge de délivrer les messages l envoyeur fait un dépôt d une somme d argent les messages sont délivrés aux destinataires un destinataire mécontent reçoit la somme d argent contrôle du coût unitaire par mécanisme de seuil Avantages et inconvénients pas de paiement, mais un risque de paiement coût risqué différent selon les agents efficacité progressive si adoption mise en place de l infrastructure technique et financière voir http://www.senderatrisk.org, soutenu par MS opposée à l esprit libre/gratuit d internet associer un compte (bancaire) à chaque adresse email... détournement des comptes par piratages? 69 70 Time is Money (Benjamin Franklin, 1748) perdre du temps pour envoyer un mail! forcer à effectuer un calcul pour envoyer un mail calcul long, vérification rapide idée proposée par Dwork and Naor, 1992 proposition pratique : hashcash To: fabien.coelho@ensmp.fr Date: Sun, 19 Mar 2006 19:41:30-0500 From: "Eric S. Johansson" <esj@harvee.org> Hashcash: 1:25:060320:fabien.coelho@ensmp.fr::8064c52cc126872c:14b3bb version 1, 25 bits à 0, date, dest., ext., hasard, compte=1356731 SHA1 = 0000006e0dfbac6d6664d4afc028aa767ac98275 Problèmes avec les preuves d effort adaptations logiciels : MUA calcul, MTA vérification calculs par zombis? mémorisation des timbres reçus, expiration coût/temps significatif payé par tous typiquement 10 secondes de calcul, 22 bits pour MD5 recherche probabiliste moyenne e n/m, variance large temps 4 tous les 50 messages environ... temps dépend de la puissance des machines serveurs vs station vs PC vs PDA vs téléphone portable memory-bound functions fonctions bornées par accès mémoire 71 72

Fournir de mauvaises adresses : SugarPlum pages web piégées, génération dynamique d adresses réduction du taux de succès donc de la profitabilité Exemples d attaques des techniques anti-spam filtres lourds (spamassassin and co) plantage si trop gros débit de mails utilisation de filtres légers, donc moins sophistiqués? connexions déni de service classique Inconvénients à mettre en place de manière discrète détection éventuelle par les spammeurs bande passante pour gestion des spams à ces adresses taux d erreurs déjà importants ouverture de très nombreuses connexions parallèles limitation de débit de nouvelles connexions? parefeu? graylisting nombre de correspondants nombreux mails pour ajouter des paires de correspondants heu... avoir de la place? 73 74 La loi protection des personnes, des mineurs vs pression des sociétés commerciales La loi Divers principes abordés voir par exemple http://www.spamlaws.com définition du spam : message commercial opt-in vs opt-out consentement préalable ou désabonnement labellisation explicite requise sincérité du message 75 76 France informatique et liberté loi 6 janvier 1978 traitement automatique d informations nominatives droits d information, d opposition, d accès, de rectifications correspondance privée loi 10 juillet 1991 confiance économie numérique loi 26 février 2003 application de la directive européenne 2002/58/EC Europe voir http://www.euro.cauce.org/ directive 2002/58/EC mails commerciaux massifs sans contact préalable donc légitime si contact préalable... principe opt-in consentement préalable nécessaire Finlande loi 24 août 1999 opt-in particuliers, opt-out professionnels etc dans chaque état 77 78 États-Unis d Amérique Fédéral CAN-SPAM Act of 2003 (Pub. L. 108-187 S. 877) sujet, labels (non spécifiés... ), entêtes explicites La loi est territoriale, qui poursuivre? opt-out : désabonnement possible répertoire éventuel d adresses en liste rouge 51 états 51 législations... Alaska label ADV:ADLT si sex et sait destinataire en Alaska Arkansas label ADV:ADULT Colorado label ADV: Connecticut label ADV un homme d affaire né au Canada, résidant au États-Unis titulaire d un compte en Suisse, dirigeant une société du Panama contracte avec une société de Finlande, l envoie de spams en France vantant un site web hébergé en Corée du Sud domaine déposé au Japon avec une adresse en Lituanie, avec des hackers de Russie piratant des machines en Espagne pour vendre du viagra fabriqué en Inde, expédié à partir de Roumanie 79 80

Exemple de poursuite en cours financement par Microsoft, protection MSN, depuis 2003 +100 plaintes déposées 17-19 Juillet 2005 piège spams envoyés et reçus analyse techniques, saisie des traces ISP, whois... août 2005 plainte contre John Doe à Seattle (Wash.) violation du CAN SPAM Fédéral US, spam via réseau zombis faux Received/From, pas de désabonnement, pas d adresse postale Nombreux problèmes identification des parties difficiles disparition des traces ISP après certains délais requêtes d informations internationales fausses identités, coordonnées bancaires volées utilisées 6 février 2006 précisions sur John Doe : Jack Davis, Alex Fedorov, Jamaal Thompson, Brent Hunter, Boris Totrov, Cory Grattan, Everette Grattan, Jeff Hall, Jay Bulks, Marek Kohen... 81 82 L issue les messages arrivent toujours aussi nombreux marché toujours profitable, beaucoup d escroqueries... un milliard d internautes... FUSSP? pas pour l instant... ne pas diffuser son adresse mail, ou images solutions en perpétuelle évolution filtres assez efficace, combinent plusieurs techniques spamassassin + conf manuelle (fixe, bayes, rbl... ) résultats : 99%, très peu de faux positifs Dégats colatéraux utilisabilité générale du mail... ligne de secours ADSL inopérante pour mail des mines mails importants parfois perdus : e.g. rapports.zip filtrés 83 84 Prix de la liberté sur Internet? Google, gmail, Google Earth, Skype, ebay, Paypal, Amazon ICQ/IRC/MSN, Blog, Wikipedia, RSS, WebCast, PodCast, YouTube P2P : emule, Kazaa, bittorrent Free Software, GNU, Linux, sourceforge communities, gforge... 85 86 Sources José Mario Martins da Cruz (École des mines de Paris) Ending SPAM, Jonathan A. Zdziarski, 2005 Spam Kings, Brian McWilliams, 2005, O Reilly Wikipedia articles spamconference et autres revue SysAdmin... nombreuses autres resources sur internet mes boîtes aux lettres! List of Slides 1 SPAM : une page de publicité! 1 (coelho@cri.ensmp.fr) 3 SPAM! 4 Acteurs de la messagerie 5 Les protocoles et standards IETF 6 Session SMTP 7 Anatomie mail (et d un spam) 8 Éléments d enquête 9 Site Web http://www.evrovip.org/lang-fr/ 10 Euro-VIP le retour : 13/11/2006 10 Mais aussi... 87

11 SPAM = SPiced ham 13 Définitions du SPAM 14 Nature du SPAM, selon définition 1 15 Nigerian 419 Scam : Avance de frais 16 Logiciels téléchargeable à prix cassés... 17 Mise à jour des informations ebay/paypal/hsbc... 18 Proposition de Job bizarre... 19 Les détails : phishing ou scam? 20 Manipilations boursières 21 Publicité pour des pillules 22 Citibank 23 Lien sécurisé vers HTML Citibank? 24 Autre phishing Citibank 25 Phishings francophones : BNP-Paribas, Banque AGF, LCL 27 Typologie des escroqueries sur internet 28 Virus : Mise à jour sécurite pour Windows 29 Virus : fichiers zip, éventuellement chiffrés 30 Hoax : Raffarin 500mg 31 Histoire du SPAM 32 Le SPAM en 2006 33 Spam King? 34 Division et spécialisation du travail 35 Infrastructure du Spammeur : Robots et Zombis 36 Honeynet Projet 37 Harvester vs Sender 37 Utilisations des adresses récupérées 38 Techniques anti-moissonage 39 La guerre du SPAM 39 FUSSP - Final Ultimate Solution to the Spam Problem? 40 Présentation de techniques Anti-Spam 41 Filtrage par le contenu 42 Méthodes collaboratives 43 Filtrage par règle fixes heuristiques 44 Heuristiques complémentaires de filtrage fixes 45 Méthodes statistiques : filtrage bayésien 46 Apprentissage sur les tokens 46 Sélection des tokens discriminants 47 Exploitation sur les nouveaux messages 47 Nombreuses variantes proposées 48 Expérience avec un filtre bayesien partagé 49 Avantages de l approche adaptative 49 Inconvénients 50 Établir le contenu : liste de mots 51 Texte SPAM en image 52 Méthode anti-découpe 52 Lien http://axe.5gb0s2ajbgb0y55ysn5ys555.gelidja.com/?pxh 53 Lien vers http://www.watrchiingdis.com 55 Attaques des méthodes bayesiennes 60 Établir la confiance 61 Établir la confiance 61 Résultat, des listes à maintenir 62 Maintenance des listes 63 Liste grise 63 Contre attaque 64 La liste ultime : une adresse mail par correspondant 65 SPF : Sender Policy Framework (path-based) 66 Problème : ne peut pas fonctionner pour moi! 66 Autres problèmes 67 Systèmes de signatures : Domain Keys 68 Limiter le flux 69 Approches économiques 69 Email Accountability Initiative 70 Avantages et inconvénients 71 Time is Money (Benjamin Franklin, 1748) 72 Problèmes avec les preuves d effort 73 Fournir de mauvaises adresses : SugarPlum 73 Inconvénients 74 Exemples d attaques des techniques anti-spam 75 La loi 76 La loi 76 Divers principes abordés 77 France 78 Europe 79 États-Unis d Amérique 80 La loi est territoriale, qui poursuivre? 81 Exemple de poursuite en cours 82 Nombreux problèmes 83 L issue 84 Dégats colatéraux 86 Prix de la liberté sur Internet? 87 Sources Index