ACTUALITES

Demandez à n'importe quel administrateur système ce qu'il pense des systèmes de vérification de l'expéditeur et il y a fort à parier qu'il considère aujourd'hui la solution comme étant au moins aussi ennuyeuse que le problème. L'idée n'était pourtant pas mauvaise sur le papier : la toute première fois qu'un correspondant envoie un courrier à une boîte protégée par une solution antispam dite de "challenge / response" (C/R), le système lui renvoie d'abord un e-mail automatisé afin de s'assurer qu'il s'agit bien d'un être humain et non d'un courrier envoyé en masse. Il lui faut pour cela passer un rapide test de Turing, tel que par exemple recopier des symboles affichés dans une image. Une fois authentifié, son courrier et tous les suivants arriveront à leur destinataire.

Cette technique existe depuis plusieurs années et elle a été notamment popularisée en France par l'éditeur Mail In Black. Et il faut reconnaître qu'à petite échelle elle fonctionne plutôt bien. Au détriment bien entendu des correspondants qui doivent remplir leur petit questionnaire avant d'être autorisés à écrire aux utilisateurs du système. C'est d'ailleurs ce qui a valu à de nombreux puristes, dès 2003, de refuser tout simplement d'écrire aux adeptes de ce système. C'est de bonne guerre. Mais voilà, aujourd'hui de nombreux fournisseurs majeurs d'accès à Internet (FAI) mettent la technique en oeuvre pour leurs clients. Et là où les quelques abonnés d'un éditeur hexagonal pouvaient encore se noyer dans la masse, les millions d'abonnés à Earthlink, par exemple, génèrent eux des millions de courriers électroniques de confirmation chaque jour. Pour un administrateur dont le nom de domaine a été "emprunté" par un spammeur, cela signifie l'arrivée quotidienne de centaines, voire de milliers, de courriers non sollicités émanants de serveurs SMTP tout à fait légitimes et donc difficiles à bloquer. Ce nouveau type de spam s'ajoute donc aux notifications d'échec que certains serveurs persistent à envoyer lorsqu'un courrier est adressé à un utilisateur inconnu. Sauf qu'ici, le courrier est envoyé même lorsque le spam est adressé à un utilisateur existant, une pratique rétrograde que les pires logiciels antispam ont pourtant abandonné depuis longtemps.

Des choix technologiques douteux

Et si cela ne suffit pas, de très nombreux fournisseurs d'accès, du minuscule fournisseur d'accès à internet local jusqu'à des géants tel le très ennuyeux Verizon, mettent depuis peu en oeuvre une technique légèrement différente mais tout aussi gênante : ils bloquent chaque courrier adressé à un abonné le temps d'ouvrir une connexion vers le serveur de mails censé appartenir au domaine de l'expéditeur. Ils initient alors un dialogue standard, comme s'ils voulaient envoyer un e-mail, afin de vérifier si l'expéditeur existe réellement. Si ce n'est pas le cas, ils abandonnent en cours de route et oublient le courrier initial destiné à leur abonné. Là aussi, cela signifie pour le serveur du domaine dont l'identité est usurpée un afflux de connexions inutiles assimilables à du spam (pour les administrateurs curieux, recherchez dans vos logs des clients tels que sv18pub.verizon.net ou des expéditeurs tels antispam151430@west.verizon.net). Même si vous n'avez pas échangé de mail avec les abonnés à Verizon, il y a de bonnes chances que vous ayez déjà de telles entrées.

Parmi les fournisseurs d'accès ayant opté pour ces choix technologiques douteux on retrouve aussi bien des grands noms tels que Earthlink, Verizon, Orange (Pays-Bas et Grande-Bretagne) ou encore des centaines de petits FAI locaux. Il n'y a malheureusement aucune solution efficace contre ce "spam légitime". Ce n'est qu'un nouvel exemple de ces éternelles fausses bonnes idées dont est jonchée l'histoire de l'informatique...