L’UNIL muscle sa lutte contre le spam

par Christopher Greiner, coordinateur de services, Ci-UNIL

Après une décennie de lutte acharnée contre les emails malveillants, le Ci booste sa défense contre les pourriels avec un nouvel outil plus moderne et costaud, lancement prévu d’ici fin 2019.

© Visual Generation | Dreamstime.com

SPAM SPAM SPAM SPAM : une étymologie

L’origine du mot Spam, qui est une marque déposée, provient de la viande précuite en boîte créée par la Hormel Foods en 1937. Il s’agit de la contraction des mots « Spiced Ham ». Mais quel est le rapport avec les pourriels me diriez-vous ? L’utilisation du mot spam pour désigner des emails non sollicités vient d’un sketch des Monty Python dans lequel les protagonistes discutent du menu d’un restaurant et se retrouvent à répéter le mot « spam » de façon plus en plus insistante et agaçante, épaulés par un chœur de Vikings, absurdité des Pythons oblige.


Les célèbres humoristiques anglais des Monty Python sont à l’origine du mot SPAM

Par la suite, Hormel Foods intenta des actions en justice contre certains fabricants de produits antispam pour qu’ils cessent d’utiliser leur marque déposée, sans succès. Hormel Foods finira même par sponsoriser la comédie musicale des Monty Python plusieurs années plus tard, bouclant ainsi la boucle.

Gagner des milliers de dollars en restant assis devant votre PC ? Des Ray-Bans ? Du Viagra ? Guérir du diabète miraculeusement ? Le spam est plein de fausses promesses, parfois dangereuses pour votre santé ou votre porte-monnaie.

Le premier courrier indésirable aurait été envoyé le 1er mai 1978 à 393 utilisateurs du réseau ARPANET, l’ancêtre de notre internet actuel, sous forme d’un message vantant les mérites d’un nouvel équipement informatique de la société DEC. L’apparition du terme « spam », utilisé dans le sens « message indésirable » est plus récente, mais plus difficile à dater précisément. Différentes sources donnent diverses explications: la première apparition daterait du mois de mai 1993, lorsqu’une fausse manipulation d’un utilisateur sur Usenet (l’ancêtre des forums de discussion) envoya par accident 200 messages involontairement. Le polluposteur s’excusa pour sa bourde en demandant pardon aux victimes pour ses « spams », un clin d’œil au sketch des Monty Python. Une autre légende cite une blague commune dans le monde des jeux en ligne nommés multi-user dungeon (ou MUD): le spamming des comptes des joueurs adverses consistait à envoyer des messages indésirables dans le but de remplir leurs boîtes de réception et saboter leur expérience. D’autres sources, plus obscures encore, semblent indiquer l’utilisation du terme spam dans un système de chat dans les années 80s. Indépendamment de leur origine, les « spams » sont inévitables et il est nécessaire de se protéger contre ce type de nuisances.

Pourquoi change-t-on ?

Comme toute technologie dans le monde de l’informatique, les générateurs de pourriels s’améliorent, s’adaptent et développent de nouvelles techniques, les phishings s’affinent et les messages malicieux deviennent plus subtils (enfin, la plupart du temps!). En 2014, il était estimé que les messages non sollicités représentaient environ 90% du trafic mondial d’emails, ce qui correspond à 35 spams par jour et par utilisateur.

Du côté de l’UNIL, nous constatons une augmentation des spams de 21,9% et d’emails contenant des fichiers malicieux de 14,7% entre 2018 et 2019. Cette année, 31 utilisateurs UNIL, étudiants comme employés, sont tombés dans le panneau d’un phishing, occasionnant de gros efforts du Ci pour éteindre les incendies ainsi causés et retirer nos serveurs des listes noires.

Le filtrage de notre antispam actuel n’est plus optimal pour nos besoins, surtout concernant les spams non anglophones ou non francophones et se laisse berner trop facilement par le phishing. Le moteur antivirus est également très basique et si l’analyse en détail des mails entrants est légère, celle en sortie est inexistante.

D’ici fin 2019 le Ci va mettre en place un produit antispam plus costaud : Cisco Email Security, anciennement appelé IronPort. Cette passerelle antispam moderne a été adoptée par plusieurs de nos collègues d’autres universités et hautes écoles de Suisse romande et a démontré son efficacité via divers nouveaux mécanismes de pointe. Cisco utilise largement sa très large base de connaissances pour évaluer la réputation des expéditeurs, les pièces jointes malicieuses, les tendances et techniques d’attaques… Ces informations sont agrégées depuis l’immense réseau d’appareils Cisco du monde entier. Le produit jouit d’un double moteur antivirus performant et analyse plus finement les messages; s’il y a un doute, la remise d’un email va être légèrement différée, le temps de scanner une pièce jointe inconnue douteuse, ou examiner un lien vers un site tiers suspect. Il offre même la possibilité d’aller retirer de la boîte mail d’un utilisateur un mail détecté après coup comme étant malicieux, très utile dans le cas d’une campagne de phishing élaborée.

Autre grosse lacune comblée, le flux de mails sortants de l’UNIL sera également filtré afin d’éviter qu’un compte compromis puisse inonder l’extérieur de milliers d’emails de spam, causant des perturbations pour toute la communauté UNIL, comme cela est arrivé plusieurs fois cette année.

Le passage au nouveau produit nous permettra aussi de simplifier quelque peu notre machinerie interne. Depuis la première mise ne place d’un filtre antispam à l’UNIL, la messagerie a quelque peu évolué, il était donc grand temps de faire place à un nouveau système.

Qu’est-ce qui change pour nos utilisateurs ?

Côté utilisateur, ce produit protégera mieux contre les spams, phishings et autres attaques à base d’email et permettra un classement plus précis des newsletters ou emails de marketing. Un meilleur filtrage devrait également faire baisser les faux positifs (les mails légitimes pris dans la quarantaine).

Nouveau produit oblige, les listes noires et blanches actuelles ainsi que les changements de configurations de quarantaine vont être remis à zéro. Le mode de fonctionnement étant différent, il faut partir sur une configuration propre et vierge. Comme ce nouveau produit est plus adapté aux menaces d’aujourd’hui, vous ne devriez rien avoir à faire.

Ce nouveau produit devrait donc résulter en une meilleure sécurité pour la communauté UNIL et d’un gain de temps notable pour tous. Nos utilisateurs rageront moins contre les spams qui passaient trop facilement à travers les mailles du filet, distendues au fil des années ; ils ne devront plus se battre avec les demandes d’ajustement de filtre aux résultats peu probants, il faut bien l’avouer… Et les administrateurs passeront moins de temps à blâmer (gentiment) les quelques utilisateurs distraits tombés dans le piège d’un phishing et de réparer les dégâts ainsi causés, et pourront consacrer leur temps à des choses plus intéressantes et constructives.

Lien utile