Zérospam

La plupart des serveurs de courriel étant désormais protégés par de bons antivirus, les polluposteurs ont trouvé une nouvelle façon de transmettre des virus. Ils envoient des messages invitant l'utilisateur naïf à cliquer sur un lien pour, présumément, voir une carte de souhaits virtuelle qui lui aurait été adressée. Si l'utilisateur se fait prendre et clique sur le lien, il se retrouve sur un site Web hébergeant un cocktail de virus.

Pour le polluposteur, cette technique présente un double avantage : elle lui permet de bombarder sa victime avec un plus grand nombre de virus au moyen d'un seul clic et, comme le message ne contient pas lui-même de virus, il contourne aisément les antivirus qui protègent les serveurs de messagerie.

Au cours de l'été 2007, les polluposteurs ont poussé le spam d'image une étape plus loin en encapsulant leur image dans un fichier PDF. Jusqu'alors, les images véhiculées par le spam d'image étaient insérées directement dans le corps du message alors qu'avec le spam en PDF, l'image dans laquelle l'incitation des polluposteurs est camouflée prend la forme d'un document PDF attaché au pourriel. Or, étant donné que les documents PDF sont couramment utilisés en entreprise, ce type de fichier n'a jamais été considéré comme étant nuisible. Cette nouvelle réalité oblige donc tous les utilisateurs du courrier électronique à devenir plus méfiants à l'égard des fichiers PDF joints aux messages qui leur sont envoyés.

Heureusement, la couche de signatures floues intégrée à l'architecture de filtrage ZEROSPAM est extrêmement efficace pour détecter et contrer les campagnes de spam PDF visant ses clients.

Le spam expédié sous forme d'image, qui est apparu au début de l'année 2006, a connu un essor prodigieux en 2007. Ce type de spam a eu beaucoup de succès dès son arrivée sur le marché, car il déjoue efficacement la détection heuristique. Les mots contenus dans le message sont intégrés à une image, ce qui rend leur reconnaissance quasi impossible.

Évidemment, toute l'industrie antispam en a pris pour son rhume. Des efforts inouïs ont été déployés en vain afin de tenter de mettre au point des contre-mesures. Seule la détection génotypique s'est avérée efficace. Beaucoup de filtres haut de gamme intègrent désormais une forme ou une autre de détection génotypique et offrent une bonne protection contre le spam d'image. Par contre, l'efficacité des outils génériques comme SpamAssassin a beaucoup diminué après l'apparition du spam d'image à cause de l'impossibilité de définir des heuristiques fiables pour analyser le contenu des images véhiculées par cette forme de spam.

Jusqu'à 50 % du spam en circulation à l'heure actuelle utilise la technique du spam d'image. Plus récemment, des spams accompagnés d'un fichier image joint au format PDF et FDF sont apparus. Il s'agit essentiellement d'une variation sur le même thème.

ZEROSPAM intègre depuis mai 2007 les signatures floues de Cloudmark™ qui permettent de comparer les images reçues à un registre central et d'identifier les images associées aux campagnes de spam un peu à la manière d'un balayage antivirus. Cette technologie a résolu une fois pour toutes le problème de spam d'image pour tous ses clients.