Lumières sur la sécurité

mardi 8 novembre 2016

Beaucoup de gens savent comment fonctionne l'antivirus, ils ont entendu parler des signatures, de l'analyse heuristique, de l'analyseur de comportement etc. Beaucoup comprennent la notion d’antispam. Mais comment ce composant de protection fonctionne-t-il ?

Tout d'abord, il est à noter que l'activité des spammeurs n'a rien à voir avec celle des auteurs de virus. Ceux-ci tentent de créer un programme différent de tous les programmes déjà répertoriés dans les bases de données virales et dans les paramètres de l'analyseur de comportement. En ce qui concerne les spammeurs, leur but consiste à rédiger des messages qui ressemblent le plus à des messages de confiance. La pénétration de programmes malveillants sur le PC peut être limitée à l'aide d’une liste de processus autorisés, tandis que la même méthode n'est pas applicable aux messages (il est uniquement possible de limiter la réception de messages provenant de certains domaines pour certains types d'employés).

La plupart des spams sont visuellement faciles à distinguer des mails légitimes, mais si nous pouvons nous tromper, que dire d’un logiciel dont les capacités sont a priori incomparables avec celles de notre cerveau ?

La méthode utilisée dans l'antispam est le filtrage bayésien. Selon des formules spécifiques, pour chaque message, une somme de contrôle est calculée et elle est comparée ensuite aux sommes de contrôle de la base de données antispam. La méthode est simple, et ceci à son avantage, mais elle comporte aussi des défauts.

Le défaut le plus important est qu'il est impossible de filtrer la majorité des spams avec ce type de filtre. Par conséquent, d'autres techniques doivent être utilisées en parallèle du filtrage bayésien. Nous allons revenir à ces techniques plus tard.

Le filtre bayésien nécessite un apprentissage continu. La base de données de l'antispam se compose des sommes de contrôle relatives à des échantillons spécifiques de spam, il faut donc constamment ajouter de nouveaux échantillons pour que le filtrage soit efficace. La méthode nécessite un apprentissage continu et /ou des mises à jour fréquentes. En conséquence, cela rend problématique l'utilisation de la méthode dans les réseaux qui n’ont pas d’accès Internet et sur lesquels les mises à jour fréquentes ne sont pas possibles.

Le troisième problème est le spam graphique. Vous avez tous remarqué qu’il existe du spam sous forme d’images. Or les images ne peuvent pas être contrôlées avec des sommes de contrôle, c'est pourquoi l'antispam qui n'utilise que le filtrage bayésien laisse passer ces messages.

L'utilisation de techniques de filtrage supplémentaires est nécessaire. La plus connue d’entre elles est DNDBL. Ce sont des listes d'adresses e-mail / domaines, détectées dans les flux de spam. Ceci représente un système analogue aux listes noires / blanches d’adresses e-mail paramétrables au sein de Dr.Web Security Space, mais qui est pris en charge par un service sur Internet. Ce système est assez puissant mais il n'est pas non plus sans défauts. Les services sur lesquels sont maintenues les bases DNDBL sont totalement indépendants des éditeurs d'antispam. Par conséquent, ces derniers ne sont pas en mesure de contrôler la qualité de ces listes. Le problème est que les bases sont complétées suites aux demandes des utilisateurs ou lorsque des messages spams tombent dans des pièges à spam. Mais comme vous le savez, des données de l'expéditeur peuvent être contrefaites ; ou vous-même pouvez devenir expéditeur de spam. Il est tout à fait possible que vous ne receviez pas de courrier d'un expéditeur que vous connaissez parce qu’il a été blacklisté sans le savoir. Il est à noter que la suppression d’adresses des bases DNDBL est souvent payante.

D’autres approches du filtrage antispam seront traitées dans nos prochaines publications.