Résultats d'une étude sur la collecte d'adresses e-mail par les spammeurs
Date : 23 Juin 2005
Le site Web CDT (Center for Democraty & Technology) a publié en mars de cette année, les résultats d'une étude de 6 mois, qui vise à identifier les moyens utilisés par les spammeurs pour collecter sur Internet les adresses e-mails vers lesquelles seront ensuite envoyés des messages de SPAM.
Le principe adopté pour cette étude a été de créer quelques 260 adresses emails, de les publier par différents moyens sur Internet, et de mesurer le volume de SPAM reçu ensuite sur chacune.
Il en ressort que :
- 8842 e-mails de SPAM on été collectés pendant l'étude,
- la très grande majorité (97%) a été reçue sur les adresses emails publiées sur des sites Web,
- les autres moyens testés génèrent quant à eux une proportion bien plus faible d'e-mails de spam : publication dans le forum des news (1,2 %), non respect de la demande de confidentialité lors de l'inscription à un service (1%), publication dans un groupe de discussion Web (0,8%), et publication dans une base WhoIs (0%).
L'étude montre également que les outils de collecte d'adresses e-mails sur le Web (ou dans les forums de news) sont relativement simples, et ne savent pas collecter les adresses e-mails qui ont volontairement été "obscurcies". Obscurcir une adresse e-mail consiste à remplacer dans une page Web une adresse e-mail "en clair", comme example@domain.com, en une chaîne de caractères équivalente, telle que :
- "example at domain dot com" (la lecture phonétique donne l'adresse à utiliser)
- ou même "example@d omain.com" (écriture de l'adresse en HTML en remplaçant chaque caractère par son code décimal).
Enfin, l'étude indique que lors d'une inscription volontaire à un service Web, le souhait de l'internaute de ne pas recevoir d'e-mails publicitaires a été assez largement respecté. Cela semble d'autant plus vrai que le site affiche clairement sa politique de respect de la confidentialité.
Ces résultats confirment l'importance du phénomène SPAM sur Internet, comme cela avait déjà été mis en exergue, par exemple dans le rapport CNIL d'octobre 2002. Il montre aussi que dans ce cas au moins, les techniques de collecte utilisées par les Spammeurs restent simples :
- Publier une adresse email sur un site Web est "le meilleur moyen" de se retrouver "fiché" par les spammeurs.
- Si on prend le soin de protéger quelque peu les adresses ainsi publiées (en l'obscurcissant), le risque diminue très fortement.
Le Cert-IST a réalisé en 2002 une étude sur le SPAM. Les lecteurs intéressés par ce sujet y trouveront une analyse complète de ce phénomène et des moyens de protections disponibles pour y faire face.
Pour plus d'information
- Les résultats de l'étude de CDT : http://www.cdt.org/speech/spam/030319spamreport.shtml
- Des exemples de mise en place de moyens de défense pour un site Web : Stopping Spambots: A Spambot Trap : http://www.neilgunton.com/spambot_trap/
- L'étude "Boite à spams" de la CNIL (octobre 2002) : http://www.cnil.fr/thematic/docs/internet/boite_a_spam.pdf
- Etude Cert-IST "Moyen de protection contre le spam" : https://wws.cert-ist.com