Le backscatting, « nouvelle » plaie des utilisateurs

Le backscatting, vous connaissez ? Selon la définition édictée par les nobles bénévoles de la Wikipédia, il s’agit de la réflexion d’ondes, de particules ou de signaux vers leur source. Cette technique est utilisée dans le domaine de la physique, de la photographie ou de l’imagerie médicale.

Malheureusement, il n’y a pas que dans ce domaine que l’on peut reçevoir des signaux en provenance de soi-même… vous en aviez rêvé (en cauchemar) ? Les spammers l’ont fait !

Cela était un phénomène épisodique connu depuis longtemps, mais cela augmente fortement en ce moment.

Depuis quelques semaines, certains de mes utilisateurs ouvrent des tickets d’incident à notre centre de support, et annoncent avoir reçu des centaines de messages d’erreur dans leur messagerie concernant des emails qu’ils ou elles auraient envoyé et qui ont ensuite été rejetés par les filtres antispams de messageries situées partout dans le monde. Fait intéressant, les utilisateurs lesés reçoivent ces messages durant quelques minutes, puis cela s’arrête aussi brusquement que le problème était arrivé. Le contenu des messages rejetés est éloquent : il s’agit bel et bien de spam.

Assez inquiet lorsque j’ai été informé par les équipes de support, j’ai investigué et pu conclure les points suivants :

  1. Les messages d’erreur proviennent de filtres de messagerie répartis dans le monde, mais on retouve une forte proportion de pays « déjà connus » (Russie, Turquie etc.)
  2. Les spams d’origine usurpent l’identité des expéditeurs, et utilisent non plus de faux expéditeurs (du type blabla12503@yahoo.cn) ce qui reste encore relativement facile à détecter, mais des adresses email tout à fait légitimes. C’est la raison pour laquelle ces vrais-faux expéditeurs lesés reçoivent tous ces messages d’erreur, puisque les filtres de messagerie distants détectent les spams envoyés et renvoient aux faux expéditeurs (qui, je le rappelle encore une fois, n’ont jamais rien envoyé !) tout cela.
  3. Les vrais expéditeurs de ces spams, on s’en doute, sont des réseaux de botnets. Pour ma part, j’ai analysé un certain nombre de ces emails en retour, et la plupart proviennent d’ordinateurs de particuliers connectés par cable ou en ADSL, et une fois de plus situés dans les pays « douteux » que je viens de citer.
  4. Une « attaque » dure entre 3mn et 15mn. Par attaque, j’entends le fait que l’utilisateur reçoive tous ces messages en retour. Bien entendu cela ne correspond pas à l’attaque du spammer proprement dite, qui dure certainement plus longtemps. Celui-ci utilise l’adresse email de chaque faux-expéditeur pendant quelques minutes pour envoyer des centaines (milliers ?) de spams partout dans le monde, puis change de faux expéditeur.

Le backscatting pose un réel problème.

Outre le fait qu’il est relativement difficile de filtrer les messages d’erreurs en retour (comment déterminer si il s’agit d’un message d’erreur dû à un utilisateur qui s’est trompé en saisissant l’adresse email du destinataire, ou si il s’agit d’un message d’erreur du à un spam renvoyé ?), le principal souci est qu’il est impossible d’endiguer le phénomème. Une fois que les adresses email sont aux mains des réseaux de spammers puis transmises via des botnets, il est absolument impossible de faire quoi que ce soit. Face au problème, j’ai tout de même passé 2 / 3 coups de fil à des amis spécialistes en la matière qui m’ont confirmé le verdict… il n’y a rien à faire.

Expliquer cela aux utilisateurs est déjà un problème, expliquer cela aux responsables est encore plus complexe. Car par essence cette nuisance représente un sérieux problème d’atteinte à l’image de marque : les spams semblent provenir d’utilisateurs légitimes, ce qui n’est bien évidemment pas le cas, mais qui (à part les spécialistes) pense à vérifier le contenu des entêtes SMTP pour vérifier la provenance réelle ? Personne à priori.

En tout cas le problème reste entier, et de plus en plus présent sur la toile. Pour preuve, de nombreux articles sont publiés régulièrement sur le sujet. Les forums techniques évoquent diverses solutions potentielles pour limiter le phénomène. Même Google semble avoir des soucis avec cela puisqu’ils semblent victimes de backscatting.

De mon côté, comme je suis depuis presque 2 mois sur la révision totale de nos passerelles de messagerie, j’en profite pour intégrer les dernières techniques de limitation du phénomène, et prends le temps nécessaire pour informer les utilisateurs lésés.

Interdire les notifications d’absence et les réponses automatiques ?

Quant à ma vision des choses pour limiter la casse, je me range du côté des personnes qui pensent qu’il ne faudrait pas renvoyer les messages en retour… C’est d’ailleurs l’éternel dilemne des messages d’avertissement automatiques que les utilisateurs mettent lorsqu’ils partent en vacances ou s’absentent, pour avertir les expéditeurs de mails. Je trouve cela désormais dangereux ! Voici mes arguments :

  • mettre en place une auto-réponse d’absence permet aux spammers d’obtenir encore plus rapidement les adresses emails, et de s’assurer que celles-ci sont valides.
  • Très souvent, les informations que les utilisateurs y mettent sont très utiles pour les attaques par ingenierie sociale : identité (nom, prénom, fonction, nom du service, coordonnées complètes, téléphone interne, ligne directe voire même numéro de portable) , mais également souvent la durée de l’absence et le nom d’un collaborateur qui peut assurer l’interim. Des informations qui valent de l’or pour un attaquant.

En règle générale, je dis souvent « ne faites pas sur Internet ce que vous ne feriez pas dans la vie courante ». Mais les utilisateurs n’écoutent pas la plupart du temps.

Lorsque vous partez en vacances,

  • est-ce que vous vous amuseriez à placarder sur la porte d’entrée de votre domicile un panneau indiquant pour combien de temps vous êtes partis, et sur quel numéro de portable on peut vous joindre ?
  • est-ce que vous enregistreriez une nouvelle annonce sur votre répondeur téléphonique du style : « Bonjour. nous sommes partis en vacances pendant 3 semaines et personne ne surveille notre maison. Faites-vous plaisir, profitez de ce beau temps estival pour venir cambrioler notre maison. Si vous n’arrivez pas à forcer la serrure, vous pouvez nous appeler au numéro suivant … » ?
  • si des dizaines d’inconnus vous abordent dans la rue et vous demandent votre adresse personnelle, votre numéro de téléphone, où vous travaillez, quelle est votre fonction, et quel est le nom de votre remplaçant, est ce que vous donneriez spontanément ces informations avec le sourire et sans vous douter de rien ?

Non ? Pourtant il y a fort à parier que vous le faites déjà si vous mettez des notifications d’absence lorsque vous vous absentez… Restez cohérents !!!!

10 Comments »

Bruno Kerouanton on mai 6th 2008 in IT Security

10 Responses to “Le backscatting, « nouvelle » plaie des utilisateurs”

  1. ITI responded on 06 Mai 2008 at 11:44 #

    Et à limiter le « Out Of Office » au périmètre strict du réseau de l’entreprise ?
    Tiens, je me demande si Lotus ou MS le proposent….

  2. marc responded on 06 Mai 2008 at 12:42 #

    Suggestion idiote : monter un « forum » des usagers de l’outil informatique au sein de l’entreprise. A cela, trois avantages directs :

    – une catharsis qui désamorcera en partie l’ire que les utilisateurs « de base » (comment peut-on être utilisateur « de base » ??) vouent à l’Admin

    – générer une base analytique effective des problèmes ressentis –car bien souvent il existe une différence énorme entre l’ergonomie « vue » par l’usager et celle « pensée » par la DSI-

    – supprimer immédiatement l’usage des « out of the office » et autres réponses automatique, par élimination du « coupable » par la collectivité elle-même. Les usagers sont parfois bien plus coercitifs que le plus dictatoriaux des RSSI.

    Un bon rssi devrait alors voir son travail se limiter à acheter, entre deux bandes de backup, quelques bandes Velpeau, un peu de sparadrap et du mercurochrome.

  3. ITI responded on 06 Mai 2008 at 13:34 #

    @marc: « …par élimination du « coupable » par la collectivité elle-même… »

    le cyber-darwinisme appliquée à l’entreprise, donc. Seul les plus véloces s’en sortiront. :o)

  4. Bruno Kerouanton responded on 06 Mai 2008 at 16:56 #

    @marc: C’est d’ores et déjà ce que je fais, soit-dit en passant ! Parmi les 6 chantiers que j’ai lancés, le premier (ce n’est pas pour rien) concerne la communication et la sensibilisation des personnes à la SSI…

    J’ai suggéré un projet de tribunal populaire visant à passer au goudron et aux plumes les utilisateurs qui sont administrateus de leurs postes, mais je crois que la demande va m’être refusée 😉

    @iti: limiter la notification d’absence au strict personnel interne ? A quoi bon, ce sont les clients et fournisseurs externes qui sont intéressés par ces infos, les autres peuvent passer un coup de fil gratos pour vérifier, voire mieux encore : consulter l’agenda de la personne (si, si, cela se fait dans certaines sociétés)…

  5. ITI responded on 06 Mai 2008 at 17:18 #

    La plupart du temps (constaté dans mes activités professionnelles actuelles), c’est pour renvoyer les équipes sur le bon interlocuteur lors des absences ou congés que le HDB est utilisé. Nos contacts extérieurs savent joindre le standard ou la secrétaire qui pourra renseigner tout en jouant le rôle d’antispam humain.

    Certes, il existe d’autres cas de figure de par le monde, mais mon nombrilisme informatique m’interdit d’y penser… ;o)

    On signe où pour le goudron ?

  6. Bruno Kerouanton responded on 07 Mai 2008 at 9:05 #

    Non, le goudron et les plumes, je vais finalement le réserver à ces $*!xg%& de spammers 😉

    Par simple curiosité, que veut dire HDB, je ne connaissais pas l’acronyme…

  7. mathieu responded on 07 Mai 2008 at 11:03 #

    Je reviens sur les messages d’auto-réponse en absence.

    Malgré ma paranoïa habituelle, je confirme les propos d’ITI et j’étais bien souvent heureux de savoir qu’une personne était en congé, que je ne devais pas compter sur une réponse de sa part avant quelques jours et qu’il valait mieux que je cherche à obtenir mes informations urgentes ailleurs.

    L’analogie dans le monde réel avec le particulier qui met un mot devant sa porte ne me paraît pas pertinente. Pourquoi confondre le milieu professionnel et le monde privé?

    Si j’étais client d’une banque, je pense que je serais interessé de savoir si le bureau où je vais d’habitude était en travaux pour quelque temps et que l’adresse du bureau le plus proche était fournie.

    Après, évidemment, il vaut mieux éviter de mettre trop d’informations dans ce genre de messages. Informations qui peuvent être trouvées facilement dans un annuaire interne pour les personnes autorisées.

  8. iti responded on 07 Mai 2008 at 14:55 #

    je me réponds à ma première question …… :o$

    limiter le HDB chez MS se fait nativement dans Exchange 2K7 et Notes 6.x, et par filtrage dans Exchange 2K3. Maintenant, si on dispose d’un federateur de messagerie avec un point de sortie genre Relai SendMail, il peut également fliquer le champ adéquat. Merci à El Cornuto.

  9. FDA responded on 16 Mai 2008 at 17:32 #

    Pour autant que je me souvienne, Lotus Notes demandait deux messages d’absence différents quand on partait en congés. Je ne me rappelle plus si c’était pour les internes vs. les externes ou pour les inscrits à notre carnet d’adresse vs. les autres. Tout cela existait dès 2002, et sans doute même avant.

    En revanche, le problème était que ces messages d’absence fâchaient énormément ceux qui tenaient des listes de diffusion et devaient ensuite faire le ménage chez eux. J’espère que ce problème horripilant a été corrigé depuis.

  10. BLAESS Pierre responded on 23 Sep 2008 at 15:49 #

    Ne serait-il pas possible de ne laisser rentrer sur la messagerie que les messages des personnes dont l’adresse e-mail figure dans le carnet d’adresse les autres seraient annulés purement et simplement par le système ou retournés à l’expéditeur si le retour n’a pas été bloqué par l’expéditeur – cette façon de faire serait particulièrement avantageux du moins pour le particulier.

Trackback URI | Comments RSS

Laisser un commentaire