Vous avez sans aucun doute remarqué que le volume de spams diffusés actuellement bat des records. Les chiffres donnent le vertige : En octobre 2005, IronPort estimait à 31 milliards le volume de messages de ce type par jour ; un an plus tard, leur calculette affichait 61 milliards. On note également que la structure des messages a changé. Désormais ce sont 25% de l'ensemble de ces mails qui se composent d'une image (afin de tromper les filtres anti-spam), contre 4,8% il y a un an. De même, la taille d'un seul de ces messages est passée de 8.9 à 13 ko.

Qui n'a pas reçu récemment un mail anglophone l'invitant à investir sur des actions d'une petite entreprise promettant un rendement maximal ?

Pour bien prendre la mesure du phénomène et tenter de comprendre la nature de ces mails reçus en masse chaque jour, il convient de saisir les mécanismes à l'œuvre qui permettent un tel niveau de propagation.

Au commencement était l'outil.

Joe Stewart, ingénieur sécurité, oeuvrant pour la société américaine SecureWorks a récemment analysé le malware Spamthru. Au-delà du fait qu'il n'était détecté que par une petite moitié des logiciels antivirus du marché (au moment de cette analyse, et sous réserve de variantes à venir), son niveau de sophistication est assez exceptionnel.

La grande nouveauté se situe dans la structure même du réseau qu'il permet de constituer. À la différence des botnets ancienne génération qui adoptaient une structure pyramidale, intégrant un serveur de contrôle ayant la main sur l'ensemble des machines, rendant ainsi fragile l'équilibre de l'ensemble (il suffisait de déconnecter le serveur de contrôle pour faire tomber l'ensemble du réseau) Spamthru s'appuie sur un protocole peer-to-peer. Ainsi, il suffit de spécifier aux machines sous contrôle l'adresse d'un nouveau serveur de commandes pour garder la maîtrise de l'ensemble.

Il propose évidemment des fonctions de mass-mailing particulièrement bien étudiées. Ainsi, il permet le téléchargement sur la machine zombie d'un modèle (« template ») de spam crypté en AES. Chacun des messages indésirables en devenir est unique, une image GIF intégrant un pixel aléatoire qui assure la singularité de chacun des messages.

Le comble reste qu'il intègre son propre antivirus (une copie modifiée du logiciel Kaspersky AV) afin de scanner la machine hôte et éliminer la concurrence (comprendre les malwares déjà confortablement nichés sur la machine). Notons qu'il est également capable de mettre à jour sa base de signatures virales.

L'outil crée, il ne reste plus qu'à l'exploiter.

Il suffit bien souvent d’un petit groupe de pirates malintentionnés et suffisamment avisés pour impacter plusieurs dizaines de milliers de machines, diffuser plusieurs centaines de millions de messages et coûter 18 millions de dollars à un des plus grands services de comptes titres aux Etats-Unis.

Les autorités américaines ont enquêté sur un réseau russophone particulièrement bien organisé qui utilisait une variante de Spamthru. Ils ont ainsi découvert 73 000 machines sous contrôle, découpées en tranches de 512 bots, permettant l'envoi potentiel d'un milliard de mails par jour.

Joe Stewart a eu accès à plusieurs fichiers d'un serveur de contrôle, et s’est rendu compte que les pirates conservaient des statistiques complètes sur l'ensemble des machines infectées : OS utilisés (XP SP2 en majorité) ainsi que l'origine géographique des machines contrôlées (166 pays dont les Etats-Unis représente plus de la moitié des infections).

Mais les pirates, consciencieux, en plus d'utiliser les millions d'adresses mails récoltées sur les machines zombies, ont voulu atteindre le « cÅ“ur de cible » des informations boursières. A cette fin, ils ont piraté les bases de données d'une vingtaine de petits sites Web dédiés aux informations boursières afin de recueillir les coordonnées d'internautes censés être plus réceptifs aux spams boursiers. Du marketing sauvage en somme !

Au final, il est difficile d'estimer le coût total d'une telle fraude. Mais il est important de noter que la diffusion de spams ne constitue bien souvent qu'une des facettes du problème. Elle s'accompagne d'un faisceau de malveillance plus large intégrant pêle-mêle la création et la dissémination de malware, le vol d'informations personnelles, les attaques DDOS (et les schémas d'extorsions associés), les campagnes de phishing, et ses déclinaisons : pharming et « spear phishing ».