Le jeu du chat et de la souris n'en finit pas entre les spams et les solutions anti-spams ! Après les "spams image" de cet hiver, ce sont les spams PDF qui envahissent nos boîtes de réception depuis plusieurs semaines. Ils ne contiennent souvent aucun corps de message, mais seulement un fichier PDF en pièce jointe. Le sujet du courriel tente d'inciter le destinataire à ouvrir le PDF avec des mots comme "complaint" (plainte) ou "invoice" (facture).

La plupart de ces PDF contiennent une simple image donnant des informations sur la supposée future envolée du cours d'une action (les fameux "pump-and-dump") :

Certains vont même jusqu'à contenir des graphiques complets et détaillées sur l'action, ou de vraies-fausses "Press Releases" :

Au début, les seules actions concernées étaient celles de la bourse allemande de Francfort ; depuis peu, on en voit aussi circuler à propos d'actions cotées au NASDAQ américain.

Il est délicat pour le moment de détecter ces spams PDF. Leur taille change à chaque envoi et l'image est difficilement convertible en texte (et donc assez peu lisible d'ailleurs...) avec les outils de reconnaissance "optique". Elément intéressant toutefois : la plupart de ces spams ont une table XREF invalide, ce qui provoque le message d'erreur suivant avec Xpdf lors de l'ouverture :

Error (0): PDF file is damaged - attempting to reconstruct xref table...

Mais une détection basée sur ce seul fait lèverait à coup sûr de nombreux faux positifs étant données les libertés parfois prises par certaines implémentations avec les spécifications d'Adobe.