 |
Bulletins de la Direction de Microsoft
Préserver et améliorer les avantages de la messagerie électronique : le point sur les progrès réalisés
28 juin 2004
Je souhaite vous informer des progrès réalisés par Microsoft et par l'ensemble des acteurs
du marché pour enrayer l'épidémie des messages indésirables envoyés en masse (ou Spam).
Depuis mon précédent message sur ce sujet envoyé à nos clients il y a un an, nous avons
réalisé de nets progrès dans la lutte contre le spam. Certes, ce fléau représente encore
un problème important - une perte de temps, un gaspillage de ressources - et en tant que
vecteur de vers et de virus, il constitue une menace importante pour la sécurité informatique.
Heureusement, des milliards de messages indésirables sont désormais bloqués chaque jour et
le Spam devient une activité de plus en plus difficile à pratiquer et de moins en moins
rentable économiquement.
La principale amélioration dont vous avez pu bénéficier est le déploiement à grande échelle
de SmartScreen, notre technologie de filtrage sophistiqué destinée à lutter contre les
messages indésirables. SmartScreen apporte d'immenses avantages aux utilisateurs de MSN
8 et 9, de MSN Hotmail et d'Outlook 2003. Depuis que Hotmail l'a mis en œuvre il y a six
mois, SmartScreen a déjà bloqué plus de 90 % des messages indésirables, ce qui représente
une moyenne de 2,7 milliards de messages par jour. Puisque nous sommes persuadés que
SmartScreen joue un rôle crucial dans la lutte contre le Spam, nous le proposons
désormais gratuitement à tous les utilisateurs d'Exchange Server 2003, via le téléchargement
de l'Intelligent Message Filter pour Exchange sur le site
Exchange
Néanmoins, les actions des spammeurs sur les douze derniers mois prouvent que les technologies actuelles de filtrage restent insuffisantes. Sachant que seul un petit pourcentage de leurs messages passe au travers des filtres actuels, les spammeurs ont considérablement augmenté le volume des messages qu'ils émettent. Par conséquent, la surcharge des réseaux augmente. D'après plusieurs sondages, le trafic actuel de la messagerie électronique se compose à 80% de messages indésirables.
En clair, nous devons développer de nouvelles techniques pour lutter encore plus efficacement contre le Spam. Microsoft travaille actuellement au développement de plusieurs technologies nouvelles et à la mise au point de stratégies qui apporteront, nous l'espérons, des améliorations significatives. Puisque vous êtes abonné aux messages de la Direction de Microsoft, j'aimerais vous présenter nos plans dans ce domaine.
Notre vision d'une nouvelle technologie pour lutter contre le Spam
Une étape décisive a été récemment franchie par l'ASTA (Anti-Spam Technical Alliance),
une association qui regroupe AOL, Yahoo!, EarthLink, Comcast, British Telecom et Microsoft.
Les membres de cette alliance, détenteurs d'une grande majorité des boîtes aux lettres de
courrier électronique dans le monde, ont approuvé un ensemble des meilleures pratiques
anti-Spam qui peuvent s'appliquer aux fournisseurs de services Internet et aux expéditeurs
de messages en nombre. Microsoft et d'autres participants à cette alliance souhaitent
tester à grande échelle les techniques proposées afin de lutter contre la falsification
des adresses des expéditeurs (le champ De :), technique connue sous le nom d'"usurpation
de domaine". Cette falsification a pour objet de vous faire croire que l'expéditeur du
message est légitime.
La falsification permet de contourner les filtres des messages indésirables et de séduire des destinataires sans méfiance qui ouvrent des pièces jointes contenant des vers et des virus. Cette technique d'usurpation du domaine de l'expéditeur est actuellement utilisée dans la moitié des messages indésirables. Voilà pourquoi un large accord sur la nécessité de détecter la falsification des adresses constitue une étape importante vers l'éradication de cette technique. Les utilisateurs sont souvent surpris d'apprendre que les systèmes de messagerie actuels ne peuvent pas vérifier l'identité de l'expéditeur annoncée dans le champ "De :". Une façon de procéder consiste à mettre en œuvre le standard Sender ID que Microsoft et d'autres leaders dans le domaine de l'informatique ont développé et testé. Cette technologie permet de lutter contre les messages indésirables mais aussi de limiter d'autres abus, comme les annonces frauduleuses ou les messages qui induisent en erreur les destinataires et les conduisent à communiquer leurs numéros de carte bancaire ou d'autres informations privées.
En luttant contre l'usurpation de domaine, Sender ID (identification de l'expéditeur) nous aide aussi à exploiter plus efficacement d'autres mesures anti-Spam. Par exemple, en combinant Sender ID avec des listes d'expéditeurs légitimes, il devient possible d'acheminer rapidement les messages légitimes en provenance d'expéditeurs connus, en leur appliquant peu de filtrages. En revanche, les messages en provenance d'expéditeurs inconnus seront filtrés de façon plus approfondie. À mesure que les techniques de filtrage progressent, de nouvelles technologies et des systèmes d'accréditation permettent aux expéditeurs de prouver qu'ils ne sont pas des spammeurs. Cela permet aux messages légitimes en provenance d'expéditeurs inconnus de parvenir à leur destination. Combinées entre elles, ces techniques devraient fortement réduire le volume du Spam qui envahit nos boîtes aux lettres.
Toutefois, une approche intégrale pour lutter contre le Spam requiert la combinaison de plusieurs éléments :
| • | Les messages en provenance de vos correspondants habituels doivent vous parvenir automatiquement. |
| • | Les expéditeurs inconnus doivent pouvoir apporter la preuve qu'ils ne sont pas des spammeurs. |
| • | Les technologies de filtrage doivent être en permanence améliorées. |
| • | Les messages indésirables doivent être bloqués le plus près possible de leur source afin de ne pas saturer les réseaux. |
Tous ces efforts combinés réduiront fortement le coût de la lutte contre les messages indésirables, notamment s'ils s'appliquent à la fois dans les domaines civils et militaires. Permettez-moi de vous présenter plus en détail les principaux éléments de notre approche globale.
Permettre une preuve d'identité et prouver une intention
Comme je l'ai mentionné, les spammeurs falsifient souvent les adresses des expéditeurs
(le champ "De :") dans leurs messages. Toutefois, l'adresse IP (Internet Protocol) réelle
de l'expéditeur est difficile à falsifier. Si un serveur recevant le message a la
possibilité de vérifier la correspondance entre l'adresse IP et le nom de l'expéditeur,
tous les messages usurpant des noms de domaine peuvent être éliminés. Cette idée est mise
en œuvre dans le mécanisme Sender ID. Les adresses IP des serveurs diffuseurs de messages
sont publiées dans l'annuaire Internet - le système DNS (Domain Name System) - qui contrôle
la livraison des messages. En outre, l'adresse IP de l'expéditeur est placée dans
l'enveloppe du message, une partie cachée qui sert à l'acheminement du message jusqu'à
sa destination. Les systèmes de messagerie des destinataires peuvent alors vérifier
l'authenticité des messages reçus. Vous trouverez des informations complémentaires sur
le fonctionnement de Sender ID à la page
Sender ID
Parallèlement, nous développons des techniques qui permettront aux expéditeurs, encore inconnus de leurs destinataires, de "qualifier" leurs messages afin que ces derniers soient livrés normalement. Cette qualification passe par un temps minimal de calcul effectué par l'ordinateur expéditeur. Le temps de calcul reste négligeable pour la plupart des expéditeurs mais ralentit considérablement les opérations des spammeurs en limitant le nombre de messages qu'ils peuvent émettre. Réciproquement, les serveurs recevant des messages suspects peuvent répondre au serveur expéditeur en lui proposant un challenge comme un calcul complexe ou un problème que seul un être humain peut résoudre. Si l'expéditeur répond correctement, en dépensant du temps en calculs ou via une interaction humaine, le message d'origine est alors acheminé vers la boîte aux lettres du destinataire.
Certains ont suggéré que de tels systèmes permettraient aux fournisseurs de services Internet de faire payer les expéditeurs pour l'acheminement de leurs messages. Nous sommes persuadés que de tels frais financiers seraient inadaptés et contraires aux fondements d'Internet, ce support devant rester un moyen de communication efficace et très bon marché. L'objectif est simplement de déjouer les utilisations abusives d'Internet afin que chacun puisse continuer de profiter de ses immenses avantages.
Les entreprises et les organisations qui expédient de nombreux courriers électroniques légitimes, comme les banques, ont besoin de prouver que leurs messages ne constituent pas du Spam. Des services d'accréditation tiers peuvent contribuer à certifier l'identité et le comportement respectable de ces expéditeurs. En mai, MSN Hotmail de Microsoft a terminé avec succès un pilote de Bonder Sender, un programme d'accréditation développé par IronPort Systems et supervisé par TRUSTe, une organisation privée à but non lucratif. Pour obtenir son accréditation, un expéditeur doit se conformer à des règles très strictes de bonne conduite et déposer une caution auprès d'IronPort. La caution est perdue si l'expéditeur ne respecte pas les règles édictées. Cette disposition ainsi que d'autres programmes d'accréditation comme celui de Brightmail Inc. nous semblent constituer des développements encourageants.
Se prémunir et se protéger contre les attaques de messages indésirables
De plus en plus, la technologie nous protège contre les messages indésirables, les virus et d'autres menaces, en les empêchant d'entrer dans les réseaux et de les saturer. Cette approche constitue le fondement de Microsoft Exchange Edge Services, une nouvelle technologie qui protège les réseaux contre les messages indésirables et les attaques des pirates informatiques. Edge Services intègrera nos dernières technologies en matière de filtrage et de sécurité et ouvrira notre plate-forme aux solutions anti-Spam tierces.
Nous travaillons aussi à d'autres moyens pour déjouer les stratagèmes favoris des spammeurs. Par exemple, les spammeurs établissent fréquemment des listes d'adresses de messagerie valides via des "attaques de dictionnaires" : ils envoient des messages indésirables à tous les noms possibles dans une entreprise puis ils se concentrent sur les adresses valides (celles qui ne produisent pas d'erreur du genre destinataire inconnu). Nous développons actuellement des logiciels capables de détecter ce genre d'attaques. Nous permettrons ainsi aux administrateurs des réseaux de bloquer ces trafics avant que de nombreux noms valides soient récoltés.
De la même manière, des spammeurs masquent souvent leur identité en faisant expédier leurs messages à l'insu de tiers dont les serveurs de messages sortants sont mal configurés : ces serveurs peuvent être utilisés comme relais depuis l'extérieur de l'entreprise. Nous développons aussi un logiciel qui permettra à un administrateur de bloquer les messages en provenance de tels serveurs, ou de les analyser en détail avant de les laisser rentrer dans son réseau.
Les administrateurs réseaux doivent contrer les attaques de Spam en provenance des réseaux extérieurs, mais ils doivent aussi être capables de détecter si des virus ou des vers ont infecté leurs postes de travail. En effet, des systèmes contaminés peuvent se transformer en générateurs de messages indésirables à l'insu de leurs utilisateurs. Durant ces derniers mois, cette technique a été employée à grande échelle, provoquant l'envoi simultané de très grands volumes de messages indésirables par de nombreux PC. Nous résolvons actuellement ce problème en adaptant les technologies SmartScreen pour permettre aux entreprises de filtrer leurs propres messages sortants afin de détecter ce genre d'attaque.
Dans les douze prochains mois, nous ajouterons de nouvelles fonctionnalités importantes au filtrage SmartScreen afin de le rendre encore plus efficace. La qualité d'un filtre dépend de la pertinence des données qui lui permettent de distinguer un message légitime d'un message indésirable. SmartScreen a l'avantage de reconnaître des millions de messages que des centaines de milliers d'utilisateurs volontaires de MSN Hotmail ont marqué comme messages légitimes ou indésirables. Nous ajouterons de nouvelles données à SmartScreen afin de le rendre encore plus intelligent. Bien sûr, les spammeurs changent en permanence de tactique afin de contourner les filtres. Par conséquent, nous équiperons SmartScreen d'un mécanisme de mise à jour automatique afin que les utilisateurs bénéficient d'un filtrage en permanence remis à jour.
Les avantages de l'innovation et de la collaboration
Les progrès que nous avons réalisés ont été rendus possibles grâce à l'innovation et à une large collaboration entre les acteurs du marché, les gouvernements et les consommateurs.
Depuis janvier 2003, Microsoft a collaboré avec différents gouvernements dans le monde entier pour engager des poursuites dans 14 pays contre les auteurs de messages illégaux, frauduleux ou mensongers. Nous nous joignons à d'autres entreprises en informatique pour proposer et soutenir de nouvelles lois, comme le CAN-SPAM Act aux États-Unis, qui fourniront un nouvel arsenal juridique pour de mettre un terme à l'activité des spammeurs. En mars, nous avons unis nos forces avec plusieurs fournisseurs importants de services de messagerie pour entamer des poursuites à l'encontre de centaines de personnes suspectées d'être responsables des plus importantes opérations de Spam dans le monde. En avril, nous avons assisté les agences fédérales américaines dans leurs premières actions au civil et au pénal contre un groupe de spammeurs. En juin, nous avons engagé 17 procès. L'engagement de Microsoft dans la lutte contre les messages indésirables nous a conduit à entamer 90 actions en justice dans le monde entier.
Certes, de nouvelles lois apparaissent, des jugements sont rendus et la technologie se développe. Mais il faut souligner que les utilisateurs jouent un rôle important dans la lutte contre le Spam en utilisant des filtres anti-Spam, en ne répondant jamais à ces messages, et en ne diffusant leurs adresses de messagerie qu'à des personnes dignes de confiance.
Je suis persuadé que les leçons que nous tirons de notre lutte contre l'envoi en masse
de messages indésirables nous feront bénéficier d'autres avantages. Ainsi, en travaillant
à l'élimination des spammeurs, nous mettons en place une infrastructure plus fiable, plus
efficace et plus sure pour la messagerie électronique, pour Internet et l'informatique en
général. Microsoft continuera ses efforts jusqu'à ce que le Spam ne soit plus un problème
important, objectif que nous atteindrons bientôt, j'en suis persuadé. Pour obtenir des
informations complémentaires sur nos efforts, consultez la page Microsoft Is Committed to
Help End the Spam Epidemic
Merci.
Bill Gates
Pour en savoir plus
Consultez ce bulletin en anglais