Spam, mais comment font-ils?

Je ne cherche pas à me savoir comment lutter contre le spam ni même le
mode d'emploi. En fait depuis des mois, tous les jours, à heure
régulière (aux alentours de 19 heures) un spammer m'envoie ses deux spam
de cul. Le scénario est toujours le même. Texte du spam en ASCII art,
tous ses spams vienent d'adresse IP différente et tous les jours ce sont
de nouveaux site web chez uk.geocities.com qui pointent vers le fameux
site de cul. Comment le mec fait pour trouver autant de machine pour
relayer ses spam? Et surtout, c'est quoi ces machines? Du windows95?
J'aimerais bien que l'on m'explique.

Une des technique des spammeurs consiste a utiliser des "pc zombies" (ie
infectés par des vers/troyens) servant de relais smtp. Ces machines sont
sans doute majoritairement sous WindowsXP, bien sur leurs utilisateurs
n'ont pas correctement sécurisé leur système.
Ils peuvent également utiliser des machines ou un serveur de courrier
est installé sans aucune précaution de sécurité (open relay).

Voici un des nombreux articles sur le web abordant le sujet :
<http://www.indexel.net/1_20_3848___/Le_retour_des_PC_zombies.htm>

Ama les chiffres anoncés sur ces articles sont malheureusement très en
decà de la réalité.


--
Bruno

"Olivier" <opblock-pub@yahoo.com> a écrit dans le message de news:
MPG.1cf10901d587c66e989680@news-europe.giganews.com...

Je ne cherche pas à me savoir comment lutter contre le spam ni même le
mode d'emploi. En fait depuis des mois, tous les jours, à heure
régulière (aux alentours de 19 heures) un spammer m'envoie ses deux
spam
de cul. Le scénario est toujours le même. Texte du spam en ASCII art,
tous ses spams vienent d'adresse IP différente et tous les jours ce
sont
de nouveaux site web chez uk.geocities.com qui pointent vers le fameux
site de cul. Comment le mec fait pour trouver autant de machine pour
relayer ses spam? Et surtout, c'est quoi ces machines? Du windows95?
J'aimerais bien que l'on m'explique.

--
Bonjour à toi aussi...

Il y a pas mal de lecture traitant de ce sujet :
http://fr.wikipedia.org/wiki/Spam
http://www.arobase.org/spam/

et bien d'autres il suffit de faire une recherche Google ....

Bonjour.

[...] Comment le mec fait pour
trouver autant de machine pour relayer ses spam? Et surtout, c'est
quoi ces machines? Du windows95? J'aimerais bien que l'on m'explique.

Une des technique des spammeurs consiste a utiliser des "pc zombies"
(ie infectés par des vers/troyens) servant de relais smtp. Ces
machines sont sans doute majoritairement sous WindowsXP, bien sur
leurs utilisateurs n'ont pas correctement sécurisé leur système.
Ils peuvent également utiliser des machines ou un serveur de courrier
est installé sans aucune précaution de sécurité (open relay).

Voici un des nombreux articles sur le web abordant le sujet :
<http://www.indexel.net/1_20_3848___/Le_retour_des_PC_zombies.htm>

Ama les chiffres anoncés sur ces articles sont malheureusement très en
decà de la réalité.

J'aime bien la conclusion fataliste surtout...

C'est à se demander si une solution ne serait pas de combattre le mal par le
mal (mais bien sûr c'est totalement illégal et donc ça demanderait une
réflexion éthique...).

<pure théorie>
Imaginez donc qu'un anti-pirate (genre malfaiteur repenti et devenu sauveur
des foules) lance un virus double, ayant la faculté de se diviser sur la
machine infectée en deux charges...
La première charge serait volontairement une forme neutralisée d'un vieux
virus ultra-connu et donc normalement présent dans la base du plus arriéré
des anti-virus...
La seconde charge serait conçue pour laisser une ou deux semaines à
l'anti-virus pour trouver et détruire la première, et dans ce cas se
saborder. Dans le cas contraire, constatant que le propriétaire de la
machine atteint les abysses du laxisme, elle provoquerait alors un dégât
suffisant (genre effacement du MBR) pour l'obliger à réinstaller son
système.
</pure théorie>

Plutôt moche, non ? Mais en fait une simple précipitation de la conclusion
de l'article cité ci-dessus. Une simple transposition du contrôle technique
automobile et de l'interdiction de rouler qui va avec, si on veut.

Dans l'hypothèse où la population des zombies continuerait de se développer,
je me demande si certaines organisations plus ou moins au-dessus des lois
n'ont pas déjà prévu un tel plan B pour faire le grand ménage, et dans ce
cas d'urgence, le délai ne serait sans doute pas de deux semaines :-D

Au fait, est-il légal de ne pas protéger **du tout** sa machine, et donc de
servir de complice passif mais volontaire à des criminels, alors qu'il
existe des solutions gratuites pour les différents composants logiciels de
sécurité ?

Ca devient presque un sujet de philo...

Cordialement,

PS: Je précise que je ne pratique pas l'écriture ni la diffusion de
saloperies !

--
/***************************************
* Patrick BRUNET
* E-mail: lien sur http://zener131.free.fr/ContactMe
***************************************/

On 16 May 2005 05:27:22 GMT, xavier@groumpf.org (Xavier):

J'aimerais bien qu'un juge se penche un jour sur ce problème.

Le problème, c'est qu'il n'y a presque aucun lien entre les gens qui
s'occupent des lois (législateur, juges...) et les gens qui s'occupent
de sécurité informatique.

--
Le grand site de la philosophie animale : <http://perso.edulang.com/philo/>

Patrick 'Zener' Brunet <use.link.in.signature@ddress.invalid> wrote:

Plutôt moche, non ? Mais en fait une simple précipitation de la conclusion
de l'article cité ci-dessus. Une simple transposition du contrôle technique
automobile et de l'interdiction de rouler qui va avec, si on veut.

Ce n'est pas la première fois que cette quetion est abordée. Les
positions restent divisées.

Une suggestion souvent faite, et qui, personnellement m'intéresse assez,
serait que les FAI proposent deux types d'abonnement, un étant tout
filtré et protégé, comme l'est par exemple un bon réseau d'entreprise.

Pourquoi pas si les conditions sont très clairement définies dans le
contrat. Dans ce cas il ne s'agit plus a proprement parler d'un FAI,
puisque l'on offre un accès restreint à Internet.

Ce lui qui veut un accès complet devrait s'engager dans les CGU à mettre
en oeuvre ce qu'il faut.

C'est déjà le cas dans les contrats des FAI, il y a toujours une clause
qui engage plus ou moins clairement la responsabilité de l'utilisateur
suer ce point, et permet au FAI d'interrompre l'accès.

Au fait, est-il légal de ne pas protéger **du tout** sa machine, et donc de
servir de complice passif mais volontaire à des criminels, alors qu'il
existe des solutions gratuites pour les différents composants logiciels de
sécurité ?

J'aimerais bien qu'un juge se penche un jour sur ce problème.

Dans la pratique l'usager est responsable, mais cette responsabilté peut
être limitée (voire dégagée) par ses compétences.
Et quid de la responsabilté des éditeurs de logiciels qui fournissent
des sytèmes non sécurisés, ou du moins dont la sécurisation exige un
minimum de compétences techniques et l'utilisation de logiciel tiers ?

--
Bruno

Bonjour.

Patrick 'Zener' Brunet <use.link.in.signature@ddress.invalid> wrote:

Plutôt moche, non ? Mais en fait une simple précipitation de la
conclusion de l'article cité ci-dessus. Une simple transposition du
contrôle technique automobile et de l'interdiction de rouler qui va
avec, si on veut.

Ce n'est pas la première fois que cette quetion est abordée. Les
positions restent divisées.

Une suggestion souvent faite, et qui, personnellement m'intéresse
assez, serait que les FAI proposent deux types d'abonnement, un étant
tout filtré et protégé, comme l'est par exemple un bon réseau
d'entreprise.

Certes, mais la définition du spam est individuelle et sa fiabilité est
limitée : il faut pouvoir vérifier.
J'ai cette option chez Free.fr, mais je l'ai désactivée parce qu'ils
proposent (en POP) le choix entre détruire ou laisser passer mais sans même
un marquage (ils ne modifient pas les mails). Comme je ne veux pas passer en
IMAP, je me débrouille avec mon SpamPal @ home qui lui sait faire...

Celui qui veut un accès complet devrait s'engager dans les CGU à
mettre en oeuvre ce qu'il faut.

Je crains qu'il y ait alors des contraintes à fort impact financier sur la
spécification de "ce qu'il faut"... Je préfèrerais une spécification en "ce
qui ne doit pas arriver et sera sanctionné sauf cas de force extrêmement
majeure".

[...]

Au fait, est-il légal de ne pas protéger **du tout** sa machine, et
donc de servir de complice passif mais volontaire à des criminels,
alors qu'il existe des solutions gratuites pour les différents
composants logiciels de sécurité ?

J'aimerais bien qu'un juge se penche un jour sur ce problème.

Cf réponse à Fabien LE LEZ.

Cordialement,

--
/***************************************
* Patrick BRUNET
* E-mail: lien sur http://zener131.free.fr/ContactMe
***************************************/

Mon, 16 May 2005 05:27:22 +0000, dans
<1gwmt9j.rbsjl91g96mluN%xavier@groumpf.org>, Xavier a écrit:

Au fait, est-il légal de ne pas protéger **du tout** sa machine, et
donc de servir de complice passif mais volontaire à des criminels,
alors qu'il existe des solutions gratuites pour les différents
composants logiciels de sécurité ?

J'aimerais bien qu'un juge se penche un jour sur ce problème.

Un juge applique la loi. Que des solutions existent et le fait qu'elles
soient gratuites ou non ne change rien au problème. Tant qu'il n'y a pas
de loi qui exige un minimum de sécurité pour un ordinateur connecté à
un réseau, en général, et à internet, en pariculier, on ne voit pas
comment le juge va pouvoir se prononcer.

Et puis, si le législateur décide de voter une loi allant dans ce sens,
cela me semble difficile, pour ne pas dire impossible, d'impliquer
seulement l'utilisateur final et non les éditeurs de logiciels (pour les
failles, voire des fonctionnalités exploitées dans le but de nuire), les
fabricants de matériels (obligation d'un pare-feu, par exemple, de la
même façon qu'une voiture doit avoir 2 types de frein) ainsi que les
FSI.

Le problème est très complexe.

--
Salutations cordiales.
Mahaleo

Bonjour.

Patrick 'Zener' Brunet <use.link.in.signature@ddress.invalid> wrote:
[...]
Dans la pratique l'usager est responsable, mais cette responsabilté

peut être limitée (voire dégagée) par ses compétences.
Et quid de la responsabilté des éditeurs de logiciels qui fournissent
des sytèmes non sécurisés, ou du moins dont la sécurisation exige un
minimum de compétences techniques et l'utilisation de logiciel tiers ?

Pas d'accord : le droit à l'incompétence gangrène déjà notre société, c'est
un danger mortel. On ne peut pas le reconnaître.

Sur la voie publique on est responsable des torts que l'on
peut causer aux autres, volontairement ou pas (et ceci d'autant plus que
l'information est de nos jours pour le moins accessible...).

C'est comme pour le permis de conduire : devoir de formation et donc devoir
de compétence minimale.

Nul n'est censé ignorer la loi.

Pour les produits, en fait je crois qu'il n'existe pas de loi interdisant de
vendre de la .erde, ni de l'acheter. Par contre il peut être interdit sous
peine de sanction de l'utiliser sans avoir terminé soi-même la conception
éventuelle, l'achat et la mise en place des éléments manquants.

Mais alors bien sûr il faudrait que le vendeur soit tenu de l'expliquer
clairement au client (principe du consentement éclairé) et de rembourser si
le client ne peut pas utiliser le truc (vices cachés). Je me demande si ça
aurait un impact sur les ventes, et en conséquence sur la conception des
produits destinés à la vente...

C'est beau les sous-entendus pas vrai ? :-D

Cordialement,

--
/***************************************
* Patrick BRUNET
* E-mail: lien sur http://zener131.free.fr/ContactMe
***************************************/

On 16 May 2005 08:12:16 GMT, Bruno Patri <b.patri+ng@free.fr>:

C'est déjà le cas dans les contrats des FAI, il y a toujours une clause
qui engage plus ou moins clairement la responsabilité de l'utilisateur
suer ce point, et permet au FAI d'interrompre l'accès.

Sauf que si ça concerne une très forte proportion des clients d'un
FAI, il ne peut guère fermer tous les comptes et perdre la majorité de
sa clientèle...

--
Le grand site de la philosophie animale : <http://perso.edulang.com/philo/>

Bonjour.

On 16 May 2005 05:27:22 GMT, xavier@groumpf.org (Xavier):

J'aimerais bien qu'un juge se penche un jour sur ce problème.

Le problème, c'est qu'il n'y a presque aucun lien entre les gens qui
s'occupent des lois (législateur, juges...) et les gens qui s'occupent
de sécurité informatique.

Depuis longtemps j'essaie d'avoir des discussions avec des juristes et
métiers connexes, sur la structure du droit. Beaucoup en sont convaincus,
mais ne savent pas comment sauter le pas, et il faudrait encore que la
profession toute entière fasse son examen de conscience.
Le droit a une structure fondamentalement historique, fondée sur des
préceptes moraux antiques et mal identifiés, et sur un mille-feuilles de
corrections successives apportées depuis une éternité. Et comme il est fondé
aussi sur l'interprétation humaine de textes ambigus et contradictoires, il
est nécessairement en retard sur la réalité : débat, décision puis
jurisprudence puis législation...
Une refondation selon des principes identiques à ceux des mathématiques
serait bien plus efficace : si l'on définissait clairement les "objets" du
droit et ses "principes fondamentaux", d'une manière non ambiguë et non
redondante, les lois s'en déduiraient automatiquement et instantanément
comme des théorèmes à partir d'axiomes, et leur interprétation serait
purement logique Mr Spock.

Par exemple : l'animal domestique vient d'être reconnu comme "être vivant et
sensible". Avec une telle structure, le code des droits de l'animal
domestique pourrait être construit automatiquement et de manière purement
logique...

D'ailleurs je travaille actuellement sur un méta-modèle qui serait capable
de supporter un tel travail de conversion (ce qui relève de la cognitique).

Seulement de nombreuses réticences sont à prévoir car de nombreuses
personnes dont le métier consiste à jouer sur ces ambiguïtés perdraient
beaucoup de leur superbe, et par ailleurs beaucoup de gens de nos jours sont
convaincus que ce qui est clair et logique n'est pas chré... pardon, je veux
dire humain. On n'est pas des cyborgs, non ? On a bien le droit de tourner
des années autour du pot et de se voiler la face quand on s'est trompés...
"Errare humanum est" n'est-il pas une valeur refuge ? Voire une définition
de l'humanité dans un monde où la science nous place chaque jour devant nos
contradictions ?

La séparation totale entre les disciplines scientifiques et littéraires se
fait dès le lycée, et il faut le plus souvent atteindre une grande
expérience scientifique ou philosophique pour commencer à regarder dans
l'autre "camp".

Je viens aussi de tomber sur les offres d'emploi d'un grand "bureau" dont la
mission est de délivrer des certificats de conformité pour tout ce qui a
trait à la sécurité des installations dans de nombreux domaines (aérien,
usines classées Seveso, etc.). Les rémunérations proposées pour les postes
commerciaux (sisi il y en a) sont correctes, mais en comparaison les
rémunérations proposées aux experts techniques qui doivent engager leur
responsabilité sur lesdits contrôles sont proprement ridicules (niveau
technicien débutant). Ca va motiver des tas de gens compétents, pour sûr !

La sécurité implique pourtant des garanties objectives de fiabilité, pas
seulement des lois qui en parlent !

"Half-Brain reasonning", par D. Fissian, Blind Editions

Cordialement,

--
/***************************************
* Patrick BRUNET
* E-mail: lien sur http://zener131.free.fr/ContactMe
***************************************/