Spam sur adresses en free.fr & online.fr: pb de confidentialite ?
13 réponses
Bruno Treguier
Bonsoir,
J'ai posté un message hier sur l'un des groupes proxad, pour signaler
un souci qui me semble concerner la confidentialité des adresses en
"free.fr" et "online.fr". Je poste ici aujourd'hui car j'aimerais avoir
l'avis de personnes extérieures à Free. Je ne sais pas si c'est vraiment
le bon groupe, mais je n'en ai pas vraiment trouvé d'approprié, en fait.
Je possède 4 adresses email chez Free (1 principale et 3 secondaires).
La principale est celle avec laquelle je poste ici (je n'ai aucune
illusion sur l'efficacité du "pseudo camouflage" que je lui applique).
Elle peut bien entendu, du coup, être spammée...
Concernant les 3 autres:
- l'une est présente sur un site web, mais sous forme graphique
(inclusion dans une photo mise sur le site). Même si elle n'est pas
directement récupérable, elle a pu être vue par un éventuel spammeur,
bien que je pense que la probabilité pour que cela arrive reste très
faible.
- la 2ème est enregistrée sur un site d'échecs en ligne, et me sert
à recevoir les informations concernant mes parties. Elle est
uniquement connue du système automatique gérant ces parties et n'a
jamais été diffusée à un "humain". En particulier, les autres joueurs
n'y ont pas accès.
- la 3ème, en revanche, ne m'a encore *jamais* servi...
J'ai classé ces adresses de la plus exposée à la moins exposée (pas
exposée du tout d'ailleurs puisqu'elle n'est connue de personne à
part moi).
Ces 4 adresses ont éé spammées presque simultanément, avec le même
message, hier soir. Il s'est passé environ 1 heure entre le 1er spam
reçu et le dernier.
A part l'une d'entre elles, toutes ces adresses sont suffisamment
longues pour rendre extrêmement improbable leur génération automatique
par un système d'envoi de spam. Par ailleurs, la réception quasi-
simultanée de ces messages me fait plus penser à l'exploitation
d'une base d'adresses, qu'à une génération automatique "en aveugle".
Avant que l'un d'entre vous me pose la question, je précise que j'ai
une confiance raisonnable (et raisonnée) dans la sécurité de mes
machines. Les adresses spammées y sont effectivement présentes, mais pas
toutes sur la même machine (qui sont sous Linux). Mon réseau local est,
assez classiquement, localisé derrière un routeur, et très peu de ports
sont ouverts (smtp, ssh). Je vérifie très régulièrement les logs, les
patches sont appliqués, etc. Bref, je ne pense pas que le problème
vienne de mon côté. J'ajoute que sur les mêmes machines, j'ai également
d'autres adresses email présentes, chez d'autres fournisseurs que Free.
*Aucune* de ces autres adresses n'a été spammée.
Pour aller dans mon sens, une autre personne a apporté un témoignage
concordant sur le même newsgroup proxad. Je ne connais pas cette
personne, ni les conditions dans lesquelles sa machine est utilisée,
mais elle a dit avoir déclaré une nouvelle adresse chez Free il y a 3
jours (a priori sans l'avoir utilisée depuis), et cette adresse a été
spammée hier soir également.
Voilà. Désolé pour l'exposé relativement long, mais il est à la
hauteur des inquiétudes que je nourris concernant la confidentialité
des adresses email chez Free.
Qu'en pensez-vous ? L'un d'entre vous a-t-il eu une expérience
similaire ? Est-il raisonnable de penser que Free a un trou dans
sa raquette au niveau de la confidentialité des adresses email ?
Merci de vos commentaires, éclaircissements, etc...
[XPost frif/fcms] Bruno Treguier devait dire quelque chose comme ceci :
[Snip]
S'il s'agit de distribution en aveugle, je suis d'accord, mais au niveau de la collecte d'adresses valides (puisque je suis à peu près sûr qu'une telle étape a été menée en préalable à la vague de spam que je subis actuellement), l'utilisation de relais ouverts ne peut pas se faire de façon aussi simple.
Parce que tu crois vraiment que les spammeurs perdent leur temps à collecter les adresses avant de faire une attaque par dictionnaire ? Tu prends un relais ouvert qui accepte cent destinataires ou plus par messages, et tu spammes milles adresses par minutes. Inutile de se fatiguer à perdre une minute de plus pour vérifier au préalable que les adresses sont valides. D'autant plus qu'une telle vérification oblige à fournir son adresse IP, à moins d'utiliser un proxy SOCKS comme relais.
Le but étant de collecter des adresses valides, et donc le résultat de commandes SMTP, il faut soit le faire en direct, soit avoir pris le contrôle d'une machine qui le fera, mais c'est un peu plus compliqué que de simplement balancer ses mails au travers d'un relais ouvert.
Dix[1] lignes de Perl le font toutes seules pendant que tu dors, et le lendemain matin tu te retrouves avec une dizaine de milliers d'adresses valides prêtent à être traitées par dix[1] autres lignes de Perl qui se feront un plaisir d'envoyer les mails pendant que tu prends ton café.
[1] "Dix" étant une façon de parler évidement, quoi que...
Je n'ai pas le même avis là-dessus, mais bon, ce n'est même pas la peine de polémiquer, c'est quasi-religieux, comme opinion. Je pense qu'il faut continuer à enquiquiner les spammeurs si ça ne coûte pas grand-chose.
Et emerder les spammés en ralentissant le traitement de leurs mails et en augmentant le coût de leur abonnement parce qu'il faut rajouter un ou deux MX pour tenir la charge. Nan, je ne pense pas...
La charge sur les serveurs de Free n'est pas plus importante avec ce système de temporisation ou de limitation du nombre de "RCPT TO:" que sans.
Admettons que l'on ait une temporisation d'une seconde, compte-tenu du temps nécessaire pour envoyer-traiter-répondre_à un /RCPT TO/, cela fait un slot occupé cinq fois plus longtemps qu'il n'aurait dû l'être. Lorsque les MX gèrent plus de quatre millions d'adresses, ça se ressent très vite, surtout qu'une seconde n'est pas une gène en soit pour le bot qui procèdera à la manoeuvre, pas plus que dix ou trente d'ailleurs.
Et vous aurez beau dire que les spammeurs ont le temps, ce qui est vrai, quand la collecte d'une adresse valide prend 1/10 de seconde, c'est quand-même beaucoup plus "spammer-friendly" que si ça en prend 10 ou 20. Encore une fois, là, je me place au niveau de la collecte des adresses valides, et non au niveau de l'envoi des mails. Ce sont 2 choses bien différentes.
Tu te mets surtout à la place d'un être humain, alors que c'est un robot qui fera le travail. Qu'importe s'il lui faut une heure ou une journée, et la bande passante n'est pas un problème, la procédure n'occupera même pas 1 kbps.
[...] à part sa mise en place, l'analyse anti-spam des messages est un processus consommateur de ressources, et qui coûte plus d'argent à Free. Moins on reçoit de spam parce qu'on a fait en sorte de mieux protéger les adresses de ses abonnés, moins on a à mettre en place de machines puissantes pour traiter ces messages...
Ce n'est pas parce que l'on recevra un spam en moins par jour que les adresses seront plus protégées. Déjà qu'il reste encore à démontrer que ce spam n'arrivera vraiment pas, ce qui est loin d'être garantie.
Fu2 fr.comp.mail.serveurs
[XPost frif/fcms]
Bruno Treguier devait dire quelque chose comme ceci :
[Snip]
S'il s'agit de distribution en aveugle, je suis d'accord, mais au niveau
de la collecte d'adresses valides (puisque je suis à peu près sûr qu'une
telle étape a été menée en préalable à la vague de spam que je subis
actuellement), l'utilisation de relais ouverts ne peut pas se faire de
façon aussi simple.
Parce que tu crois vraiment que les spammeurs perdent leur temps à
collecter les adresses avant de faire une attaque par dictionnaire ? Tu
prends un relais ouvert qui accepte cent destinataires ou plus par
messages, et tu spammes milles adresses par minutes. Inutile de se
fatiguer à perdre une minute de plus pour vérifier au préalable que les
adresses sont valides. D'autant plus qu'une telle vérification oblige à
fournir son adresse IP, à moins d'utiliser un proxy SOCKS comme relais.
Le but étant de collecter des adresses valides, et
donc le résultat de commandes SMTP, il faut soit le faire en direct,
soit avoir pris le contrôle d'une machine qui le fera, mais c'est un peu
plus compliqué que de simplement balancer ses mails au travers d'un
relais ouvert.
Dix[1] lignes de Perl le font toutes seules pendant que tu dors, et le
lendemain matin tu te retrouves avec une dizaine de milliers d'adresses
valides prêtent à être traitées par dix[1] autres lignes de Perl qui se
feront un plaisir d'envoyer les mails pendant que tu prends ton café.
[1]
"Dix" étant une façon de parler évidement, quoi que...
Je n'ai pas le même avis là-dessus, mais bon, ce n'est même pas la peine
de polémiquer, c'est quasi-religieux, comme opinion. Je pense qu'il faut
continuer à enquiquiner les spammeurs si ça ne coûte pas grand-chose.
Et emerder les spammés en ralentissant le traitement de leurs mails et
en augmentant le coût de leur abonnement parce qu'il faut rajouter un
ou deux MX pour tenir la charge. Nan, je ne pense pas...
La charge sur les serveurs de Free n'est pas plus importante avec
ce système de temporisation ou de limitation du nombre de
"RCPT TO:" que sans.
Admettons que l'on ait une temporisation d'une seconde, compte-tenu du
temps nécessaire pour envoyer-traiter-répondre_à un /RCPT TO/, cela
fait un slot occupé cinq fois plus longtemps qu'il n'aurait dû l'être.
Lorsque les MX gèrent plus de quatre millions d'adresses, ça se ressent
très vite, surtout qu'une seconde n'est pas une gène en soit pour le
bot qui procèdera à la manoeuvre, pas plus que dix ou trente
d'ailleurs.
Et vous aurez beau dire que les spammeurs ont le temps, ce qui
est vrai, quand la collecte d'une adresse valide prend 1/10 de seconde,
c'est quand-même beaucoup plus "spammer-friendly" que si ça en prend
10 ou 20. Encore une fois, là, je me place au niveau de la collecte des
adresses valides, et non au niveau de l'envoi des mails. Ce sont 2
choses bien différentes.
Tu te mets surtout à la place d'un être humain, alors que c'est un
robot qui fera le travail. Qu'importe s'il lui faut une heure ou une
journée, et la bande passante n'est pas un problème, la procédure
n'occupera même pas 1 kbps.
[...] à part sa mise en place, l'analyse anti-spam
des messages est un processus consommateur de ressources, et qui coûte
plus d'argent à Free. Moins on reçoit de spam parce qu'on a fait en
sorte de mieux protéger les adresses de ses abonnés, moins on a à mettre
en place de machines puissantes pour traiter ces messages...
Ce n'est pas parce que l'on recevra un spam en moins par jour que les
adresses seront plus protégées. Déjà qu'il reste encore à démontrer que
ce spam n'arrivera vraiment pas, ce qui est loin d'être garantie.
[XPost frif/fcms] Bruno Treguier devait dire quelque chose comme ceci :
[Snip]
S'il s'agit de distribution en aveugle, je suis d'accord, mais au niveau de la collecte d'adresses valides (puisque je suis à peu près sûr qu'une telle étape a été menée en préalable à la vague de spam que je subis actuellement), l'utilisation de relais ouverts ne peut pas se faire de façon aussi simple.
Parce que tu crois vraiment que les spammeurs perdent leur temps à collecter les adresses avant de faire une attaque par dictionnaire ? Tu prends un relais ouvert qui accepte cent destinataires ou plus par messages, et tu spammes milles adresses par minutes. Inutile de se fatiguer à perdre une minute de plus pour vérifier au préalable que les adresses sont valides. D'autant plus qu'une telle vérification oblige à fournir son adresse IP, à moins d'utiliser un proxy SOCKS comme relais.
Le but étant de collecter des adresses valides, et donc le résultat de commandes SMTP, il faut soit le faire en direct, soit avoir pris le contrôle d'une machine qui le fera, mais c'est un peu plus compliqué que de simplement balancer ses mails au travers d'un relais ouvert.
Dix[1] lignes de Perl le font toutes seules pendant que tu dors, et le lendemain matin tu te retrouves avec une dizaine de milliers d'adresses valides prêtent à être traitées par dix[1] autres lignes de Perl qui se feront un plaisir d'envoyer les mails pendant que tu prends ton café.
[1] "Dix" étant une façon de parler évidement, quoi que...
Je n'ai pas le même avis là-dessus, mais bon, ce n'est même pas la peine de polémiquer, c'est quasi-religieux, comme opinion. Je pense qu'il faut continuer à enquiquiner les spammeurs si ça ne coûte pas grand-chose.
Et emerder les spammés en ralentissant le traitement de leurs mails et en augmentant le coût de leur abonnement parce qu'il faut rajouter un ou deux MX pour tenir la charge. Nan, je ne pense pas...
La charge sur les serveurs de Free n'est pas plus importante avec ce système de temporisation ou de limitation du nombre de "RCPT TO:" que sans.
Admettons que l'on ait une temporisation d'une seconde, compte-tenu du temps nécessaire pour envoyer-traiter-répondre_à un /RCPT TO/, cela fait un slot occupé cinq fois plus longtemps qu'il n'aurait dû l'être. Lorsque les MX gèrent plus de quatre millions d'adresses, ça se ressent très vite, surtout qu'une seconde n'est pas une gène en soit pour le bot qui procèdera à la manoeuvre, pas plus que dix ou trente d'ailleurs.
Et vous aurez beau dire que les spammeurs ont le temps, ce qui est vrai, quand la collecte d'une adresse valide prend 1/10 de seconde, c'est quand-même beaucoup plus "spammer-friendly" que si ça en prend 10 ou 20. Encore une fois, là, je me place au niveau de la collecte des adresses valides, et non au niveau de l'envoi des mails. Ce sont 2 choses bien différentes.
Tu te mets surtout à la place d'un être humain, alors que c'est un robot qui fera le travail. Qu'importe s'il lui faut une heure ou une journée, et la bande passante n'est pas un problème, la procédure n'occupera même pas 1 kbps.
[...] à part sa mise en place, l'analyse anti-spam des messages est un processus consommateur de ressources, et qui coûte plus d'argent à Free. Moins on reçoit de spam parce qu'on a fait en sorte de mieux protéger les adresses de ses abonnés, moins on a à mettre en place de machines puissantes pour traiter ces messages...
Ce n'est pas parce que l'on recevra un spam en moins par jour que les adresses seront plus protégées. Déjà qu'il reste encore à démontrer que ce spam n'arrivera vraiment pas, ce qui est loin d'être garantie.
Fu2 fr.comp.mail.serveurs
Jack
"Bruno Treguier" a écrit dans le message de news: 436e00c8$0$31908$
Jack wrote:
Tiens c'est drole cela fait quelques jours que mon adresse secondaire est spammée alors qu'elle ne l'était pas auparavant (je ne parle pas de mon adresse principale qui elle est spammée depuis longtemps). J'étais un peu surpris et en train de me demander quelle erreur j'avais pu commettre? Finallement j'ai peut etre pas fais d'erreur...
Bonjour,
Cette adresse est-elle connue de vous seul ?
Non et c'est pourquoi je pencherais plutot pour la piste "erreur"
"Bruno Treguier" <Bruno.Treguier.nospam@nofree.fr.invalid> a écrit dans le
message de news: 436e00c8$0$31908$626a54ce@news.free.fr...
Jack wrote:
Tiens c'est drole cela fait quelques jours que mon adresse secondaire est
spammée alors qu'elle ne l'était pas auparavant (je ne parle pas de mon
adresse principale qui elle est spammée depuis longtemps). J'étais un peu
surpris et en train de me demander quelle erreur j'avais pu commettre?
Finallement j'ai peut etre pas fais d'erreur...
Bonjour,
Cette adresse est-elle connue de vous seul ?
Non et c'est pourquoi je pencherais plutot pour la piste "erreur"
"Bruno Treguier" a écrit dans le message de news: 436e00c8$0$31908$
Jack wrote:
Tiens c'est drole cela fait quelques jours que mon adresse secondaire est spammée alors qu'elle ne l'était pas auparavant (je ne parle pas de mon adresse principale qui elle est spammée depuis longtemps). J'étais un peu surpris et en train de me demander quelle erreur j'avais pu commettre? Finallement j'ai peut etre pas fais d'erreur...
Bonjour,
Cette adresse est-elle connue de vous seul ?
Non et c'est pourquoi je pencherais plutot pour la piste "erreur"
Lou Nissart
Bruno Treguier devait dire quelque chose comme ceci :
Qu'en pensez-vous ?
Que les adresses "confidentielles" que j'ai chez Free et qui ne peuvent être reconstituées par une attaque dictionnaire ne voient toujours pas la moindre trace de spam...
Il a écrit "qu'en pensez-vous", pas "chez moi c'est bon, na-nanère" ;-) -- Je suis un être aimant. Alors permettez que je me gausse ...
[Le Bonhomme d'Ampère]
Bruno Treguier devait dire quelque chose comme ceci :
Qu'en pensez-vous ?
Que les adresses "confidentielles" que j'ai chez Free et qui ne peuvent
être reconstituées par une attaque dictionnaire ne voient toujours pas
la moindre trace de spam...
Il a écrit "qu'en pensez-vous", pas "chez moi c'est bon, na-nanère" ;-)
--
Je suis un être aimant.
Alors permettez que je me gausse ...
Bruno Treguier devait dire quelque chose comme ceci :
Qu'en pensez-vous ?
Que les adresses "confidentielles" que j'ai chez Free et qui ne peuvent être reconstituées par une attaque dictionnaire ne voient toujours pas la moindre trace de spam...
Il a écrit "qu'en pensez-vous", pas "chez moi c'est bon, na-nanère" ;-) -- Je suis un être aimant. Alors permettez que je me gausse ...
