L’année passée a posé d’énormes difficultés aux experts de la cybersécurité. D’innombrables violations de données, attaques de ransomwares et menaces persistantes avancées ont explosé.
Tandis que de nombreux analystes se concentraient sur de nouveaux types de malware, l’une des menaces les plus courantes et les plus sous-estimées a souvent été négligée : les spams.
Au-delà des e-mails non sollicités
Apparus en même temps qu’Internet, les spams sont désormais tellement répandus que beaucoup de particuliers et d’entreprises ne les considèrent plus comme des menaces. C’est pour cette raison qu’ils sont si efficaces.
Dynamisés par la crise sanitaire mondiale, les spams sont désormais monnaie courante et font partie du quotidien. L’ENISA a estimé qu’en 2019-2020, 42 % des RSSI ont eu à gérer au moins un incident provoqué par un spam et que 13 % des violations de données ont été la conséquence de spams.
Il ne s’agit plus simplement de « spams » ; ces e-mails qui, bien que non sollicités, sont principalement sans danger. La plupart du temps, ils servent de vecteurs à des attaques plus complexes et plus ciblées, telles que les attaques d’ingénierie sociale et les fraudes au paiement. Les spammeurs ont appris à obscurcir des liens malveillants et à échapper aux algorithmes de détection, et notre dépendance aux e-mails ne fait que les aider à perfectionner leurs méthodes.
C’est pourquoi tous les acteurs de la sécurité doivent prendre le phénomène au sérieux. Un moteur antispam performant ne devrait pas se limiter au blocage des menaces connues associées aux e-mails. Il devrait aller au-delà de la définition classique du spam et exceller dans des domaines clés tels que la vitesse de réaction, la complexité de l’analyse, la protection de la confidentialité et la gestion de la réputation des domaines.
Choisir sa technologie antispam
1. Vitesse de réaction
Les spams doivent être bloqués rapidement : chaque minute perdue peut exposer de nombreux internautes. Pour cette raison, il faut choisir son moteur antispam, en gardant un œil sur les performances. À quelle vitesse et à quelle fréquence les mises à jour sont-elles effectuées ? La plateforme est-elle basée dans le cloud ? Quelle est l’ampleur de son empreinte ?
Toutefois, la capacité de détection seule ne suffit pas. Il est indispensable de vérifier que la technologie antispam présente un excellent bilan en matière de gestion des potentiels faux positifs et faux négatifs. De plus, le moteur d’analyse doit-être multilingue.
Dernier point important ; le moyen le plus efficace d’éviter tout dégât provenant d’un spam malveillant consiste à faire en sorte qu’en premier lieu, ils ne soient pas lus. C’est pourquoi les particuliers et les entreprises doivent choisir un antispam qui met en œuvre une technologie de détection proactive capable d’identifier la plupart des spams avant qu’ils n’atteignent les utilisateurs.
2. Complexité de l’analyse
La complexité de l’analyse fait référence à la fois au nombre d’outils utilisés par les technologies antispam et à l’étendue de leurs capacités. Il s’agit d’un domaine important, dans la mesure où nombre de moteurs semblent se limiter à l’analyse des adresses IP, des domaines et des pièces jointes malveillantes.
Même si ces méthodes sont importantes, elles devraient être complétées par d’autres filtres antispam, tels que la détection des spams images. La technologie choisie doit être capable d’extraire facilement les métadonnées des pièces jointes, ce qui lui permet non seulement de déterminer si l’image est malveillante ou inappropriée, mais aussi si elle contient du texte potentiellement dangereux.
Les filtres de numéros de téléphone avec mécanismes de désobscurcissement excellent également dans la protection contre les fraudes et les escroqueries, de nombreux auteurs de menaces utilisant ce type de technologies « moins numériques » pour échapper à la détection. De plus, les kits antispam modernes devraient également être capables de gérer des menaces plus obscures, telles que les extorsions de cryptomonnaie ou la compromission des e-mails professionnels (BEC).
3. Confidentialité
La confidentialité est une préoccupation constante pour tout utilisateur et fournisseur cherchant à intégrer des technologies antispam à son offre. La raison en est simple : les e-mails contiennent souvent des informations sensibles que les particuliers et les entreprises pourraient ne pas souhaiter divulguer à des tiers. Parfois, il ne serait même pas légal pour elles de le faire.
C’est pourquoi un moteur antispam devrait non seulement être capable d’analyser des contenus et des éléments spécifiques inclus dans des e-mails, mais aussi fonctionner avec des hachages et des informations anonymisées. Ainsi, l’association du machine learning, de filtres avancés et de centaines d’heuristiques permet de classer les e-mails et d’identifier ceux d’entre eux qui sont malveillants tout en respectant la confidentialité.
Le pistage des e-mails peut également être utilisé dans la détection de divers types de campagnes de spams, sur la base de leur contenu textuel. Les campagnes de pistage brevetées doivent être conçues non seulement pour identifier les spams élusifs, mais aussi pour éviter les propagations. Ces dernières se produisent lorsque des spammeurs deviennent « créatifs » et personnalisent leurs e-mails en y ajoutant du texte ou des éléments supplémentaires. Cela leur permet d’échapper à la détection si le moteur antispam se contente de vérifier les signatures de base.
4. Gestion de la réputation des domaines
Il s’agit de l’un des principaux composants de la technologie antispam. En effet, tous les spammeurs et cyberattaquants possèdent des URL et des domaines malveillants dans leur arsenal. Ceux-ci sont simples à dissimuler, instantanément accessibles et peuvent diriger n’importe où, notamment vers des sites truffés d’adwares ou vers des pages de paiement frauduleuses. C’est pourquoi la détection de domaines et le blocage d’URL devraient aller au-delà des listes connues et identifier de manière proactive les domaines malveillants et leurs caractéristiques, permettant la détection des spams de type zero day.
De la même manière, une liste noire d’e-mails, une autre fonctionnalité de base de la plupart des modules, devrait être mise à jour en temps réel. Les utilisateurs doivent absolument s’assurer que la technologie qu’ils utilisent est en mesure de couvrir non seulement les « spams classiques », mais aussi des techniques plus avancées, telles que les fausses ventes, le spear phishing et les spams frauduleux basés sur l’embauche ou les prêts.
5. Détection des épidémies de spams
L’exploitation mondiale d’évènements tendance est une méthode d’attaque que les pirates trouvent attrayante pour diffuser des spams. Une robuste technologie antispam devrait être capable de détecter ces campagnes de spams au moment où elles émergent, ce qui nécessite des ressources dédiées de recherche en continu afin de suivre l’activité des auteurs de menaces.