|
Introduction
Depuis plusieurs années, le Spam est toujours à la mode. D'après nos statistiques, environ un mail sur deux est un Spam. Pourtant, les outils actuels ont un très bon taux de détection de Spam. Cependant, parmi tout ces pourriels, il existe une catégorie à part. Ce sont les "Spam Images".
Qu'est-ce qu'un Spam Image ?
Un Spam Image est un courrier, avec très peu de texte, et incluant une image. Cette image représente un texte, souvent à but commercial, comme le montre l'image suivante :
Le texte de l'image est donc la continuité commerciale du texte de l'email.
Comment détecter et contrer un Spam Image ?
A l'heure actuelle, trois pistes sont envisagées :
- La méthode d'antispam classique
- Le calcul d'une somme de controle
- La reconnaissance de caractères
Voici en détail les trois solutions :
La méthode d'antispam classique
La détection du spam par un logiciel tel que Spamassassin est très faible. En effet, l'antispam ne peut s'appuyer que sur les zones texte de l'email (header et contenu textuel). Or, ceux-ci sont justement calibrés afin d'éviter de se faire reconnaitre comme spam. Voici un exemple :
| Mail original |
Explications |
Return-Path: <xxxxxx@xxxxxxxx.com>
|
L'adresse email de réponse |
X-Spam-Checker-Version: SpamAssassin X.X.X on toto
X-Spam-Level: ***
X-Spam-Status: No, score=3.5 required=5.0 tests=DATE_IN_FUTURE_03_06,EXTRA_MPART_TYPE,HTML_IMAGE_ONLY_16,HTML_MESSAGE autolearn=disabled |
SpamAssassin n'a pas réussi à détecter le spam |
Delivered-To: webmaster@securiteinfo.com |
Ca c'est moi :) |
Received: (xxxxxxxxxxxxxxxxxxx); 8 Oct 2006 02:46:56 -0000
Delivered-To: securiteinfo.com-webmaster@securiteinfo.com
Received: (xxxxxxxxxxxxxxxxxxx); 8 Oct 2006 02:46:55 -0000
Received: from xxxxxxxxxxxxxx.com (HELO xxxxxxxx) (xxx.xxx.xxx.xxx)
by xxxxxxxxxxxxxxx.com with SMTP; 8 Oct 2006 02:46:55 -0000
Received: (xxxxxxxxxxxxxxxxxxx); 8 Oct 2006 02:46:59 -0000
Received: from xxxxxxx@xxxxxxxxx.com by xxxxxxxxxxxxxxxxxx
Received: from unknown (HELO xxxxxxxxxxxxxxx.de) (217.93.13.216)
by xxxxxxxxxxxxxxx.com with SMTP; 8 Oct 2006 02:46:51 -0000
Message-ID:
|
L'adresse IP qui m'a envoyé ce spam est 217.93.13.216. Après une courte recherche, cette adresse IP provient d'Allemagne et est fournie pas un grand FAI allemand. Bref, il s'agit donc d'un internaute lambda, comme vous et moi. Il y a de grandes chances que cet internaute aie un PC infecté par un malware, et que ce spam soit envoyé à son insu. |
From: "xxxxxxxx:" <xxxxxx@xxxxxxxx.com>
To: webmaster@securiteinfo.com
|
De qui, pour qui |
Subject: NCC Chief |
Le sujet du mail est donc "NCC Chief" |
Date: Sun, 8 Oct 2006 04:46:49 -0200
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0010_01C6EA94.C40D1950"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2869
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2962
X-UID:
Status: RO
X-Status: RT
|
Diverses infos sans grand intéret |
------=_NextPart_000_0010_01C6EA94.C40D1950
Content-Type: multipart/alternative;
boundary="----=_NextPart_001_0011_01C6EA94.C40D1950"
------=_NextPart_001_0011_01C6EA94.C40D1950
Content-Type: text/plain;
charset="windows-1250"
Content-Transfer-Encoding: quoted-printable
Talks fair am play fans.
Fareed Zakaria Obsessed With sex Opinions.
Reality shows.
Press Navy Defeats air Force Ncaa see of top?
Kills almost people day Army quest stop it Miss.
Religion thanks authors like is?
Yearlong series explore means am.
Best worst just plain weirdest wedding in reality shows.
American Hardcore pmthe Chat in House Career or Track a Live pmtalk end =20
in of Extra Stuff.
Ad Sections Education Bargains Area of Yellow White Pages Business =20
Person in Featured Tickets Ravens.
By current staffer supports former Foley aide Kirk Fordhams claim that =20
of!
Mars a Rover Photos Black Women.
Reborn.
Froomkin White Briefing postblog.
Critics Picks tip.
Michael.
Talks fair.
High Lose in Points in.
Moves Estate Sell in Recent Sales R
|
Le texte de l'email |
Comme vu ci-dessus, SpamAssassin n'a pas remarqué que ce mail était un Spam. Les seuls critères détectés sont :
- DATE_IN_FUTURE_03_06 : Le message a été envoyé avec une date future. Classique lorsque d'on reçoit des emails provenant d'Asiepar exemple.
- EXTRA_MPART_TYPE : Un type MIME douteux (ça arrive souvent).
- HTML_IMAGE_ONLY_16 : L'email ne contient pour ainsi dire qu'un image.
- HTML_MESSAGE : Le message est écrit en HTML.
Si l'on s'en tient à ces quatre caractéristiques, HTML_IMAGE_ONLY_16 pourrait avoir un score augmenté afin de détecter ce type d'email. Malheureusement, cela risque de provoquer beaucoup de faux positifs, car je suppose que vous aussi vous avec quantité d'amis qui vous envoient des images drôles avec très peu de texte...
Une autre caractéristique intéressante est l'adresse IP d'envoi du Spam. Celle-ci pourrait être blacklistée. Malheureusement, l'adresse IP en question est celle d'un internaute lamba, qui a certainement une adresse IP dynamique à la connexion. La blacklist d'adresses IP n'offre donc pas de garantie suffisante contre ce type d'envoi de mails.
Le calcul d'une somme de contrôle
Une solution qui vient rapidement à l'esprit est d'utiliser une fonction de hachage. Ainsi, en calculant une somme de contrôle unique pour chaque image, il est possible de créer une liste noire (blacklist) de fichiers indésirables.
Le problème c'est que cette somme de contrôle est unique par image. Il suffit donc de modifier un seul bit dans l'image pour que cela donne une autre somme de contrôle et donc, de ne plus détecter la nouvelle image.
Voici deux exemples concrets :
Insertion de parasites de type "points" dans l'image :
Insertion de parasites de type "traits" dans l'image :
Insertion d'un rectange de points aléatoires (en bas à gauche) :
Cette solution n'est donc pas très viable à long terme : Beaucoup de travail pour un maigre résultat. Ce sera une fuite en avant telle que c'est déjà le cas avec le couple virus/antivirus.
La reconnaissance de caractères
Une autre solution serait de passer l'image dans un logiciel de reconnaissance de caractères, et de renvoyer le résultat à notre logiciel antispam favori. Seulement, là encore, les auteurs des Spam Images ont prévu le coup. Comment se comportera un logiciel de reconnaissance de caractères face à ces types d'images :
Image animée :
Image avec faible contraste (la détection des bords, nécessaire à un logiciel de reconnaissance de caractères, est difficile) :
Image avec fontes exotiques :
Image avec langue exotique :
Là aussi, cette solution, sans parler du temps de traitement accru pour analyser chaque image, ne semble pas être très efficace.
Conclusion
Ce nouveau type de pourriels va redonner du fil à retordre aux acteurs de Sécurité. Comme nous l'avons vu, deux techniques de contre-mesure sont appliquées, mais n'ont qu'un taux très faible de succès. La meilleure méthode reste donc la sensibilisation des utilisateurs :
- Ne pas ouvrir de mail dont on ne connait pas la provenance
- Ne pas répondre à ce genre de mail
- Ne pas laisser trainer son email sur un site web
|
|
|
