Journal Colgate-spam ou le piège à spam français

Posté par  .
Étiquettes : aucune
0
11
mai
2007
Depuis hier, jeudi 10 mai, les internautes français ont à leur disposition une plateforme de lutte contre le spam nommée signal-spam.fr. Créée par l'association du même nom, cette plateforme permet de signaler les spams reçus. Des plugins sont disponibles pour Thunderbird et Oulook pour signaler rapidement les messages non désirés.

Cette plateforme ne permet pas de faire du filtrage de spam mais plutôt de signaler les spams reçus afin que les auteurs soient dans la mesure du possible poursuivis.

http://www.signal-spam.fr/

  • # Site surchargé !

    Posté par  . Évalué à 5.

    Je crois qu'ils sont victimes de trop de mail des internautes :p

  • # Pour quel effet...?

    Posté par  (site web personnel) . Évalué à 4.

    Une bonne partie des spams que je reçois (ce qui n'est pas un échantillon représentatif) ne provient pas de France, donc pour entamer des poursuites, cela me parait compliqué...

    Ah tiens sinon notre éditeur de logiciels hégémonique préféré à encore frappé :

    http://www.signal-spam.fr/index.php/frontend/presentation

    Structure

    (...)
    Les entreprises privées qui soutiennent le projet forment le Conseil Technique, qui peut émettre des recommandations au Conseil Permanent.
    (....)
    - Microsoft France, représentant le Conseil Technique.


    Enfin bon, je ne leur jetterai pas une (trop grosse) pierre, tant qu'il s'agit de lutter contre le spam, il est toujours bon d'avoir du monde.

    • [^] # Re: Pour quel effet...?

      Posté par  (site web personnel) . Évalué à 5.

      Quand on connais le système sous lequel tournent 100% des fermes de pc zombis on peux la leur jeter...

      /me qui trouve un peu difficile a avaler le fait de venir aider a résoudre les problème qu'on a soi-même créé.
      Surtout quand on a sciemment créé les problèmes en question par négligence volontaire de la sécurité de ses logiciels...
      (Ah si seulement ils avaient su tirer les enseignements du ver Morris de 1988)

      • [^] # Re: Pour quel effet...?

        Posté par  (site web personnel) . Évalué à 3.

        Je suis d'accord que la majorité des PC zombis sont sous windows mais il y a des gens qui piratent des serveurs linux et s'en servent pour envoyer du Spam.

        • [^] # Re: Pour quel effet...?

          Posté par  (site web personnel) . Évalué à 4.

          Hum, laisse moi te dire que je ne place pas ceci sur le même plan...

          Je parle en connaissance de cause, un copain m'a montré comment on fait.

          Comment dire, entre se fabriquer une ferme de zombi et hacker un serveur linux, c'est pas la même chose...

          Dans un cas tu dois gravir plusieurs échelons, dans l'autre tu t'attaque a une faille non corrigée (même connue) et tu va zombifier des centaines de machines.

          Enfin les serveurs linux ça se craque aussi, mais bon c'est vraiment la faute de l'admin !

          J'ai eu l'occasion d'avoir une démonstration sur les dédibox et bien la sécurité y en a pas...

          Comme quoi, dans un cas c'est le système qui est pas fiable, dans l'autre c'est la faute de l'admin !

          Pour les vecteurs d'attaque, en général l'échelon 1 est uploader un script php ou ruby qui va permettre d'avoir un pseudo-shell.
          L'échelon 2 est accéder a un compte ssh, pour ça on va casser en brute force tout les mots de passe dispo dans des htpasswd et autre lisibles
          L'échelon 3 on essaye de passer root (sudo, suid, ou kernel vulnérable)
          L'échelon 4 on maquille le tout

          Bon pour vous protéger :
          - NE LAISSEZ JAMAIS LISIBLE par l'user sous lequel les script php tournent les fichiers contenant des mots de passe
          - utilisez des mot de passe random pour les accès a la base de donnée sql
          - ne jamais utiliser un mot de passe pour le compte unix utilisé dans une base sql (sinon ils auront qu'a faire un coup de john et ils ont l'accès ssh)
          - ne pas mettre une pubkey pour ssh dans son home
          (si ils obtiennent le compte unix, un accès ftp, pop ou autre c'est game over)
          - ne pas mettre de sudo root (ou alors le désactiver automatiquement a la déconnexion)

          Bon je vais être honnête, avant je pensais qu'un linux c'était sur, depuis que j'ai vu ça de mes propres yeux j'ai un tout autre avis.
          (J'ai notamment fait une opération séparation des privilèges depuis...)

          • [^] # Re: Pour quel effet...?

            Posté par  (Mastodon) . Évalué à 6.


            Bon je vais être honnête, avant je pensais qu'un linux c'était sur, depuis que j'ai vu ça de mes propres yeux j'ai un tout autre avis.
            (J'ai notamment fait une opération séparation des privilèges depuis...)


            la méthode que tu décris n'a rien à voir avec linux mais avec les applis qui sont dessus (php, mysql...) et comment elles sont configurées...

          • [^] # Re: Pour quel effet...?

            Posté par  . Évalué à -2.

            Comme quoi, dans un cas c'est le système qui est pas fiable, dans l'autre c'est la faute de l'admin !
            Ben quand on regarde bien le problème à la base, ça revient au même : le système est suffisamment peu fiable pour qu'un admin puisse ouvrir des vulnérabilités facilement.

            Si l'humain n'est pas fiable, c'est au niveau de la conception du système dont il va se servir qu'il faut intervenir pour régler le problème.

            Ce qui est vrai pour l'utilisateur lambda l'est pour l'admin aussi : autant simplifier la vie à tout le monde.

            Après, en effet, "l'état de l'art" fait qu'il faut être calé pour gérer un serveur, mais ce n'est pas un état de fait qu'on ne peut pas changer. Toujours rejeter la faute sur l'utilisateur (fut-il admin) absous un peu vite la responsabilité de la conception du système.

          • [^] # Re: Pour quel effet...?

            Posté par  (site web personnel) . Évalué à 4.

            J'ai eu l'occasion d'avoir une démonstration sur les dédibox et bien la sécurité y en a pas...


            J'ai du mal a faire le lien entre les dedibox et la sécurité. Les dedibox ne sont que le matériel, or la sécurité est plutôt dépendante de la configuration du système d'exploitation.

            Ou bien y'a-t'il vraiment un problème de sécurité liée à l'architecture choisie pour les dedibox (comme la console ou autre) ?

            • [^] # Re: Pour quel effet...?

              Posté par  (site web personnel) . Évalué à 2.

              Pas mal de personne qui louent une dedibox pour faire leurs propres sites ne connaissent pas grand choses à l'admin.
              On trouve donc pas mal de dedibox competement vérolés.

              beaucoup ont été attirés par le prix alors qu'une offre sans administration aurait plus correspondu à leurs besoins.

              • [^] # Re: Pour quel effet...?

                Posté par  . Évalué à 2.

                Enfin si des gens pas (suffisament?) compétents se servent des logiciels, ce qui est ce vers quoi devrait tendre l'informatique, par essence (traitement AUTOMATIQUE de l'information) : l'accès à un maximum de possibilité en un minimum de temps pour un coût d'accès (temps d'investissement pour maîtriser, prix, ...) minimal, ce qu'il faut c'est des logiciels sûrs et bien configurés de base, et pas transformer Mme Michu en admin hypercompétente.
                Elle comprendra jamais ce qu'est un buffer overflow qui permet d'avoir un shell root, et elle s'en fiche complètement d'ailleurs. Certe un minimum de sensibilisation ça peut pas faire de mal. Mais si ça peut se limiter à un "ne touchez ces paramètres que si vous savez VRAIMENT ce que vous faites, ou votre machine va exploser dans d'atroces souffrance" qui fait peur, c'est pas plus mal à mon avis (bon ok c'est pas terrible).

    • [^] # Re: Pour quel effet...?

      Posté par  (site web personnel) . Évalué à 3.

      Je sais pas, peut être qu'en analysant mieux les spams, ils vont interrompre leur acheminement, mais tant pis pour les faux-positifs...

      Je propose aussi de mettre les hoax comme spam tien.

  • # oh vraiment ?

    Posté par  . Évalué à 4.

    j'aimerais bien savoir comment ils vont résoudre le cas de figure actuel où nous avons 3 types d'acteurs bien délimités :

    * le propriétaire d'adresses email, parce que le marchand de tapis n'en a pas ou n'a pas le temps de les collecter
    * le marchand de tapis voulant vendre ses tapis : le vrai client des trois, celui qui paye les deux autres. le courrier publicitaire vante donc les jolis tapis, on remarque peu ses partenaires techniques. exemple type, savoirspourtous
    * le prestataire de mass mailing, pour que le marchand de tapis n'utiise pas Outlook Express et le serveur mail de son FAI. parce qu'en général il a déjà essayé avant et s'est fait gronder

    et quand ces trois intervenants sont malhonnètes et complices dans la même opération de spam "mais ces adresses sont bien opt-in n'est-ce pas ?" *clin d'oeil* "oui oui je vous le garantis 100% opt-in" *clin d'oeil* et ensuite "vous n'êtes pas un spammeur cher monsieur votre fichier clients c'est bien du opt-in ?" *clin d'oeil* "mais oui opt-in garanti 100% et je gère même les désinscriptions" *clin d'oeil* (sauf qu'il ne les remonte pas à son fournisseur d'adresses, qui accessoirement n'en tiendrait aucun compte)

    je ne dis pas que des erreurs ne peuvent pas arriver. mais tout ce petit monde se connait, et 10 secondes permettent de vérifier que ces spams se retrouvent sur des adresses collectées sans aucune consultation du propriétaire (des adresses de mailing-list, des robots, des pièges à spam...) alors le coté opt-in et la possibilité de se désinscrire, j'y crois déjà moyen, et le but affiché de renforcer ma "confiance dans l'Internet" alors que les prestataires de ces marchands de tapis savent parfaitement ce qu'ils font, que ça fait des années que ça dure, et que certains ont même pigneon sur rue (entrée en bourse, clients "honorables" à côté), j'ai plutôt peur qu'autre chose.

  • # Tiens donc

    Posté par  (site web personnel) . Évalué à 8.

    Avec l'inscription simple vous pourrez commencer à signaler les spams que vous recevez en indiquant un nom d'utilisateur, un mot de passe et votre adresse électronique.

    En choisissant l'inscription complète vous indiquerez vos coordonnées personnelles pour permettre à Signal Spam de prendre contact avec vous afin de donner légalement suite à un spam signalé.


    Donc, pour lutter contre le spam, l'association demande aux gens de s'inscrire en donnant leur email, et/ou des données personnelles.

    Hum, ça serait ironique...

    Non, ils n'oseraient pas...

    Quand même....

    • [^] # Re: Tiens donc

      Posté par  (site web personnel) . Évalué à 2.

      Hum, dans le cas d'un procédure de plainte auprès d'un tribunal je pense pas que cette association puisse lancer la procédure.

      En effet, elle n'est a aucun moment lésée par le spam, tentative de fishing ou autre.

      Par contre j'imagine qu'ils veulent pouvoir te contacter pour que tu ailles déposer ta plainte au commissariat le plus proche et ensuite il se chargeront des procédures a ta place.
      (partie civile, regroupement d'affaire, etc)

  • # Testationnage

    Posté par  . Évalué à 2.

    Je viens de signaler comme spam une de mes réserves, quelques 17.000 pourriels frauduleux (ceux reçu sur mes 3 boîtes depuis le 1er janvier 2007).

    Je viendrais vous dire si ça marche quand j'aurais récupéré la main sur thunderbird (~8% de charge cpu).

    • [^] # Re: Testationnage

      Posté par  . Évalué à 2.

      Une dizaine de minute en tout, pas de petits messages "vos spams ont été pris en compte", rien sur le site permettant de voir si ça bien été traité (genre un compteur de spams signalés).

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.