liens
Authentification  |  Mes privilèges  |  Mon profil DGTIC  |  FAQ  |  Besoin d'aide?
dgtic

Pourriel

Problématique du pourriel

  1. Qu'est-ce que le pourriel ?
  2. Comment mon adresse s'est-elle retrouvée dans les mains de l'envoyeur de pourriel ?
  3. La filtration du courriel
  4. Les enjeux de la filtration du courriel vs les trucs pour la contourner
  5. Comment gérer le pourriel reçu
  6. Initialisation ou modification de la filtration de mon courriel Exchange (pour pouvoir visionner une capsule d'autoformation cliquer ici )

Introduction

Les utilisateurs du courriel ont remarqué qu'ils reçoivent des courriels non sollicités. Ce type de message se nomme pourriel; les anglophones désignent cela par le mot SPAM.

1. Qu'est-ce que le pourriel ?

Le pourriel peut être de plusieurs natures :

  • commerciale (offre de produits et services de toutes sortes)
  • pornographique
  • frauduleuse
  • malicieuse
  • autres.

 

... ou plusieurs de celles-ci en même temps.

Le pourriel n'est pas fondamentalement différent de diverses sollicitations que nous subissons tous les jours :

  • par courrier papier
  • par circulaires
  • de porte à porte
  • par téléphone.

 

La principale différence entre le pourriel et les sollicitations mentionnées ci-haut, c'est qu'il ne coûte pratiquement rien à l'envoyeur. Il suffit d'avoir un petit ordinateur et un fournisseur de services Internet (qui le tolère ou l'ignore), et le tour est joué.

De plus, comme le courrier et les circulaires, le pourriel permet un certain anonymat. La majorité des envoyeurs de pourriel ou de courriels malicieux forgent le nom et l'adresse de courriel de l'envoyeur, afin d'être plus difficiles à retracer.

Jusqu'à ce jour, l'envoi de pourriel est très peu encadré par les lois, au Canada en particulier. Quelques lois américaines ont bien tenté de le faire, mais leur efficacité n'a pas été démontrée. De plus, une bonne partie du pourriel provient de pays où le contrôle de l'application des lois est peu présent.

2. Comment mon adresse s'est-elle retrouvée dans les mains de l'envoyeur de pourriel ?

Il existe depuis longtemps un marché des listes d'envoi qui est utilisé par les praticiens du «marketing direct» (ceux qui vous font parvenir des «offres spéciales» par courrier, à la maison, ou qui vous sollicitent par téléphone). Ces listes de noms sont achetées d'entreprises commerciales, de revues, au autres. avec lesquelles vous avez fait affaire et qui n'ont pas de code d'éthique quant à la transmission des informations personnelles.

Les entreprises qui constituent ces listes ont, ces dernières années, ajouté les adresses de courriel dans leur offre de services. Cependant, il est facile de constituer des listes d'adresses de courriel sur l'Internet, que ces entreprises se font livrer une concurrence vive par des entreprises ou des individus du marché gris, si ce n'est par les utilisateurs eux-mêmes. Ces individus ne se conforment à aucun code d'éthique, règlement ou loi concernant le respect de la vie privée.

Les deux principales sources d'adresses de courriel sont le Web et les News (aussi appelés Forums).

  • News : comme on communique la plupart du temps par courriel avec un site de News, et que celles-ci sont publiques, l'adresse de courriel de l'envoyeur est visible;

  • Web : il arrive très fréquemment que l'on mette les coordonnées pour nous joindre par courriel dans une page Web. De plus, beaucoup de services sont offerts sur une base publique. Par exemple, si vous écrivez à un de vos fournisseurs de logiciel pour lui rapporter un bogue ou lui demander une explication, il y a de bonnes chances que votre demande se retrouve dans une base de données de problèmes/solutions accessible au public.

    Par ailleurs, combien de bottins, de listes de membres (incluant les adresses de courriel) sont disponibles publiquement sur le Web, incluant ceux de l'Université ?

C'est presque l'enfance de l'art de programmer des robots informatiques qui parcourront tous les sites Web et de News du monde pour y recueillir toutes les adresses de courriel qui y sont offertes. Elles sont facilement reconnaissables; elles détiennent toutes le caractère "@".

3. La filtration du courriel

Le courriel peut être filtré pour en exclure le pourriel, des trois façons simples suivantes :

  • en se basant sur le contenu des messages
  • en se basant sur les en-têtes des messages
  • en se basant sur l'adresse IP d'origine

Lorsqu'on utilise le contenu d'un message, on refusera de livrer tout courriel qui contient un mot ou une expression tiré d'une liste d'expressions devant indiquer qu'on a bien affaire à du pourriel. Par exemple, il existe des logiciels personnels pour éliminer tout courriel contenant des expressions à connotation sexuelle. Cela est utilisé pour filtrer le courriel destiné aux enfants.

Dans le second cas, on utilisera un des en-têtes : la plupart du temps, c'est l'adresse de courriel de l'envoyeur qui sera utilisée. On pourrait aussi utiliser l'objet du message, le nom du destinataire, la machine d'envoi, les étapes de livraison ou autres.

Des méthodes composites (utilisant à la fois le contenu et les en-têtes des messages) peuvent aussi être utilisées. Les deux principales sont :

  • le calcul de probabilités (qu'il s'agisse d'un pourriel)
  • l'analyse bayésienne

 

Le calcul de probabilités se base normalement sur une liste de nombreuses caractéristiques d'un pourriel, ou, au contraire, d'un courriel légitime et il détermine la probabilité qu'il s'agisse d'un pourriel. C'est en fonction de cette probabilité que le courriel est classé comme pourriel (ou non).

L'analyse bayésienne est aussi basée sur le calcul des probabilités, mais son approche est l'inverse de la précédente : en examinant pendant un certain temps le courriel qu'un individu ou une entreprise reçoit, le logiciel détermine les caractéristiques habituelles du courriel reçu, et pourra, par la suite, identifier comme pourriel les courriels s'écartant de cette norme.

On pourrait aussi utiliser d'autres stratégies pour identifier le pourriel. Par exemple, un nombre de messages d'une même source vers un ensemble de destinataires dépassant un seuil d'alarme. De même, on pourrait aussi identifier les séries de messages vers un ensemble de destinataires dont le nom de l'envoyeur varie légèrement d'un courriel à l'autre. Ces méthodes présentent un fort risque d'identifier comme pourriel des messages qui n'en sont pas : elles sont à rejeter.

L'analyse intégrée du contenu et des en-têtes d'un message est donc la meilleure base pour identifier un pourriel. Cependant, les envoyeurs de pourriel en masse faisant preuve de beaucoup d'inventivité pour contourner ces détections, d'autres méthodes sont nécessaires. Une des méthodes les plus prometteuses des dernières années est la filtration par adresse IP d'origine. Dans cette stratégie, un fournisseur spécialisé accumule des statistiques d'envoi de pourriel en fonction de l'adresse IP d'où ils proviennent; ces statistiques sont revues en permanence, presqu'en temps réel. Sur la base de ces statistiques, un site qui veut se protéger du pourriel peut tout simplement refuser de prendre livraison des courriels qui proviennent des adresses IP identifiées comme envoyeurs de pourriel.

4. Les enjeux de la filtration du courriel vs les trucs pour la contourner

Examinons les différents types de filtration présentés ci-haut.

4.1 Filtration par contenu

Comme nous l'avons mentionné plus haut, la filtration peut se faire en refusant de livrer du courriel contenant certaines expressions, d'un simple mot à tout un paragraphe. Nous avons déjà souligné que des logiciels personnels existent pour faire cela individuellement. Mais devrait-on le faire collectivement ?

Cela se fait à coup sûr dans certaines entreprises privées. De la même façon, plusieurs entreprises n'installent ni ne permettent l'utilisation d'un fureteur Web par leurs employés. Cela peut se comprendre en tenant compte de leurs objectifs, notamment celui de la rentabilité. L'Université, par contre, est basée sur la libre circulation des idées : ce concept peut être étendu à celui de libre circulation du courriel :

  • certains membres de la communauté universitaire pourraient considérer qu'un courriel contenant la phrase «devenez riche rapidement» est de façon évidente un pourriel. Pour d'autres, ce ne serait pas du tout le cas. À la rigueur, le pourriel même pourrait être l'objet d'étude d'un chercheur;

  • les points de vue des membres de la communauté universitaire sont aussi très variés quant au concept même de filtration du courriel. Pour certains, qui considèrent qu'ils n'ont aucun temps à perdre avec le pourriel. le gain de productivité que la filtration du pourriel pourrait leur apporter compense largement le risque que la filtration supprime également des messages tout à fait valables (même pour eux). D'autres sont par contre réfractaires à la perspective qu'une tierce partie décide du courriel qu'ils doivent recevoir.

Par ailleurs, si ce type de détection de pourriel peut être difficilement contournable pour du simple courriel textuel, il l'est facilement lorsque le courriel n'est pas du texte simple, mais plutôt une page Web. Une partie croissante du courriel que nous recevons est composée de pages Web. Dernièrement, les envoyeurs de pourriel envoient même du pourriel sous forme d'images, ce qui est beaucoup plus difficile à analyser.

La filtration simple par contenu est difficilement applicable pour la totalité du courriel entrant à l'Université.

4.2 Filtration en utilisant les en-têtes de courriel, dont le nom de l'émetteur

Ce type de filtration présente moins de risques de bloquer du courriel valide, si on est prudent dans la sélection des critères de filtration. Il y a cependant des risques.

Prenons le cas, par exemple, de la filtration par adresse de l'envoyeur. Une adresse de courriel a la forme envoyeur@site_de_l'envoyeur . Il y aura peu de risque de méprise si l'on bloque l'adresse «sales@marketing.com». Par contre, «sales@» pourrait être un nom légitime d'envoyeur privé.

De même, on pourrait recevoir beaucoup de pourriel d'un site non commercial qui est mal utilisé par un seul de ses utilisateurs : cela pourrait être le cas d'une université, par exemple. Le blocage de ce site pourrait pénaliser ceux d'entre nous qui entretenons des communications «normales» avec des membres dudit site.

Par ailleurs, beaucoup de pourriels provient d'adresses chez des fournisseurs de courriel gratuit (Yahoo, Hotmail, etc). Devrait-on pour autant bloquer le courriel provenant de ces sites ? Il ne faut pas perdre de vue que Hotmail, par exemple, est le plus grand fournisseur de services de courriel au monde et que, notamment, beaucoup d'étudiants utilisent ce type de service. Si on veut bloquer du pourriel en provenance de ces fournisseurs, il faudra donc le faire par adresse complète plutôt que par site.

On pourra aussi bloquer les courriels à partir d'autres en-têtes que l'adresse de l'émetteur. Le titre du message peut être fort efficace. Ici, les enjeux seront les mêmes que ceux de la filtration par contenu. Les en-têtes offrent un grand nombre de combinaisons possibles permettant de détecter du pourriel, à condition que l'on possède un logiciel permettant une combinaison complexe de conditions.

Malgré ces moyens potentiels à notre disposition, il y a un facteur qui tendra à rendre inopérante toute stratégie de filtration simple basée sur les en-têtes. Le courriel de base que nous connaissons sur l'Internet est un moyen d'échange fondamentalement non sécurisé. Dans un courriel, presque tous les en-têtes peuvent être forgés. Les praticiens «légitimes» du marketing direct n'utilisent pas, règle générale, la fabrication d'en-têtes; après tout, le but final est de vendre. Mais, dans les autres cas, le trafiquage des en-têtes est très souvent utilisé.

Finalement, la filtration du pourriel par en-têtes (et dans une moindre mesure, par contenu) restera toujours une protection de réaction tardive. Lorsqu'une nouvelle adresse d'envoi est utilisée par un émetteur de pourriel, il faudra un certain temps avant que celle-ci soit identifiée comme telle et ajoutée à une liste noire.

Les méthodes de filtration composites sont plus fiables.

4.3 Analyse bayésienne

L'analyse bayésienne est probablement la plus exacte pour la filtration du courriel d'un individu. Elle peut aussi être utilisée avec de bons résultats pour des entreprises dont le courriel reçu a un caractère distinctif dont peut tenir compte l'analyse bayésienne. Une compagnie d'assurance pourrait être ce type d'entreprise. Le désavantage de ce type d'analyse est la période et l'effort nécessaire à l'apprentissage du profil de courriel à appliquer à la filtration du courriel. De plus, ce profil peut devenir réducteur par rapport à l'évolution de l'activité de courriel et il faudra l'ajuster de temps à autre.

En pratique, l'analyse bayésienne est surtout utilisée dans les logiciels anti-pourriel individuels.

4.4 Le calcul de probabilités

Le calcul de probabilités qu'un courriel soit un pourriel est actuellement une des méthodes de filtration les moins sujettes à erreur pour une entreprise ou institution dont la nature du courriel reçu est diversifiée. Les conditions pour que cette probabilité soit significative sont :

  • un grand nombre de critères d'évaluation
  • des critères significatifs
  • une pondération appropriée de l'importance relative de chaque critère
  • l'ajout régulier de nouveaux critères, afin de tenir compte des efforts des envoyeurs de pourriel pour contourner les systèmes de filtration en place
4.5 La filtration par adresse IP d'origine

Cette méthode de filtration est très efficace, mais elle est sans merci. Si une adresse IP d'un site légitime émet du pourriel, même à son insu, elle aura automatiquement une «mauvaise réputation» et le courriel en provenant sera bloqué par d'autres sites. L'adresse est jugée froidement sur le courriel qui en provient et non sur l'intention de l'envoyeur, et le tout se fait  automatiquement. Cela oblige notamment les sites de redirection de courriel à filtrer les courriels qu'ils redirigent.

Il est très important d'avoir un système de réputation exact et efficace.

5. Comment gérer le pourriel reçu ?

Nous avons démontré les difficultés, les risques et les problèmes éthiques que posent les mécanismes de filtration de pourriel, en particulier sur une base institutionnelle. Devrait-on pour autant en conclure qu'il n'y a rien à faire ? Bien sûr que non. Nous passerons ici en revue les possibilités qui s'offrent à nous, individuelles et institutionnelles, incluant la stratégie de gestion du pourriel de l'Université de Montréal.

5.1 Possibilités individuelles

On peut tout simplement éliminer soi-même les messages de pourriel. Cela restera toujours le moyen le plus sûr de ne pas éliminer par mégarde des messages valides. Si une personne reçoit 100 pourriels par jour, et qu'elle prend 5 secondes pour caractériser et détruire chacun, un peu plus de 8 minutes auront été consacrées par jour à cette opération.

La plupart des logiciels clients de courriel modernes, de même que les interfaces Web d'accès au courriel, permettent à un utilisateur de déterminer lui-même ses règles de filtration. Les messages filtrés peuvent être classés dans un dossier séparé ou tout simplement éliminés. Il incombe à l'utilisateur lui-même d'indiquer ce qu'il veut filtrer. Certains lecteurs de courriels ont même commencé à offrir l'analyse bayésienne.

Il est aussi possible de se procurer un logiciel anti-pourriel personnel qui permettra à l'utilisateur de contrôler totalement le type de filtration et les actions de mise en quarantaine ou d'élimination qui en découlent. Il importe alors de se renseigner au sujet des meilleurs logiciels sur le marché, car beaucoup d'entreprises se sont lancées dans ce marché en expansion, sans nécessairement offrir un produit valable. Par ailleurs, la plupart des logiciels client ou Web de courriel offre maintenant cette fonctionnalité.

Un logiciel personnel n'est cependant pas toujours une solution possible, ni la meilleure solution, en milieu corporatif ou institutionnel. À l'Université de Montréal, notamment, une solution institutionnelle est déployée.

5.2 Possibilités institutionnelles : Que fait l'Université de Montréal (DGTIC) pour faire face au pourriel ?

L'Université de Montréal reçoit plus d'un million de courriels par jour, dont la très grande majorité sont du pourriel. Le défi de sa stratégie de gestion du pourriel est non seulement de traiter celui-ci le plus efficacement possible, tout en ayant une forte préoccupation de respect de l'intégrité du courriel, mais aussi d'assurer le fonctionnement stable des infrastructures de courriel face à la charge toujours croissante. La stratégie adoptée par l'Université est donc un compromis entre les objectifs d'efficacité et de respect de l'intégrité.

La stratégie a deux volets :

  • la filtration obligatoire, avant réception
  • la filtration discrétionnaire, sur réception

La filtration obligatoire utilise trois méthodes principales :

  • refus de recevoir du courriel d'adresses IP ayant une réputation bien établie d'envoi de pourriel. Cette information provient d'un fournisseur fiable recevant cette information de sources multiples dans le monde. Le même mécanisme est appliqué sur la base de notre propre expérience de réception de courriel;

  • blocage de tout courriel infecté ou posant des risques de sécurité : nous sortons ici du cadre strict de contrôle du pourriel;

  • chaque courriel passant les deux étapes précédentes est évalué en termes de probabilité qu'il soit un pourriel, tel qu'expliqué ci-haut. Si cette probabilité est élevée, le courriel est alors bloqué. Note : la probabilité calculée et d'autres informations connexes sont ajoutés dans les en-têtes des courriels pour utilisation ultérieure, le cas échéant.

La filtration discrétionnaire peut ensuite s'effectuer sur les messages restants en utilisant à nouveau le calcul déjà effectué de la probabilité qu'un courriel soit un pourriel. Cette filtration est discrétionnaire en ce sens que l'utilisateur peut lui-même déterminer le niveau de filtration appliqué sur les messages qui sont livrés à sa boîte aux lettres, sur la base de la probabilité calculée. Il peut même utiliser son propre mécanisme de filtration.

Il y a deux possibilités de filtration discrétionnaire :

  • Le système de courriel institutionnel (Exchange de Microsoft) implante un système de filtration de pourriel et une configuration de défaut de celui-ci; celle-ci répond aux besoins de la majorité des utilisateurs. La filtration étant ici faite sur le serveur de courriel, elle est appliquée indépendamment du logiciel client utilisé et du poste de travail de provenance.

S'il le désire, l'utilisateur peut ajuster le niveau de filtration discrétionnaire à ses besoins ou se retirer complètement du système de filtration offert : une interface Web est fournie à cet effet. Rappel : la filtration discrétionnaire est appliquée sur les courriels qui n'ont pas été bloqués par la filtration obligatoire.

La configuration de défaut de la filtration discrétionnaire dans Exchange ne détruit aucun pourriel, mais les classe dans une boîte-à-lettres de l'utilisateur (sur le serveur Exchange) appelée UdeM - pourriel. Cette stratégie prudente laisse un certain temps à l'utilisateur pour revoir les messages identifiées comme pourriel. À la fin de cette période, les messages de ce dossier sont automatiquement éliminés.

  • Si l'utilisateur n'utilise pas le système de courriel institutionnel ou a choisi de se retirer du système de filtration qui y est en vigueur, il peut mettre en place son propre système de filtration discrétionnaire en utilisant les informations de probabilité de pourriel ajoutées aux en-têtes de chaque message.

Quelques soient les mesures de contrôle du pourriel que nous utilisons,  il nous faut en surveiller la performance en permanence. Tant que cela sera légal, difficile à retracer, facile ou peu coûteux d'envoyer du pourriel, la tentation sera forte pour ses envoyeurs de faire preuve d'imagination pour contourner les mesures de contrôle que nous mettrons en place. Toutefois, l'Université a un moyen puissant de gérer le pourriel et d'en suivre l'évolution.

Voir : Initialisation de la filtration de mon courriel Exchange

Dernière mise à jour 6 Mai, 2014

 

Ce site fonctionne avec les fureteurs Microsoft Internet Explorer et Firefox.