Conformité

Cyber Interview: les mails SPAM et le RGPD

Les SPAM inondent nos boîtes de réception depuis des années, mais les connaît-on vraiment ? Que savons-nous de leurs expéditeurs et de leur provenance ? Comment les SPAM sont-ils impactés par les réglementations de confidentialité et de sécurité à venir – et de plus en plus – que les États mettent en œuvre dans le monde entier ?

Notre expert en cybersécurité, Julien Patriarca, directeur des services professionnels chez WALLIX, répond à nos questions sur le SPAM.

Qu’est-ce qu’un SPAM ?

Le SPAM c’est quoi ? C’est un mail non sollicité. Une fois qu’on dit ça, bah, si moi je t’envoie un mail sur ta boite perso, c’est aussi un mail non sollicité de toute façon mais pour autant il va arriver. Il va arriver parce qu’il est envoyé par une boite ou adresse mail connue, vérifiable, etc. Donc, le SPAM c’est un mail non sollicité et qui a une valeur nuisible. C’est à dire, quelque chose qui potentiellement ne t’intéressera pas, va profiter de toi…

Le SPAM c’est un mail non sollicité et qui a une valeur nuisible.

Comment le SPAM arrive-il dans les boites mail ?

Alors, de plusieurs manières, le SPAM se retrouve de moins en moins dans les boites mail parce qu’il y a de plus en plus de technologies et systèmes qui existent pour empêcher la prolifération des SPAM dans les boites mail directement. De nos jours, les filtres anti-SPAM sont très puissants, en particulier pour les boîtes mail des entreprises. Pour que les logiciels anti-spam de les bloquent, il faut qu’ils atteignent un certain score. Et ces scores sont définis par : des termes, l’analyse de l’expéditeur, s’il y a des adresses mail qui sont marquer comme étant spammeur, des serveurs qui interrogent les listes qu’on appelle RBL (Real-Time Blacklist) qui permettent de savoir que tel domaine est un domaine spammer et du coup bloquer directement le mail envoyé.

Donc généralement si on prend la majorité des emails spams envoyés, il y en a au moins 90% qui sont bloqués par les solutions. Ceux qui ne sont pas bloqués sont ceux qui arrivent à passer sous le radar donc à contourner le score, pour faire ça il déguise des mails en se faisant passer pour le plus légitime possible.

Quelle est la différence entre le SPAM et le Phishing ?

Phishing c’est une sorte de SPAM, parce que ça utilise le même vecteur : le mail. Les SPAM sont des mails envoyés par milliards qui ont des vrai business derrières. Le phishing se distingue car il a pour but des actions malicieuses, purement et simplement, en se faisant passer pour ta banque, pour EDF, pour les impôts, pour tout ce qu’on veut. Donc c’est un mail qui est vraiment malicieux, qui ne contient pas forcement du code malicieux, mais qui va essayer de t’envoyer sur un site web et essayer de prendre Tes identifiants pour pouvoir réaliser des actions intéressantes pour le pirate (vol d’argent, de données …).

Si tu cliques sur un mail de SPAM, il y a très peu de chance de te faire voler ton numéro de carte bleu.

Les SPAM, au contraire, ne sont pas méchant. Si tu cliques sur un mail de SPAM, il y a très peu de chance que tu te fasses voler ta carte bleue, etc. Souvent, on tombe vraiment sur un site « légitime », qui existe vraiment, qui va prendre une commande et qui va te livrer. Le produit, peut-être il marche ou il ne marche pas, mais la boite va vraiment te délivrer le produit que tu as acheté. En fait, les spammeurs, ils font tout possible pour protéger les données de leurs clients. Dès que quelqu’un se plaint à Visa ou MasterCard, ils risquent de perdre la capacité de traiter les transactions bancaires. Ils sont donc très investis dans un bon service client et sont très précautionneux avec ses clients.

Comment les spammeurs trouvent-ils les adresses mail ?

En fin de compte, l’atout le plus précieux d’un spammeur est sa base de données d’adresses mail.

Pour créer une base de données, les hackers parcourent le Web à chaque minute pour récupérer toutes les adresses mail qu’ils peuvent trouver en faisant du Web scraping. Comme nous l’avons dit, ils ont besoin de millions d’adresses pour avoir suffisamment de chances que certains passent les filtres, puis un nombre minimum de personnes les ouvrent et cliquent. C’est en fait un énorme travail.

Afin d’envoyer des courriels à ce volume, les spammeurs utilisent les Botnets, des réseaux d’objets connectés qui ont été piratés et exploités pour envoyer des mails. Les réfrigérateurs connectés et les assistants personnels, n’importe quoi dans l’Internet des Objets (IoT) pourrait être utilisés pour envoyer du SPAM sans que l’utilisateur n’en ait connaissance. Ces Botnets, loués par les hackeurs qui les construisent, permettent aux spammeurs d’envoyer des milliards de mails via des millions d’appareils à tout moment.

SPAM et RGPD

Le règlement général sur la protection des données (RGPD) dont le mis en place sera le 25 mai 2018, vise à protéger la vie privée des citoyens de l’UE en obligeant les organisations à sécuriser toutes les données personnelles à certaines normes minimales. Si les adresses électroniques sont considérées comme des données personnelles, elles peuvent relever des réglementations RGPD.

Comment le RGPD impactera le SPAM ?

Comme les spammeurs opèrent techniquement en dehors de la loi, les réglementations gouvernementales de sécurité des données n’auront pas nécessairement un effet important sur leurs actions. En revanche, concernant le RGPD, le SPAM pourrait changer un petit peu. Pourquoi ? Parce que, comme nous l’avons dit, la clé du SPAM c’est la base de données d’adresses mail. Si nous considérons que les adresses électroniques comme données personnelles, vue que le RGPD exigent que les entreprises qui possèdent ce type de données le protègent bien, ça pourrait en fait avoir un impact sur le volume de SPAM en rendant la source des données plus difficile d’accès. Si les hackeurs n’acquièrent pas d’adresses mail, il n’y a pas de business. Alors oui, il est possible que le RGPD aura un impact sur le volume de mail SPAM dans le monde.

Mais il faut savoir, RGPD ou pas, il est toujours bon de protéger ses bases de données.

Mais, de tout façon, il faut savoir que, RGPD ou pas, il est toujours bon de protéger ses bases de données, de faire un sort qu’elles ne sont pas atteignables, qu’elles ne peuvent pas être distribuées.

Comment pouvons-nous renforcer la cybersécurité ?

En fait chacun, a son niveau personnel, peut jouer un rôle sur la cybersécurité, si chacun suit d’avoir un minimum de conscience de sécurité et informatique. C’est quoi un minimum de conscience de sécurité ? Ça veut dire mettre un mot de passe pas facilement trouvable, plus fort que chat, chien, motdepasse123, pour tous ses comptes et objets connectés.

Si j’achète, par exemple, un Google Home ou Alexa d’Amazon, un objet qui est directement connecté à l’internet, je fais un sort que c’est au minimum assuré. Je change l’identifiant et mot de passe par défaut, avec les choix plus sécurisés pour prévenir l’objet de l’IoT d’être hacker et utilisé dans un botnet pour distribuer des millions de SPAM.

Quelque part, chacun est responsable du volume de SPAM. Quand je mets un mot de passe « motdepasse123 » sur les appareils et comptes, je participe, potentiellement, sans ma connaissance, dans la distribution des SPAM tous les jours.

Vous voulez en savoir plus sur la gestion des mots de passe, l’IoT et le GDPR? Contactez-nous pour en parler avec un expert en matière de cybersécurité WALLIX!

Previous
Directive NIS, le compte à rebours est lancé ! Retour sur les enjeux de conformité
Next
Relever les défis de sécurité des MSSP avec la Gestion des Accès à Privilèges

À découvrir

Cinq conseils pour maitriser votre risque informatique
WALLIX nommé Leader dans le Gartner® Magic Quadrant™ 2022 pour...
La trousse à pharmacie du RSSI : les indispensables

Autres ressources

NIS2: Soddisfare i nuovi requisiti di policy con PAM
La cybersécurisation des bâtiments tertiaires
WALLIX est reconnu « Overall Leader » pour la troisième année consécutives...