Portail officiel de la sécurité informatique - ANSSI - République française

En bref...

L’AFA et ses membres se sont engagés très tôt dans la lutte contre le pourriel (spam), qui menace tant la sécurité des réseaux que la liberté de communiquer des internautes.

Une lutte efficace contre le pourriel suppose toutefois l’implication de l’ensemble des acteurs concernés par la messagerie électronique (utilisateurs, expéditeurs de messages électroniques, prestataires de services internet, pouvoirs publics…) et leur concertation soutenue.

Dans cet esprit, l’AFA s’est impliquée dans la publication de conseils aux acteurs concernés, dans le soutien des actions en justice diligentées par ses membres et dans la construction d’une structure de concertation au niveau national.

L’AFA a tout d’abord publié plusieurs types de documents :
 Déontologie AFA, dans laquelle le pourriel est clairement considéré comme un abus de service : juillet 2002 (http://www.pointdecontact.net/autressujets.html#abus),
 Conseils aux destinataires de messages électroniques : 20 octobre 2002 (http://www.pointdecontact.net/antis...),
 Information sur la lutte technique des fournisseurs de messagerie : 25 février 2005 (http://www.afa-france.com/t_spam.html#acteurs),
 Conseils aux expéditeurs de messages électroniques en nombre : 30 juin 2005 (http://www.afa-france.com/t_spam_conseils_expediteurs.html),
 Recommandations aux acteurs d’internet pour lutter contre le pourriel : 26 avril 2006 (http://www.afa-france.com/t_spam_recommandations_acteurs.html).

L’AFA a également soutenu plusieurs de ses membres dans leurs actions en justice contre des émetteurs de pourriel : TGI Paris, 15 janvier 2002 ; TGI Paris, 24 mai 2002 ; TGI Paris, 6 avril 2004 ; Trib. commerce Paris, 8° ch., 5 mai 2004…

Enfin, l’AFA s’est particulièrement investie dans les travaux du groupe de contact des acteurs de la lutte contre le pourriel, mis en place en juillet 2003 par le gouvernement français et piloté par la Direction du Développement des Médias.

Ce groupe de travail a notamment donné naissance à l’association Signal Spam. L’AFA s’est beaucoup investie dans la conception et la création de cette structure, dont elle est membre fondateur et membre du Bureau.

Le pourriel et la loi

Le courrier électronique est défini par l’article 1er de la Loi pour la confiance dans l’économie numérique comme « tout message, sous forme de texte, de voix, de son ou d’image, envoyé par un réseau public de communication, stocké sur un serveur du réseau ou dans l’équipement terminal du destinataire jusqu’à ce que ce dernier le récupère ».

Un courrier électronique est généralement qualifié de pourriel lorsqu’il est adressé en violation des règles de droit relatives au recueil du consentement de son destinataire, lors de la collecte de son adresse électronique ou de l’utilisation de cette adresse.

En matière de prospection directe, l’envoi de messages électroniques est conditionné au recueil du consentement préalable des destinataires. Cette approche européenne a été transposée dans la loi pour la confiance dans l’économie numérique. Elle oblige les prospecteurs à obtenir, avant tout envoi, le consentement de l’utilisateur du service à recevoir des prospections directes, dans un souci de protection des données personnelles et de la vie privée. Il est toutefois posé une exception au principe du consentement préalable, et la prospection directe par courrier électronique est autorisée lorsque 3 conditions sont réunies :

 Les coordonnées ont été collectées légalement à l’occasion d’une vente ou d’une prestation de services ;
 La prospection concerne des produits ou services analogues fournis par la même personne physique ou morale ;
 Le message contient une possibilité de désabonnement expresse, dénuée d’ambiguïté, simple et sans frais.

Comment les prestataires de messagerie électronique luttent-ils contre le pourriel qui arrive sur leurs plateformes ?

La contribution des prestataires de services relatifs à la messagerie électronique est primordiale, en matière de lutte contre le pourriel. Pour cette raison, l’AFA et ses membres ont publié un socle minimal de règles à l’intention de différents acteurs tels que les fournisseurs de messagerie électronique, les fournisseurs d’accès à internet ou les éditeurs de logiciels de messagerie électronique.

Parallèlement, les prestataires de messagerie électronique membres de l’AFA ont souhaité expliquer les règles de filtrage qu’ils utilisent sur leurs plateformes, dans un soucis de transparence. Ces explications sont publiées sur cette page du site de l’AFA : www.afa-france.com/t_spam.html. Les informations qui figurent ci-dessous en sont principalement extraites.

Chaque prestataire de messagerie applique des règles qui lui sont propres, et qui dépendent notamment de la taille et de l’architecture de sa plateforme. Globalement toutefois, il est possible d’isoler, sur la plupart de ces plateformes, deux niveaux de filtrage des messages électronique entrants :

 Le filtrage à l’entrée de la plateforme :
Il est important de noter que si ce filtrage permet effectivement d’éviter un grand nombre de pourriel, il consiste en réalité à bloquer les messages techniquement illégitimes, c’est-à-dire qui ne respectent pas les règles de communication entre serveurs pour l’envoi de messages électroniques.
Lorsqu’un serveur souhaite émettre un message en direction d’un autre serveur, il établit une connexion avec celui-ci. Lors de la connexion, il donne plusieurs informations, selon des étapes prédéfinies, telles que son nom ou les destinataires de ses messages, avant d’émettre les données qui contiennent le message destiné à être reçu par l’utilisateur final.
De nombreuses règles peuvent vérifier, tout au long de cette connexion, le respect de certains critères par ce serveur expéditeur, notamment en terme de configuration et de comportement. Si une règle décide que le serveur expéditeur n’est techniquement pas légitime à émettre ses messages, la connexion est interrompue et les messages électroniques ne sont pas pris en charge par le serveur destinataire. Dans cette situation, le serveur expéditeur est averti de l’échec de la communication, et conserve la charge de l’émission ultérieure des messages qui n’ont pu être distribués. Il lui appartient dès lors de résoudre la cause de l’échec de cette communication, à l’aide du code erreur qu’il reçoit ou, si nécessaire, en contactant les équipes techniques distantes.

 Le filtrage après réception des messages électroniques :
Une fois les messages électroniques acceptés par le serveur du prestataire de messagerie destinataire, ce dernier peut mettre en œuvre certains filtres anti-pourriel qui aideront ses utilisateurs à faire un tri entre les messages qui sont probablement des pourriels et ceux qui n’en sont pas. Les destinataires finaux des messages peuvent eux-mêmes installer des filtres anti-pourriel personnels sur leur poste de travail.

Conseils de l’AFA et de ses membres aux destinataires de pourriel

Les utilisateurs de messagerie peuvent prendre certaines précautions pour contribuer à la lutte contre le pourriel des prestataires techniques. Le Point de Contact de la profession publie des recommandations à leur attention (www.pointdecontact.net/antispam.html), dont certaines sont reprises ci-dessous :

Précautions à prendre

Le pourriel provient aujourd’hui en grande partie d’ordinateurs corrompus par un programme informatique malveillant. Ces programmes sont conçus pour prendre le contrôle des ordinateurs à l’insu de leurs propriétaires et émettre des pourriels.

Si votre ordinateur n’est pas sécurisé, vous risquez :

 De communiquer vos données personnelles ainsi que les adresses électroniques de vos contacts à des émetteurs de pourriel,
 D’envoyer du pourriel à vos contacts ainsi qu’à de nombreuses personnes que vous ne connaissez pas,
 Que votre prestataire de service suspende ou mette fin au service internet auquel vous avez souscrit, afin de préserver la sécurité des réseaux.

Il faut donc veiller à la sécurité de votre ordinateur en le protégeant des virus, des logiciels malveillants (« spyware » ou « malware ») et des codes exécutables suspects ou dangereux.

 Utilisez un antivirus à jour,
 Complétez le éventuellement d’un logiciel de protection contre les logiciels malveillants,
 Utilisez les fonctions de vos logiciels de navigation (Mozilla, Firefox, Internet Explorer…) qui vous protègent de différents types d’intrusions,
 Mettez en place un pare-feu, ou « firewall »,
 Veillez à la mise à jour automatique ou régulière de ces outils.

Se protéger du pourriel passe également par la protection de son adresse électronique :

 Choisir une adresse électronique difficile à deviner pour les émetteurs de pourriel ;
 Ne jamais communiquer son adresse électronique personnelle sur les espaces publics ou aux personnes en lesquelles vous n’avez pas confiance ;
 Vous pouvez notamment créer une adresse spécialement dédiée à sa communication aux personnes ou aux sites dont vous ne connaissez pas la déontologie ;
 Vous pouvez chiffrer votre adresse électronique, lorsque vous l’affichez sur un espace public de l’internet : voir notamment l’outil proposé par le site www.caspam.org ;
 Si votre logiciel de messagerie vous permet par défaut de ne pas afficher les images et les liens dangereux contenus dans un message électronique, activez cette fonction ;
 Si des liens s’affichent dans le corps du message électronique reçu et que vous n’êtes pas certain de la déontologie de l’expéditeur, ne cliquez pas sur ces liens, y compris pour vous désinscrire ;
 Ne transmettez jamais les « chain mails » à vos amis. Vous pouvez vérifier l’honnêteté de ces messages sur le site www.hoaxbuster.com ;
 Ne répondez jamais à un émetteur de pourriel.

L’utilisation d’un logiciel anti-pourriel peut s’avérer utile.

De nombreux logiciels anti-pourriel sont proposés et permettent de créer un dossier « pourriel » dans votre logiciel de messagerie, dans lequel arriveront les messages considérés comme étant des pourriels :

 Veillez à vérifier très régulièrement votre dossier destiné à recevoir les pourriels ;
 Réinsérez dans votre boîte aux lettres les messages filtrés par erreur, et si possible, ajoutez leur expéditeur dans votre carnet d’adresses ;
 Lorsque les options vous sont offertes, signalez au logiciel ou à votre prestataire de messagerie les messages qui ont été classés dans le mauvais dossier ;
 Ne signalez que les pourriels, non les messages d’expéditeurs qui respectent la loi.

A qui signaler ?

Selon la CNIL, « le « spamming » est l’envoi massif – et parfois répété – de courriers électroniques non sollicités, le plus souvent à caractère commercial, à des personnes avec lesquelles l’expéditeur n’a jamais eu de contact et dont il a capté l’adresse électronique dans les espaces publics de l’internet : forums de discussion, listes de diffusion, annuaires, sites web, etc. » La CNIL peut ainsi être saisie par simple lettre postale qui pourra dénoncer les faits au parquet. De plus, la CNIL pourra prononcer des sanctions pécuniaires pouvant atteindre la somme de 300 000 euros. La CNIL consacre un dossier très complet au pourriel : http://www.cnil.fr/index.php?id=1266.

Le prestataire de services dont les serveurs ou le domaine sont à l’origine du pourriel peut être contacté, il est en effet le seul en mesure de vérifier si l’un de ses abonnés est responsable d’envois anormaux. En cas de pourriel avéré, le compte de cet utilisateur peut être fermé, sur le fondement des Conditions Générales auxquelles il a souscrit. Le lien ci-dessous renvoie aux adresses « abuse » dédiées au pourriel des membres de l’AFA :
 http://www.pointdecontact.net/antispam.html#adresses

 Une plateforme nationale de signalement a été mise en place le 10 mai 2007. http://www.signal-spam.fr/

L’association « Signal Spam », dont l’AFA est membre fondateur, permet d’un simple clic de signaler les pourriels que les internautes reçoivent, à l’aide des extensions (plugins) Signal Spam. Cette association, créée en novembre 2005, regroupe l’ensemble des acteurs de la lutte contre le pourriel (autorités publiques, organisations professionnelles, entreprises privées).

• Les utilisateurs doivent tout d’abord s’inscrire :
  • L’inscription simple ne nécessite qu’un nom d’utilisateur, un mot de passe et une adresse électronique. Les signalements effectués permettront seulement d’améliorer les connaissances sur le phénomène du pourriel et d’aider à la sécurisation du réseau ;
  • L’inscription complète implique que l’utilisateur fournisse ses coordonnées et autorise Signal Spam à le contacter si besoin. Les signalements effectués sont susceptibles d’aboutir à des actions en justice.

• Le signalement peut être fait de deux façons :
  • En un clic, il faut pour cela télécharger l’extension adaptée au logiciel de messagerie ;
  • A travers votre espace privé en ligne, vous pouvez accéder au formulaire de signalement et copier dans celui-ci le code source du message à signaler.

Conseils de l’AFA et de ses membres aux expéditeurs de messages électroniques en nombre

La lutte des prestataires techniques et des utilisateurs contre les messages indésirables doit être soutenue par les expéditeurs de messages électroniques en nombre. La lutte contre le pourriel implique un respect scrupuleux des règles de communication entre machines et l’implémentation de nouvelles règles permettant de distinguer plus finement les expéditeurs qui respectent les protocoles de ceux qui ne les respectent pas.

Il est par conséquent important que les expéditeurs de messages électroniques, surtout si leurs envois sont importants, s’efforcent de respecter ces règles.

Afin de les y aider, l’AFA a publié des recommandations à leur attention, disponibles à cette adresse : http://www.afa-france.com/t_spam_conseils_expediteurs.html

Les conseils proposés sur cette page abordent diverses questions telles que la configuration des machines utilisées pour envoyer les messages électroniques, le comportement de ces machines ou la rédaction même des messages électroniques.