CodartFrance Veille

Le spam, un mot que l’on entends partout car c’est un phénomène qui touche tout possesseur d’une adresse email. Qui n’a jamais reçu un mail lui proposant d’acheter un set de cuisine à un prix défiant toute concurrence, une offre miracle pour allonger la taille de son pénis ou de bénéficier de plusieurs mois gratuits d’abonnement à un site de rencontre en ligne ? J’en passe et des meilleurs car tous les publicitaires et webmasters désireux de générer un peu de trafic sur leur site internet ont eut recourt à ce genre de pratiques peu scrupuleuses. La question qu’il faut surtout se poser est la suivante : comment ces individus se sont-ils procuré votre adresse email ? Je vais vous apporter des éléments de réponse et des techniques pour éviter de trop vous faire envahir.

• Je suis webmaster et je veux éviter le spam dans mes commentaires, comment faire ?

Si vos commentaires ne nécessitent pas d’enregistrement et sont ouverts à tous (et par conséquent aux spammeurs) voilà une astuce que je pratique régulièrement et qui me vient de Yves, créateur d’expreg.com. L’astuce consiste tout bêtement à poser une question simplissime du style “Combien font 2+3″ ou “Quelles sont les 3 premières lettres de l’alphabet ?”, bref des choses que tout le monde sait, tout le monde sauf un robot qui passerait par là et qui ne pourrait donc pas polluer vos commentaires.

• Comment votre adresse email est-elle récupérée ?

De façon très simple puisque c’est vous qui la donnez ! Lorsque vous remplissez un formulaire d’inscription sur un site, lorsque vous participez à un jeu concours, lorsque vous envoyez un email (vous savez toutes ces chaines (je pense que je ferai un billet sur ce thème un jour…), lorsque vous donnez votre adresse MSN sur un forum pour aider quelqu’un… Ce qu’il faut donc comprendre c’est qu’avec un peu d’attention vous allez pouvoir éviter de passer votre temps à envoyer votre courrier indésirable à la corbeille.

• Comment ne pas être spammé ?

Il n’y a pas de recette miracle pour ne jamais recevoir de pourriels mais juste des précautions à prendre. La première règle consisterait à avoir du bon sens (qui est naturellement présent chez tout le monde grosso modo ^^) pour ne pas cocher les cases autorisant les sites à divulguer votre adresse à leurs partenaires. Ne donnez jamais votre véritable adresse si vous avez un besoin ponctuel (enregistrement à un service ponctuel nécessitant une activation par exemple). Yopmail permet justement de créer une adresse email temporaire. Sur ce service, l’adresse a une durée de vie de cinq jours (largement suffisant pour activer un compte). Évitez de publier votre adresse de façon claire sur le net, utilisez une image pour que seul les utilisateurs “humains” puissent récupérer votre adresse. Pour ce faire, utilisez un service de génération d’image de votre adresse mail comme ProtectMail (Safemail, SignatureGenerator, Nexodyne proposent le même service (ces sites sont en anglais)) qui créera une image plutôt jolie (c’est toujours plus agréable) de votre adresse mail. Si vous ne voulez pas utiliser d’image une alternative possible est d’utiliser un tag explicite à ajouter à votre adresse et lorsqu’une personne souhaitera utiliser votre email, elle comprendra qu’elle devra retirer ce tag. Un exemple peut être ? Si votre adresse est nom-utilisateur@nomdedomaine.org, publiez cette adresse : nom-utilisateur@retirerletag-nomdedomaine.org, si un moteur vient récupérer votre adresse mail pour compléter sa base de données de clients, il se retrouvera avec une adresse boiteuse ! Et c’est tant mieux ! (Vilain spam !).

• Comment réagir lorsque je suis spammé ?

La seule chose à faire est d’ignorer ces spams et de supprimer les messages sans y accorder d’importance et ce quelque soit la nature de l’offre, ce sont TOUJOURS des attrapes nigauds et même si certains sont plus attrayants que d’autres ils ne sont en rien moins vicieux, la tendance est à l’usurpation d’identité, la copine Lisa qui a parlé de vous et qui voudrait que vous vous rencontriez sur un salon de t’chat. Le but du spam est de rameuter des visiteurs sur un site internet, même s’il faut leur mentir.

Voilà quelques conseils pour éviter de vous faire spammer, dans l’absolu ne donnez votre adresse email que lorsque c’est réellement nécessaire afin de limiter les fuites.

Google a aujourd’hui publié sur son blog un billet concernant la façon dont la société aborde la sécurité au sein de ses applications.

Google déclare que la sécurité peut être définie en trois points :

- Une philosophie, la sécurité n’est pas traitée à un moment précis et unique lors du développement d’une application mais c’est une tâche de fond, chaque étape est pensée à travers la sécurité afin de s’assurer de l’intégrité des données. Google précise également que la société travaille avec les communautés qui passent leur temps à traquer les problèmes de sécurité sur le web afin de prévenir et de corriger ces problèmes.

- Une technologie, Google a une répartition très stricte de l’information en sachant précisément qui a accès à quoi. Les données considérées comme vraiment critiques ne sont accessibles qu’à un nombre limité de personne. La sécurité étant vraiment prise au sérieux, Google investit dans des techniques d’encryptage toujours plus poussées afin de garantir un coup d’avance aux millions d’utilisateurs des différents services de Google (client mail, recherches, etc).

- Des techniques, le point le plus important auquel le géant américain attache de l’importance est la qualité du personnel qu’il recrute, ce sont les meilleurs ingénieurs en sécurité de la planète qui sont choisis. Chacun des travaux des ingénieurs étant revus par les autres afin de croiser les méthodes de vérification.

Ce billet tombe quelques jours après l’affaire du piratage de comptes GMail évoqué ici même, on en vient donc à se poser la question d’un tel billet, Google chercherait-il à rassurer ses utilisateurs à cause de failles déroutantes à cause d’un manque de contrôle ?

Petite exclue par cette heure un peu tardive, le navigateur Firefox vient d’être publié en béta 4. Pour mettre à jour votre petit panda roux enflammé c’est sur le site de mozilla que ça se passe.

On notera pour cette nouvelle version une légère retouche des icones et plus de 900 retouches de codes. Une amélioration de la sécurité, de l’utilisation de la mémoire vive et de la stabilité de l’application. La plupart des mises à jours sont des retours suite à la beta 3.

De quoi nous faire patienter encore un peu jusqu’à la sortie officielle de la version 3 de Firefox (toujours prévue pour le premier semestre 2008).

Stay tuned!

Voici la traduction d’un article que j’ai trouvé via ReadWriteWeb.com traitant d’un problème que j’ai trouvé grave, le piratage d’accès aux boîtes GMail des utilisateurs d’une application destinée à télécharger des documents. Si vous souhaitez lire l’article dans sa version originale, il est tiré de Coding Horror.

 Je cherchais comment faire un backup des données de mon compte GMail vers ma machine car il y avait beaucoup d’informations que je ne souhaitais pas perdre. Pendant mes recherches je suis tombé sur G-Archiver,  cette application semblait convenir à mes attentes, j’ai donc décidé de ne pas passer à côté.

Je me suis rendu compte qu’elle ne répondait pas vraiment à mes attentes mais étant moi-même un développeur j’ai utilisé Reflector pour jeter un oeil au code source. Et là ce que j’ai découvert m’a plutôt choqué. John Terry, le pseudo-createur, avait codé en dur le nom d’utilisateur et le mot de passe de son compte GMail. Très bien, pas la meilleure chose du monde à faire, mais par la suite j’ai découvert qu’à chaque fois qu’un utilisateur ajoute son compte au programme pour sauvegarder ses données, un email contenant son nom d’utilisateur et son mot de passe est automatiquement envoyé dans la boîte mail du créateur de l’application ! Venant juste de m’inscrire, je me suis plutôt senti concerné.

J’ai donc ouvert un navigateur et me suis connecté à son compte GMail avec ses informations. Par chance, cela fonctionnait encore.

Après avoir atterri sur la boîte de réception,  j’ai vu qu’il y avait 1 777 emails avec les informations de connexion de tous ceux qui avaient utilisé ce logiciel et en haut de la liste des mails, il y avait mes informations de connexion. J’ai décidé d’envoyer tous les mails vers la corbeille et de la vider. J’ai accidentellement changé le mot de passe et je ne me souvient curieusement pas de la question de sécurité, désolé… J’ai également contacté Google pour supprimer ce compte car je n’ai pas trouvé le moyen de le supprimer par moi même.

On peut donc être tenté de remettre en cause toutes ces applications que l’on installe souvent à la va-vite par simple habitude. Il faut donc que vous vous posiez la question de savoir si le site sur lequel vous vous apprêtez à entrer les informations liées à votre compte email pouvant contenir des informations sensibles est réellement un site de confiance, le piratage de compte email pouvant entrainer de lourdes conséquence. (Cf. Le piratage de WebRankInfo).