Qu'est-ce que l'empoisonnement Bayesien?

Depuis quelques temps, une nouvelle technique de spam est apparue, destinée à tromper les filtres anti-spam.

Vous avez-dû recevoir depuis peu des spams avec les conneries habituelles de viagra, offre spéciale windows, replica watch... et en dessous du texte habituel, un texte cohérent, qui n'a rien à voir, mais qui traite de tout autre chose. Souvent un extrait de littérature connu).

Qu'est-ce donc?

Pour l'expliquer il faut d'abord expliquer ce qu'est un filtre Bayesien.

Pour faire simple, c'est un outil mathématique qui permet aux filtres anti-spam d'évaluer la "spamitude" d'un mail. Ainsi par exemple si vous recevez un message avec les mots "watch", "buy", "replica", la probabilité pour que ce mail soit en fait un spam sera d'autant plus grande que ces mots seront proches les uns des autres dans le texte, et qu'ils seront sur-représentés par rapport à l'ensemble des mots du message.

Vous comprenez pourquoi si vous recevez un mail tout à fait sérieux traitant du trafic de fausses montres, votre filtre anti-spam ne devrait pas le bloquer.

Et vous comprenez aussi pourquoi en noyant ces mots clefs parmi une multitude d'autres mots sans rapport et surtout non-suspects, les filtres anti-spam auront du mal à les déceler...

C'est çà l'empoisonnement Bayesien

Exploitez les en-têtes internet des spams que vous recevez

Lorsque vous recevez un spam, cherchez à afficher ce que l'on appelle les "en-têtes internet". La façon exacte d'y accéder dépend de votre logiciel de messagerie, mais vous devriez le trouver rapidement (voir menu "affichage" (ou menu "message")..."en-tête internet"...).

S'ouvre alors une fenêtre avec tout un charabia, qui comporte certains éléments très intéressants.

Ainsi, vous allez y retrouver en plusieurs exemplaire votre adresse mail, avec parfois quelques dérivés (en rapport avec votre serveur de messagerie).
Mais également des adresses mail de l'expéditeur, qui sont parfois bien différentes de l'adresse "De : xx.." mentionnée dans le mail tel qu'il est visualisé nativement dans votre logiciel de messagerie.

Cas concret :

J'ai ainsi découvert que les spams émanant de CDISCOUNT étaient en fait envoyés par une adresse mail xxxxx@bp06.net dans l'en-tête mail.

Une petite googelisation me confirme que bp06.NET émane de la société NP6. On apprend aussi que cette boite emploie 34 personnes et que son site s'appelle mailperformance.fr (tout un programme!). Prudents, ils ne laissent apparaître aucune adresse mail en clair sur leur site (craindraient t-ils quelque chose?)

Ses activités sont on ne peut plus claires pour nous, vu ce qu'en explique son fondateur, un bâtard nommé Stéphane Zittoun :

"En 1999, j'ai créé la société NP6, SSII spécialisée dans la relation client, et les sites de e-commerce. A l'explosion de la bulle, nous avons changé de positionnement pour nous spécialiser dans l'édition d'une gamme d'outils dédiés au marketing direct en mode SaaS, dont le vaisseau amiral est MailPerformance.

La société NP6 a rejoint le groupe anglais IPT en juin 2007, dans le but de former le groupe leader européen en marketing direct electronique. ..."

NP6 se positionne comme société de service spécialisée en e-business et marketing relationnel. Notre modèle est d'apporter de la valeur ajoutée aux grands acteurs de l'Internet marchand."

Ni une ni deux, je me précipite sur whois.com, pour ainsi retrouver les adresses mail du propriétaire de ce domaine, qui sont nd_abuse@np6.com & masterdns@np6.com

Et je recopie ces adresses mails dans la page dédiée à cet effet. Il verra bientôt ce que c'est d'être spammé....

Vous risquez également de trouver dans ces en-têtes plusieurs adresses IP avec la date et l'heure. Ce sont celles par lesquelles est successivement passé le spam avant de vous parvenir.

Si vous copiez la plus ancienne, puis allez la saisir sur http://www.localiser-ip.com/, cet utilitaire va vous indiquer où se situe géographiquement cette adresse IP, donc où se situe le serveur de votre spameur...