Les filtres anti spam laissent passer les spams en image

Les spams sous forme d’image ne sont pas bloqués par les filtres anti spam. Encore peu utilisée par les spammers, cette forme de spamming pourrait devenir redoutable. Si voulez vous pouvez lire la définition du spam avant cet article sur les mécanismes anti-spam des messageries.

Le texte est remplacé par une image

Un spam en image

Les filtres anti spam analysent le texte dans le corps de l’e-mail.

Cet exemple contient suffisamment de mots clés douteux pour qualifier l’émail comme pourriel. Mais le texte étant contenu dans une image jointe et non dans le corps, les filtres ne peuvent pas fonctionner.

Le critère « l’e-mail ne contient pas de texte » est trop facile à contourner.

Exclure les emails contenant une image (en pièce jointe ou dans le corps de l’émail) n’est pas applicable pour tout le monde.

L’entête de l’e-mail ne permet pas de filtrer

Les critères sur l’entête ne sont pas suffisants pour identifier ce type de pourriel. Ils sont souvent associés à d’autres éléments du corps pour calculer une somme d’indices suffisante pour la qualification.

Return-Path: <appreciates[at]ksdfeqsd.com>                                   
Delivered-To: didierm@krinetomcorpv.com
Received: (qmail 30955 invoked from network); 30 Dec 2005 16:04:02 -0000
Received: from abnh173.neoplus.adsl.tpnet.pl (83.7.253.173)
by mx10.krinetomcorpv.com with SMTP; 30 Dec 2005 16:04:02 -0000
Received: from [192.168.163.181] (port=27652 helo=lwnpjehk)
by abnh173.neoplus.adsl.tpnet.pl with esmtp
id 1EsMW7-0007Io-C0
for didierm@krinetomcorpv.com; Fri, 30 Dec 2005 13:50:08 -0200                      
Date: Fri, 30 Dec 2005 17:02:38 +0100
From: <appreciates[at]ksdfeqsd.com>
X-Mailer: The Bat! (v3.5) Professional                                     
X-Priority: 3 (Normal)                                                     
Message-ID: <170854737.2005123013508[at]abnh173.neoplus.adsl.tpnet.pl>
To: <didierm@krinetomcorpv.com>
Subject: Top News
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="=_98c40c718373395b350d7d8971267ef9"
X-Spam: Not detected                                                       

Dans l’exemple les DNSBL sont inopérantes : c’est encore un PC zombi qui a envoyé le pourriel.

Les filtres anti spam ne marchent pas

Les filtres par expressions régulières (de type Spampal ou SpamAssassin), Bayesiens et manuels laissent passer ces spams. L’analyse du contenu de l’image est assez complexe à mettre en œuvre pour ne pas être envisageable ici.

Par contre les systèmes anti spam par authentification de l’émetteur réussissent à bloquer ces spams.

Encore peu utilisée par les spammers, cette forme de spamming pourrait mettre hors course pas mal de logiciels anti spam.

Donc une image JPEG peut lancer un virus cheval de Troie !

En effet une faille de sécurité dans un certain nombre de logiciels sous Windows permet de lancer un virus cheval de Troie dans une image JPEG. Tous les logiciels de messagerie sous Windows sont concernés. Microsoft a publié un correctif pour supprimer cette vulnérabilité.