“Selon les moments et selon les mesures, le spam représente
entre 55 et 95 % du trafic total de l’e-mail.”
(source: Les chiffres 2020 de l’e-mail du site arobase.org)
Les Spams…Tout le monde en reçoit sans jamais les avoir sollicités. Ils saturent les boites e-mails. Leurs “créateurs” profitent du manque de vigilance et de connaissance des utilisateurs pour les piéger. Et surtout certains de ces e-mails constituent de réelles menaces pour les organisations !
Le spam, désigné sous d’autres noms comme “pourriel”, “courriel indésirable” ou encore “polluriel”, existe sous différentes formes plus ou moins malveillantes :
Le spam purement publicitaire non sollicité, sans conséquence et analogue au flyer publicitaire distribué dans nos boîtes aux lettres.
Les thèmes touchent des domaines variés comme :
Le spam d’escroquerie appelé “scam”, plus dangereux, comme par exemple : “l’arnaque à la nigériane”, qui propose souvent de gagner une énorme somme d’argent en échange d’un pourcentage pour réaliser une transaction financière internationale hyper attractive…encore pour percevoir un héritage. Dans ce cas, évidemment, seul le “scammeur” est touchera le “jackpot” !
Le spam d’hameçonnage ou “phishing”, destiné à une masse globale de destinataires : il appâte sa victime en usurpant l’identité d’un organisme familier (CPAM, Impôts, prestataire de service…) . Le but : lui soutirer ses identifiants et mots de passe, extorquer des informations confidentielles. Il peut également infecter son ordinateur en introduisant un logiciel malveillant (malware) qui se propagera ensuite dans le système informatique de l’organisation.
La méthode est relativement répandue : un e-mail constitué de liens frauduleux ou de pièces jointes dangereuses. L’utilisateur, en cliquant dessus, ouvre les portes du réseau informatique de son organisation.
Les thèmes du phishing sont très variés : administratif, multimédia, finance, santé, formation, actualités…Les cybercriminels ne manquent guère d’imagination ! Ils exploitent toutes les sources d’inspiration pour commettre leurs méfaits.
Une variante du phishing consiste en une attaque personnalisée en envoyant un e-mail à un destinataire précis. C’est ce qu’on appelle le spear-phishing ou hameçonnage ciblé, tel que la “fraude au président”. Ces “harponneurs” peuvent, par exemple, se faire passer pour vos collaborateurs, vos amis ou des membres de votre famille pour vous demander de l’argent ou des informations. Pour parvenir à leurs fins, ils emploient la technique de “l’ingénierie sociale”.
Enfin, sachez que plus de 80 % des cyberattaques commencent par une tentative de “phishing” et un salarié qui tombe dans le piège.
Au-delà du spam envoyé par e-mail, certains spams sont envoyés par messageries instantanées ou réseaux sociaux ou SMS. Les cybercriminels utilisent également ces canaux pour commettre leurs méfaits. Ce fût le cas, par exemple, pour Twitter dont les comptes de personnalités célèbres ont été piratées.
Enfin, depuis quelques temps, le nombre de SMS de type spam est en forte augmentation et le smishing (phishing par sms) en forte croissance également.
Outre son empreinte carbone, le spam représente tout d’abord un coût direct pour les organisations et particuliers. La mise en œuvre de solutions techniques anti-spam en constitue un. De plus, les destinataires peuvent perdre jusqu’à plusieurs jours par an en traitement des spams. Enfin, n’omettons pas les surcoûts potentiels liés aux risques de cyberattaques évoqués ci-dessus.
Côté utilisateurs :
Garder un esprit critique lors de la réception d’un e-mail suspect. Prendre le temps de se poser les bonnes questions : est-ce que cet e-mail m’est réellement destiné ? ce message évoque un dossier, une facture, un thème qui ne me parle pas ? Est-ce que je connais cet expéditeur ? Son contenu est inquiétant, déconcertant, inattendu ?
Le destinataire doit également se méfier de certains termes ou certaines “accroches” : “Facture”, “PayPal”, “Visa”, “MasterCard” ou tout autre référence bancaire, “cadeau”, “lot”, “spécialement pour vous”, “urgent”, “aidez-moi”, “jeux d’argent”, “casino”, “gratuit”, “promo”, “gagner”, “jeux concours”…
Au moindre doute,apprenez à vos utilisateurs à repérer les e-mails suspects. Enfin, rappelez-leur de respecter la procédure informatique mise en place dans votre organisation.
De manière générale, il est recommandé de :
Si un utilisateur ouvre malencontreusement le spam et qu’il s’avère dangereux : réunissez tous les éléments de preuves disponibles (nom, pseudonyme, adresse mail, copie des textes, images ou vidéos, adresse URL, nom de site…).
Le spam doit être transféré au service informatique et au responsable de la sécurité des systèmes d’information pour vérification. Idéalement avec l’annotation “Spam “ pour que le responsable ne clique pas à son tour.
Signalez les spams sur le site www.signal-spam.fr : cette plateforme regroupe la CNIL” Commission nationale de l’informatique et des libertés, la Police et gendarmerie, les Fournisseurs d’Accès Internet (FAI) et les associations de marketing et d’annonceurs dans le but d’éradiquer le démarchage malhonnête.
Pour les infractions : signalez-les sur la plateforme “PHAROS” (“plateforme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements”), accessible sur le site www.internet-signalement.gouv.fr.
SPAM est une marque de « jambon épicé » en boite (« Spiced Porc And Meat ») créée en 1937 par un industriel américain. C’est dans les années 90 que l’on emploie pour la 1ère fois le terme « spam » pour désigner le courrier indésirable, s’inspirant du sketch “Spam” des Monty Python (années 70), lequel parodiait une publicité diffusée de manière intempestive sur les ondes radiophoniques par la marque SPAM.