Le spam par email ou téléphonique est un véritable fléau au quotidien. Nos boites de réception email professionnelles et personnelles en sont submergées.
Au mieux, le spam est ennuyeux, au pire c’est une menace à cause du phishing. Alors que beaucoup d’entre nous pensent être suffisamment avertis pour en reconnaître toute forme, les spammeurs mettent régulièrement à jour leurs méthodes et leurs messages pour tromper leurs victimes potentielles. La réalité est que nous sommes tous constamment attaqués par des cybercriminels et la preuve en est dans votre boîte de réception.
Cet article a donc pour but de vous apprendre ce qu’est le spam, de savoir comment le reconnaître et comment vous en protéger.
Qu’est-ce qu’un spam ? Définition !
Le spam est un type de communication numérique non désirée et non sollicitée qui est envoyée en masse. Le spam est souvent envoyé par courrier électronique ; mais il peut aussi être distribué par des messages texte, des appels téléphoniques ou des médias sociaux.
Que signifie le terme « spam » ?
Le spam n’est pas un acronyme désignant une menace informatique. L’origine de l’utilisation du terme « spam » pour décrire les messages indésirables de masse est un sketch des Monty Python dans lequel les acteurs déclarent que tout le monde doit manger du « Spam » ; qu’il le veuille ou non.
De même, toute personne possédant une adresse électronique doit malheureusement être dérangée par des messages de spam ; que cela nous plaise ou non.
Les différents types de courriers électroniques non sollicités
Les spammeurs utilisent de nombreuses formes de communication pour envoyer en masse leurs messages indésirables. Certains d’entre eux sont des messages marketing non sollicités visant à vendre des produits. D’autres types de spam peuvent propager des logiciels malveillants ou vous inciter à divulguer des informations personnelles. C’est ce que l’on appelle le phishing.
Les filtres anti-spam des boites mail stoppent beaucoup de ces types de messages. Aussi, les opérateurs téléphoniques vous avertissent souvent d’un « risque de spam » de la part d’appelants inconnus. Que ce soit par courrier électronique, par texto, par téléphone ou par les médias sociaux, certains messages de spam arrivent à passer.
C’est à ce moment que vous devez être capable de les reconnaître et d’éviter ces menaces. C’est aussi à ce moment là que vous devez faire appel à un prestataire informatique spécialisé dans la cybersécurité comme EXTER pour endiguer cela.
Vous trouverez ci-dessous plusieurs types de spam dont il faut se méfier.
Emails de phishing ou d’hameçonnage
Les courriels de phishing, ou d’hameçonnage en bon français, sont un type de spam que les cybercriminels envoient à de nombreuses personnes ; dans l’espoir d’en « accrocher » quelques-unes. Les emails de phishing ont pour but d’inciter les victimes à donner des informations personnelles et/ou sensibles ; comme les identifiants de sites web ou des informations relatives aux données bancaires.
Le phishing est le type de cyberattaque le plus simple ; et, en même temps, le plus dangereux et le plus efficace. C’est parce qu’il s’attaque à l’ordinateur le plus vulnérable et le plus puissant de la planète : l’esprit humain.
Usurpation d’e-mails
Les courriels usurpés imitent un courriel provenant d’un expéditeur légitime et vous demandent d’effectuer une action quelconque. Les usurpations bien exécutées contiennent une marque, un produit et un contenu familiers ; souvent ceux d’une grande entreprise bien connue comme PayPal ou Apple. Les messages de spam d’usurpation d’adresse électronique les plus courants sont les suivants :
- Une demande de paiement d’une facture impayée ;
- Une demande de réinitialisation de votre mot de passe ou de vérification de votre compte ;
- Vérification d’achats de produits que vous n’avez pas effectués ;
- Demande de données à caractère personnel ;
- Demande de mise à jour des informations de facturation.
Escroquerie au support technique
Dans une arnaque au support technique, le message de spam indique que vous avez un problème technique et que vous devez contacter le support technique en appelant le numéro de téléphone ; ou en cliquant sur un lien dans le message. Tout comme l’usurpation d’adresse électronique, cette forme de spam indique souvent qu’il provient d’une grande entreprise technologique comme Microsoft ; ou d’une société de cybersécurité comme EXTER.
Si vous pensez avoir un problème technique ou un logiciel malveillant sur votre ordinateur, votre tablette ou votre smartphone, vous devez toujours vous rendre sur le site web officiel de l’entreprise que vous souhaitez appeler pour obtenir une assistance technique afin de trouver les coordonnées légitimes. N’hésitez pas à utiliser les moteurs de recherche pour trouver le vrai site.
L’assistance technique à distance implique souvent un accès à distance à votre ordinateur pour vous aider. Ainsi, attention à ne pas donner accidentellement cet accès à un pirate informatique.
Escroqueries liées à l’actualité
Les sujets brûlants d’actualité peuvent être utilisés dans les messages de spam pour attirer votre attention. En 2020, alors que le monde était confronté à la pandémie de Covid-19 et qu’il y avait une augmentation du télétravail, certains escrocs ont envoyé des messages de spam promettant des emplois à distance rémunérés en bitcoins.
La même année, un autre spam populaire proposait une aide financière pour les petites entreprises ; mais les escrocs demandaient finalement des coordonnées bancaires.
Les titres des journaux peuvent être accrocheurs, mais il faut s’en méfier lorsqu’il s’agit de messages de spam potentiels.
Escroqueries par avance de frais
Ce type de spam est probablement familier à tous ceux qui utilisent le courrier électronique depuis les années 90 ou 2000. Parfois appelé « prince nigérian », car c’était l’expéditeur présumé du message pendant de nombreuses années, ce type de spam promet une récompense financière … si vous fournissez d’abord une avance en espèces.
L’expéditeur indique généralement que cette avance de fonds est une sorte de frais de traitement ; ou d’arrhes pour débloquer une somme plus importante. Mais une fois que vous avez payé, il disparaît. Pour rendre les choses plus personnelles, un type d’escroquerie similaire implique que l’expéditeur se fasse passer pour un membre de la famille qui a des problèmes ; et a besoin d’argent. Mais si vous payez, le résultat est malheureusement le même.
Malspam
Abréviation de « malware spam » ou « malicious spam », le malspam est un message de spam qui diffuse un malware sur votre matériel informatique. Les lecteurs peu méfiants qui cliquent sur un lien ou ouvrent une pièce jointe se retrouvent avec un type de logiciel malveillant ; notamment un rançongiciel, un cheval de Troie, un botnet, un cryptomineur, un logiciel espion, un enregistreur de frappe, etc.
Une méthode de diffusion courante consiste à inclure des scripts malveillants dans une pièce jointe d’un type familier ; comme un document Word, un fichier PDF ou une présentation PowerPoint. Une fois la pièce jointe ouverte, les scripts s’exécutent et installent le logiciel malveillant.
Appels téléphonique et SMS non sollicités
Avez-vous déjà été contacté par un automate d’appel ; ou robocall ? Il s’agit de spam téléphonique !
Un message texte d’un expéditeur inconnu vous incitant à cliquer sur un lien inconnu ? C’est ce qu’on appelle du spam par SMS ou « smishing » ; une combinaison de SMS et de phishing !
Si vous recevez des appels et des SMS non sollicités sur votre téléphone Android ou votre iPhone, la plupart des grands opérateurs vous offrent la possibilité de signaler le spam. Le blocage des numéros est un autre moyen de lutter contre le spam mobile. En France, vous pouvez ajouter votre numéro de téléphone à Bloctel pour tenter de réduire le nombre d’appels commerciaux indésirables que vous recevez. Mais vous devez tout de même être attentif aux escrocs qui ne tiennent pas compte de cette demande.
Besoin d’un filtre anti-spam réellement efficace ?
Un devis ?
Comment faire pour supprimer les spams ?
Bien qu’il ne soit pas possible d’éviter complètement le spam, vous pouvez prendre certaines mesures pour vous protéger et éviter d’être victime d’une escroquerie ou d’un hameçonnage à partir d’un message de spam.
Apprenez à repérer le phishing spamming
Nous pouvons tous être victimes d’attaques de phishing. Nous pouvons être pressés et cliquer sur un lien malveillant sans nous en rendre compte. Si un nouveau type d’attaque par hameçonnage apparaît, nous pouvons ne pas le reconnaître facilement. Pour vous protéger, apprenez à vérifier certains signes clés indiquant qu’un message de spam n’est pas seulement dérangeant, mais qu’il s’agit d’une tentative de phishing.
L’adresse électronique de l’expéditeur : Si un courriel provenant d’une entreprise est légitime, l’adresse électronique de l’expéditeur doit correspondre au domaine de l’entreprise qu’il prétend représenter. Parfois, ces changements sont évidents, comme exemple@12345abcde.biz. Mais d’autres fois, ils sont moins perceptibles, comme exemple@paypai.com au lieu de paypal.com.
Informations personnelles manquantes : Si vous êtes un client, l’entreprise devrait disposer de vos informations et s’adressera probablement à vous par votre prénom. L’absence d’informations personnelles ne suffit pas à elle seule à repérer un courriel d’hameçonnage ; mais c’est un élément à surveiller. Surtout dans les messages qui disent provenir d’une entreprise avec laquelle vous travaillez. La réception d’un courriel indiquant que votre compte a été verrouillé ou que vous devez de l’argent est une source d’inquiétude ; et nous nous empressons parfois de cliquer sur un lien afin de résoudre le problème. S’il s’agit d’un hameçonnage, c’est exactement ce que veut l’expéditeur. Alors soyez prudent et vérifiez si l’e-mail est générique ou s’il vous est spécifiquement adressé.
Liens : Méfiez-vous de tous les liens, y compris les boutons dans un courriel. Si vous recevez un message d’une entreprise avec laquelle vous travaillez, il est sage de vous connecter à votre compte pour voir si un message s’y trouve plutôt que de cliquer simplement sur le lien dans le message ; sans vérification préalable. Vous pouvez contacter l’entreprise pour demander si un message suspect est légitime ou non. Si vous avez des doutes sur un message, ne cliquez sur aucun lien.
Les erreurs d’orthographe : Nous en faisons tous, mais une entreprise qui envoie des messages légitimes ne fera probablement pas beaucoup de fautes de ponctuation, de grammaire et d’orthographe. Ces erreurs peuvent constituer un autre signal d’alarme indiquant que l’e-mail pourrait être suspect.
Des offres trop belles pour être vraies : De nombreux messages d’hameçonnage prétendent provenir de grandes entreprises bien connues. L’objectif est de piéger les lecteurs qui font des affaires avec la société en question. D’autres tentatives d’hameçonnage offrent quelque chose de gratuit ; comme de l’argent ou un beau cadeau. On dit souvent que si quelque chose semble trop beau pour être vrai, c’est probablement le cas ; et cela peut être un avertissement qu’un message de spam essaie d’obtenir quelque chose de vous … plutôt que de vous offrir quelque chose.
Pièces jointes : À moins que vous ne vous attendiez à recevoir un courriel contenant des pièces jointes, soyez toujours prudent avant de les ouvrir ; ou de les télécharger. L’utilisation d’un logiciel anti-malware peut vous aider en analysant les fichiers que vous téléchargez à la recherche de malwares.
Comment signaler les spams ?
Les fournisseurs d’e-mails sont devenus très efficaces pour filtrer le spam. Mais lorsque des messages arrivent dans votre boîte de réception, vous pouvez effectuer un signalement. Le signalement est aussi possible pour les appels et les SMS non sollicités ; car de nombreux opérateurs vous donnent la possibilité de signaler le spam. Vous pouvez également choisir de bloquer l’expéditeur, souvent en même temps que vous signalez le message.
Le signalement du spam peut aider votre fournisseur de messagerie ou votre opérateur téléphonique à mieux le détecter. Si des e-mails légitimes sont envoyés à votre filtre anti-spam, vous pouvez signaler qu’ils ne devraient pas être marqués comme spam. Ce qui fournit également des informations utiles sur ce qui ne devrait pas être filtré. Une autre étape utile consiste à ajouter de manière proactive à votre liste de contacts les expéditeurs dont vous souhaitez recevoir les courriels.
Utilisez l’authentification à deux facteurs (2FA)
Avec l’authentification à deux ou plusieurs facteurs, même si votre nom d’utilisateur et votre mot de passe sont compromis par une attaque de phishing, les cybercriminels ne pourront pas contourner les exigences d’authentification supplémentaires liées à votre compte. Les facteurs d’authentification supplémentaires comprennent des questions secrètes ou des codes de vérification envoyés à votre téléphone par SMS.
Installez une suite logicielle de cybersécurité
Si vous cliquez sur un mauvais lien ou téléchargez un logiciel malveillant qui vous a été envoyé par spam, une bonne suite logicielle de cybersécurité reconnaîtra le logiciel malveillant ; et l’arrêtera avant qu’il ne puisse endommager votre système d’information ou votre réseau informatique. Contactez EXTER pour en savoir plus et demander une démo.
Besoin d’une suite logicielle de cybersécurité ?
Un devis ?
Spam et loi française
En 1978, la France a été le premier membre de l’UE à adopter une législation sur la protection des données. Depuis lors, la loi n’a pas été modifiée. Les organisations et les autorités estimaient que la loi était peu pratique et incomplète.
En fait, l’autorité française de protection des données est allée jusqu’à dépasser les limites de ses pouvoirs en appliquant directement la directive (plus stricte et plus complète) ; plutôt que la loi. Suite à la modification de la loi de 1978, le régime français de protection des données est désormais conforme à la directive sur la protection des données de 1995. Aussi, la Commission nationale de l’informatique et des libertés dispose désormais d’un arsenal de pouvoirs juridiques.
Aujourd’hui, en France, les expéditeurs de spam tombent également sous le coup des articles 323-1 et suivants du code pénal. Ces articles punissent « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données ».
Une base juridique est requise pour le traitement des données
Le traitement des données (qui comprend la simple collecte de données) nécessite une base juridique. Il n’est possible de traiter des données que si :
- la personne concernée a exprimé son consentement par un « acte positif » (par ex, cocher une case sur un questionnaire/une page web) ;
- le traitement est nécessaire au respect par l’entreprise de ses obligations légales ;
- le traitement est nécessaire à l’exécution d’un contrat entre l’entreprise et la personne concernée, ou à l’accomplissement de démarches préalables, à la demande de la personne concernée, en vue de la conclusion d’un contrat ;
- le traitement est nécessaire aux fins des intérêts légitimes poursuivis par l’entreprise, sauf si ces intérêts sont prépondérants par rapport aux intérêts ou aux libertés et droits fondamentaux de la personne concernée.
Les données à caractère personnel « sensibles » (c’est-à-dire les données relatives à la santé, aux origines ethniques, à l’appartenance syndicale et aux convictions religieuses ou politiques d’une personne) sont soumises à un régime plus strict. Le principe est simple : sauf dans des circonstances exceptionnelles, le consentement de la personne concernée est requis.
L’article 226-18-139 du code pénal, introduit par une loi du 6 août 2004, punit de cinq ans d’emprisonnement et de 300 000 euros d’amende un « traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale ».
Le traitement par des entités situées hors de France peut être soumis à la loi française
Une entreprise qui traite des données et qui est établie en dehors de l’UE peut néanmoins être soumise à la loi française sur la protection des données si elle utilise des équipements situés en France. Sauf si ces équipements ne sont utilisés qu’à des fins de transit par le territoire de l’UE.
La diffusion de spam commerciaux dans le cadre du droit en France
Le droit français accorde une attention particulière à l’utilisation des données à des fins de prospection et à la protection de la vie privée. Les principales dispositions de la loi s’appliquent également à l’emailing professionnel et encadrent étroitement l’envoi de messages non sollicités ; qui nécessite l’accord ou l’information préalable du destinataire. Elles comprennent également des notions obligatoires sur l’identification de l’émetteur et les modalités de désabonnement. De leur côté, la collecte et la manipulation des fichiers de contacts nécessitent une déclaration auprès du garant en France des droits numériques, la CNIL.
L’emailing soumis au consentement des destinataires
En France, l’emailing commercial se distingue du spam par une approche opt-in, fondée sur le recueil libre, loyal et éclairé du consentement des destinataires. Les cases de pré-cochées sont interdites, tandis que les modalités d’opposition doivent être précisées en détail. Les seules exceptions à ce principe concernent la prospection dans le cadre d’une relation client ; à condition que les biens et services proposés soient identiques aux achats précédents ; et les sollicitations liées aux fonctions professionnelles exercées par les destinataires.
Les règles impératives en droit français
Au-delà de ce recueil du consentement, plusieurs autres règles encadrent l’organisation de l’emailing commercial. L’expéditeur devra ainsi déclarer à la CNIL les fichiers de contacts français collectés et toujours mentionner son identité complète dans les messages. Il disposera également d’un mécanisme de retrait simple ; sous la forme d’un lien de désinscription fonctionnel.
Afin de disposer des sources d’information les plus récentes sur ces sujets, il est conseillé aux émetteurs de se renseigner auprès de leurs prestataires de campagnes d’emailing à des fins de prospection avant tout envoi.
Histoire du spam : de 1864 à aujourd’hui
Pour terminer cet article, nous vous proposons de découvrir la petite histoire du spam. L’histoire du spam commence en 1864, plus de cent ans avant Internet ; avec un télégramme envoyé en masse à un certain nombre de politiciens britanniques. Signe précurseur, le télégramme était une publicité pour le blanchiment des dents.
1978 – Premier email de spam
Le premier exemple de courrier électronique non sollicité remonte à 1978 et au précurseur d’Internet ; ARPANET. Ce spam proto-internet était une sollicitation commerciale pour un nouveau modèle d’ordinateur de Digital Equipment Corporation. Cela a marché : les gens ont acheté les ordinateurs.
Origine du mot spam
Dans les années 1980, les gens se réunissaient sur des communautés régionales en ligne, appelées babillards électroniques (BBS), gérées par des amateurs sur leurs serveurs personnels. Sur un BBS typique, les utilisateurs pouvaient partager des fichiers, afficher des avis et échanger des messages. Au cours d’échanges en ligne passionnés, les utilisateurs tapaient le mot « spam » à plusieurs reprises pour se noyer dans la masse.
Cette pratique faisait référence à un sketch des Monty Python datant de 1970. Un sketch dans lequel un mari et sa femme mangeant dans un café ouvrier découvrent que presque tout ce qui figure au menu contient du Spam. Alors que la femme se dispute avec la serveuse sur la prépondérance du Spam dans le menu, un chœur de Vikings noie la conversation avec une chanson sur le Spam.
L’utilisation du mot « spam » dans ce contexte, c’est-à-dire un message fort et ennuyeux, s’est répandue au grand dam de Hormel Foods ; le fabricant de Spam. Pour information, le Spiced Pork And Meat est une viande précuite en boîte. Elle était fournie aux soldats américains pendant la Seconde Guerre mondiale.
Sur Usenet, un précurseur d’Internet dont le fonctionnement ressemble beaucoup aux forums Internet d’aujourd’hui, le terme « spam » était utilisé pour désigner l’envoi excessif de messages multiples dans plusieurs forums et fils de discussion. Les premiers spams Usenet n’étaient pas des messages publicitaires. Ils comprenaient un tract religieux fondamentaliste, une diatribe politique sur le génocide arménien et une publicité pour des services juridiques liés à la carte verte.
Essor du spam dans les années 90
Le spam n’a véritablement commencé qu’avec l’essor d’Internet et de la communication électronique instantanée au début des années 90. Le spam a atteint des proportions épidémiques avec des centaines de milliards de courriels non sollicités qui ont submergé nos boîtes de réception.
1999 – Le virus Melissa
En 1999, Melissa, le premier virus qui se propage par le biais de documents Word contenant des macros et joints à des courriers électroniques, a été lâché sur le réseau internet. Il s’est propagé en pillant les listes de contacts des victimes et en envoyant des spams à toutes les personnes qu’elles connaissaient. Au final, Melissa a causé 80 millions de dollars de dommages ; selon le FBI.
Sanford Wallace
En l’absence de toute législation anti-spam, les spammeurs professionnels se sont fait connaître ; notamment l’autoproclamé « roi du spam » Sanford Wallace. Fidèle à son surnom, Wallace a été, à une époque, le plus grand expéditeur de spams par courrier électronique et par les médias sociaux sur des sites web comme Myspace et Facebook.
2000 – Règlementation
Ce n’est qu’au début des années 2000 que les gouvernements du monde entier ont commencé à prendre au sérieux la réglementation du spam. En particulier, tous les pays membres de l’Union européenne et la France ont mis en place des lois qui restreignent le spam.
De même, en 2003, les États-Unis ont mis en place une série de lois appelées effrontément CAN-SPAM Act. Ces lois, aux États-Unis et à l’étranger, imposent des restrictions sur le contenu, le comportement d’envoi et la conformité des désinscriptions de tous les e-mails.
Technologie de filtrage anti spam
Dans le même temps, les principaux fournisseurs d’e-mails, Microsoft et Google, ont travaillé dur pour améliorer la technologie de filtrage du spam. Bill Gates a prédit que le spam disparaîtrait d’ici 2006 … grave erreur …
Ces lois ont permis d’arrêter, de poursuivre et d’emprisonner des spammeurs, dont le « roi du spam » ; qui nous proposaient des actions cotées en bourse, de fausses montres et des médicaments douteux. En 2016, Sanford Wallace a été reconnu coupable, condamné à 30 mois de prison. Il a également été condamner à payer des centaines de milliers de dollars de dédommagement pour avoir envoyé des millions de messages de spam sur Facebook.
Malgré tous les efforts déployés par les législateurs, les services répressifs et les entreprises technologiques, nous luttons toujours contre le fléau des courriels indésirables et malveillants ; et autres communications numériques sans consentement préalable. Le fait est que le commerce du spam demande peu d’efforts de la part des spammeurs. Que peu d’entre eux vont en prison. Et qu’il y a beaucoup d’argent à gagner. Personnes morales comme personnes physiques sont concernées.
Les spam bots toujours à l’action
Dans une étude conjointe sur le spam menée par l’université de Californie à Berkeley et l’université de Californie à San Diego, les chercheurs ont observé un botnet de zombies en action et ont constaté que les opérateurs du botnet ont envoyé 350 millions de courriels au cours d’un mois. Sur ces centaines de millions d’e-mails, les spammeurs ont réalisé 28 ventes. Cela représente un taux de conversion de 0,00001 %. Cela dit, si les spammeurs continuaient à envoyer du spam à ce rythme, ils récolteraient 3,5 millions de dollars en l’espace d’un an.
Recevez votre devis personnalisé dans la journée
Dites-nous ce qu'il vous faut, on s'occupe de tout !