La défense de la boîte de réception

On estime qu’en 2005, 60 milliards de courriels non sollicités circuleront chaque jour dans le monde. Il est donc grand temps d’activer votre stratégie antipourriel.

par Yvan Marston

Il est absolument inacceptable de recevoir des courriels indésirables envoyés en vrac et dont l’objet affiche la mention « Remède contre les pourriels ». C’est un peu comme si deux hommes faisaient irruption dans votre bureau, renversaient une étagère remplie de livres et s’excusaient du bout des lèvres, avant de se lancer dans une analyse approfondie de vos besoins de protection. Et cela illustre clairement le problème fondamental du pollupostage : la prise en otage d’un outil précieux pour l’entreprise.

De l’avis de Jack Sebbag, directeur général et vice-président canadien de Network Associates : « Le pollupostage est devenu bien plus qu’un simple embêtement. La résolution de ce problème croissant constitue désormais l’une des priorités des directeurs des technologies de l’information partout dans le monde. »

La société Network Associates s’est surtout fait connaître grâce à son logiciel antivirus McAfee. Elle estime que 50 % des messages courriel qui sont acheminés à l’échelle mondiale sont des envois non sollicités, inutiles et souvent de mauvais goût.

La maison de recherche Gartner Inc. prévoit que la situation se détériorera encore davantage d’ici le milieu de l’an prochain, car le pollupostage devrait alors représenter 60 % de tout le trafic courriel, selon une étude publiée à la fin septembre. Et si la tendance se maintient, dans deux ans, on dénombrera quotidiennement quelque 60 milliards de pourriels en circulation à travers le monde.

Coûts essentiels et coûts accessoires

Indépendamment de la nature frauduleuse de la plupart des pourriels, les courriels commerciaux non sollicités constituent en soi un vol. En effet, le pollupostage ralentit le réseau et oblige les entreprises à investir dans la mise à niveau de leurs serveurs, dont la surcharge est souvent attribuable au traitement des pourriels, comme l’explique M. Sebbag.

Celui-ci ajoute qu’il faut également compter certains coûts accessoires, notamment le temps que consacre l’employé à supprimer les pourriels ou, pire, à ouvrir ces messages ou même à les lire, ce qui représente une perte de productivité. MessageLabs, fournisseur de services de messagerie électronique gérés, estime que le pollupostage coûte aux entreprises du Royaume-Uni l’équivalent de 1 000 $ par employé en temps perdu.

« Il existe un seuil de tolérance, affirme Neil Schwartzman, président de l’organisme canadien Coalition Against Unsolicited Commercial Email. Certains toléreront jusqu’à 50 % de pourriels, tandis que d’autres iront jusqu’à 90 %.  Mais je crois qu’au-delà d’un seuil donné, les entreprises décideront tout simplement de cesser d’utiliser le courriel. Or, nous risquons de perdre ainsi un excellent outil d’affaires. »

La lutte au pollupostage est d’autant plus difficile que, malgré toutes les mentions ridicules et les promesses futiles que comportent ces messages, il semble bien qu’on s’y laisse prendre. Par exemple, l’escroquerie qui consiste à demander votre numéro de compte bancaire afin que puissent y être versées des sommes importantes en provenance du Nigéria, devrait rapporter à ses auteurs quelque 2,6 milliards de dollars cette année — ce qui en fera la deuxième activité commerciale d’importance dans ce pays (si tant est qu’il s’agit bien de son pays d’origine).

Pour récupérer les précieuses ressources technologiques de votre entreprise, vous aurez avantage à lutter sur deux fronts. Le premier concerne l’éducation et la prévention, tandis que le second consiste à mettre en œuvre une solution de filtrage des pourriels.

Sécurisez vos pratiques de navigation

« Apprendre à bien se comporter sur Internet, voilà un excellent moyen de réduire le nombre de pourriels reçus », explique Darryl Lowe, directeur du service à la clientèle chez Quartet, société torontoise de conseil en gestion des TI.

Les auteurs de pourriels étant constamment à la recherche d’adresses électroniques, il faut donc, selon M. Lowe, d’abord supprimer dans le site Web de l’entreprise toutes les coordonnées superflues de personnes-ressources qui y figurent.

 Si vous devez télécharger un logiciel et qu’on vous demande de fournir une adresse électronique, essayez de donner une adresse fictive du genre lapaix@pasdepourriel.com. S’il vous faut fournir une adresse valide, soit pour vous acheminer une facture ou le mode d’emploi du logiciel, alors M. Lowe recommande d’utiliser ce qu’il appelle une adresse « jetable ».

« La plupart des fournisseurs d’accès Internet à domicile permettent à l’utilisateur de créer jusqu’à cinq adresses, explique M. Lowe. Il suffit donc d’en créer une deuxième, qui sert alors d’adresse jetable, et de l’utiliser pour les transactions en ligne; c’est probablement à celle-ci que seront envoyés la plupart des pourriels. »

Solution de sécurité

Environ 34 états américains et quelques pays ont adopté une loi antipourriel. C’est un bon point de départ; cependant, tant que tous les pays ne poursuivront pas en justice les auteurs de pourriels, toute législation à l’échelle internationale restera inefficace, étant donné que le pollupostage peut provenir de n’importe où.

« En outre, explique Greg Jensen de la société Computer Associates, la plupart des pourriels ne proviennent pas d’entreprises respectueuses des lois. Leurs auteurs se moquent de l’aspect moral d’une telle pratique. »

À titre de directeur de la gamme de produits de sécurité logicielle eTrust chez Computer Associates, M. Jensen remarque que les budgets affectés aux TI commencent à prendre en compte les stratégies antipourriel, ce qui se traduit essentiellement par l’achat et la mise en œuvre d’un système de filtrage des pourriels.

Comme l’explique M. Jensen, il existe au sein d’une entreprise différents endroits stratégiques où l’on peut filtrer les pourriels. On peut d’abord confier au fournisseur d’accès Internet (FAI) le mandat de filtrer et d’éliminer les pourriels avant qu’ils ne parviennent aux postes de travail. Le personnel des TI peut être chargé de filtrer les messages reçus au niveau de la passerelle de l’entreprise ou encore les traiter dans la zone d’échanges ou sur le serveur de notes. Enfin, on peut aussi installer sur chaque poste de travail une application de filtrage pour que les différents ordinateurs filtrent eux-mêmes les pourriels. (Bon nombre de logiciels de courrier électronique comportent des ensembles de règles qui, bien appliquées, peuvent réduire considérablement la congestion du poste de travail résultant de l’afflux de pourriels.)

M. Jensen préconise le filtrage à un niveau élevé, en utilisant le FAI et la passerelle de l’entreprise comme barrières; cette stratégie libère les systèmes internes de l’entreprise, tout en garantissant une mise en œuvre plus détaillée et plus universelle de la solution.

Un contenu en litige

Infiniment plus complexe qu’un simple logiciel antivirus, le filtrage antipourriel est relativement nouveau et, par conséquent, la plupart des filtres sont un amalgame de plusieurs technologies différentes. Les listes RBL (Realtime Black List) constituent la principale technologie employée dans les filtres pour vérifier les renseignements sur l’expéditeur, en les comparant à une liste de pseudonymes des auteurs connus de pourriels.

Bon nombre de solutions y ajoutent des moteurs capables d’effectuer des analyses statistiques permettant de calculer la probabilité qu’un message soit un pourriel d’après son contenu. Le filtre attribue au message une cote déterminée par la présence de mots qui figurent sur la liste noire, comme « Viagra », puis décide s’il doit le bloquer ou non. L’un des principaux problèmes des filtres concerne justement leur taux élevé de faux positifs, c’est-à-dire les cas où un message est faussement classé parmi les pourriels.

Or, aux yeux de certains utilisateurs, la perte d’un courriel important est bien pire que le fait de recevoir 25 messages pornographiques. La réduction du taux de faux positifs représente donc le véritable défi que doivent relever les concepteurs de filtres antipourriel. Certains filtres comportent une fonction de quarantaine, qui permet de visualiser périodiquement les messages pour lesquels le filtre n’arrive pas à déterminer avec certitude s’il s’agit effectivement de pourriels.

En dépit de leurs faiblesses, les dispositifs de filtrage des pourriels représentent en fait la solution la plus immédiate et nécessaire à ce fléau qui s’est abattu sur le courriel. À court terme, les lois ont fort peu de chances de régler quoi que ce soit et, au rythme où il progresse, le problème du pollupostage n’a que faire du long terme.

Tandis que la tempête pointe à l’horizon virtuel, une chose est certaine : les entreprises doivent examiner leur protection contre le pollupostage et gérer ce problème de façon stratégique.

Yvan Marston est journaliste pigiste à Toronto.

Les cinq principaux conseils pratiques pour la gestion des pourriels:

1. Réduire le nombre d' adresses électroniques affichées dans votre site Web.
2. Utiliser une adresse distincte pour les transactions en ligne.
3. Familiariser votre organisation avec le recours au filtrage des pourriels.
4. Peaufiner le système de filtrage pour qu'il soit bien adapté à votre environnement bureautique.
5. Rester vigilant en assurant une mise à jour régulière de ces systèmes.

Haut