Le Gouvernement du Grand-Duché du Luxembourg Portail de la sécurité de l'information CASES Luxembourg
Sep Visuel - Recherche
    Rechercher
x Recherche avancée
Sep recherche - fonctions
¦ Accueil ¦ Nouveautés ¦ Glossaire ¦ Liens ¦ Vos réactions ¦ Contact ¦ ¦ Aide ¦ Index ¦ A propos du site ¦
Sep fonctions - date
  ImprimerEnvoyer à
Sep date - contenu
Actualités
Théorie
Pratique
Risques
*
Risques 2004
*
Risques 2005
arrow Risques 2006
*
Risques 2007
*
Risques 2008
Publications
Documentation

> home > Risques > Risques 2006 > CLUSIF - Panorama 2006 de la Cybercriminalité > 5. Spit : Nouvelles opportunités de spamming

5. Spit : Nouvelles opportunités de spamming

 One up

Table des matières

Tout le monde connait le spam mais peu de personnes ont déjà entendu parler du spit. C’est une nouvelle menace sur Internet, utilisant les appels téléphoniques au lieu d'envoyer des spams ; le terme spit signifie SPam over Ip Telephony et vient du verbe anglais to spit qui signifie cracher.

Le développement croissant de la téléphonie sur Internet, on parle de VoIP – Voix sur IP, IP étant le protocole de communication utilisé sur Internet (IP signifie Internet Protocol) attire l'attention des pirates quant à l'exploitation de ce nouveau moyen de communication leur permettant de diffuser leurs messages et de faire du commerce, (la téléphonie sur Internet étant de plus en plus présente auprès de particuliers et des entreprises et rappelant les premiers pas de la démocratisation des e-mails avant l'arrivée des spams).
L'objectif des spammers est de toucher le plus de personnes possible, après avoir utilisé les e-mails pour les spams, ils utiliseront très certainement la téléphonie sur Internet pour le spit.
Les possibilités de spits sont encore théoriques mais quelques cas réels ont déjà eu lieu. De plus, l'intérêt croissant du grand public vis-à-vis de la téléphonie sur Internet aura certainement pour conséquence l’augmentation des risques liés à son utilisation et incitera les pirates à s’engouffrer dans cette brèche.

Qu'est-ce-que c'est ?

On connaissait déjà une forme de spam par téléphonie traditionnelle sous la forme d'appels non sollicités (le plus souvent en fin de journée) de la part de sociétés de vente par correspondance cherchant à démarcher de nouveaux clients. Dans ce cas, les appels sont émis par des humains via la téléphonie classique.

Avec le spit, les pirates informatiques automatisent ce procédé en remplaçant les humains par des "robots" qui passent les appels via la téléphonie sur Internet. A l'image du spam, l'objectif du pirate pour le spit est d'envoyer un très grand nombre d'appels téléphoniques non sollicités vers de très nombreux internautes dans le but de vanter un produit et pour tenter de convaincre de nouveaux clients d’acheter ces produits.

De plus, le spit permet à son auteur d'envoyer très facilement et rapidement un grand nombre d'appels dans un temps très court, ce qui, au final, se révèle être très rentable.

Comme pour le spam, des outils sont disponibles sur Internet pour permettre au pirate d’émettre en quelques secondes des milliers d'appels de 30 secondes. De plus, puisque la téléphonie sur Internet est quasiment gratuite, tous les éléments sont réunis pour permettre aux pirates, via le spit, de toucher rapidement de nombreuses personnes pour un coût restreint.

Comment cela fonctionne-t’il ?

Il est possible d’illustrer simplement le fonctionnement du spit de la manière suivante :

  • L'auteur du spit enregistre un message au format MP3 à l’intention des internautes et vantant un produit à diffuser massivement,
  • Un logiciel de téléphonie sur Internet appelle des numéros de téléphone sur Internet et, au moment où le correspondant décroche, il lance la lecture du MP3 de publicité.

Le spit, tout comme le spam, ne coûte quasiment rien à son auteur et permet de toucher un très grand nombre de personnes. Cet état de fait renforce donc les auteurs de spits à utiliser cette technique pour vanter leurs produits et essayer de gagner de l'argent. Le spit utilisant des robots pour passer des appels et diffuser des messages de publicité 24 heures sur 24, ceci permet d'augmenter la masse des messages émis pour un faible coût par appel et de dégager par là-même, des marges significatives.

Impacts liés au spit

Les impacts majeurs liés au spit portent certainement atteinte à la disponibilité, allant peut être même jusqu'au Déni de Service, à la suite d'attaques massives de spits sur des serveurs de téléphonie sur Internet d'entreprises ou à l'encontre de particuliers.

On peut imaginer l'impact d'une attaque massive de type spit sur des call centers dont tous les téléphones sont reliés sur Internet : une forte interruption du service et d'importantes perturbations dans le travail d'un call center, suite aux sonneries discontinues des téléphones, empêchant de passer ou de recevoir des appels légitimes.

De même que la détection des spams parmi les messages légitimes est encore aléatoire et le risque de considérer à tort des messages légitimes comme spam et des spams comme message légitime existe bel et bien. En effet, le tri entre appels légitimes ou spits sera difficile à réaliser car à la différence des spams, le tri des spits doit se faire en temps réel, un interlocuteur légitime pouvant attendre "au bout du fil".

Quelques pistes de contre-mesure

Les chercheurs en sécurité tentent actuellement de trouver une parade au phénomène du spit avant qu’il ne se produise une explosion des attaques. Une des pistes de recherche consiste à trouver un moyen de déterminer si l'appel est émis par un humain ou par une machine afin de reconnaître les appels justifiés des appels purement publicitaires. On parle de test de Turing.

Du point de vue des contre-mesures, une idée originale consisterait, avant d'établir la communication vers son destinataire, à demander à l'auteur de l'appel de résoudre un calcul simple généré aléatoirement, par exemple combien font 3+2 ? et demander à ce que celui-ci saisisse la réponse sur son téléphone. La réponse, très facile à donner pour un être humain mais plus compliquée pour une machine, permettrait de séparer les appels émis par des machines des appels émis par des humains, même si cette solution peut paraître contraignante pour les personnes passant des appels légitimes.

Enfin, des recherches dans la biométrie permettant de distinguer une voix humaine d'une voix d'une machine ou d'une voix enregistrée permettrait de trier les appels et de constituer une base de recherche intéressante.

Moyens de protection

La protection contre le spit est plus difficile à mettre en œuvre que celle contre le spam.

Par exemple, pour détecter un spit, il est indispensable de décrocher, pour seulement ensuite déterminer s'il s'agit d'un message publicitaire ou bien d'un appel légitime.

De plus, l'analyse du contenu du message est plus difficile que pour les spams. L'analyse de la voix pour détecter s'il s'agit d'un vrai message ou d'un message publicitaire est plus difficile que l'analyse de texte, comme c'est le cas pour les mails. En effet, les technologies de reconnaissance vocale ne sont pas encore adaptées.

Ces deux points mettent en évidence le challenge que représentent la détection et l'éradication des spits.

Level Icon SOUS-RUBRIQUES
Fade
Fade 1


Haut de page


  Dernière mise à jour de
  cette page le :
  10-04-2007

Copyright © Cyberworld Awareness Security Enhancement Structure   Aspects légaux | Contact