Le blog d'Olivier FAURAX

Depuis 2 jours, les commentaires de mon blog sont spammés, c'est-à-dire que des robots ajoutent automatiquement des commentaires avec des liens vers des sites de casino en ligne ou de pharmacie phallique.

Pourquoi ? Tout simplement, pour augmenter leur visibilité sur Google ! Quand il existe beaucoup de liens vers un site, alors il est considéré comme « important » par Google et il apparaît plus souvent dans les résultats de recherche.

Bilan des attaques

Les attaques utilisent des données différentes, mais elles se ressemblent beaucoup :

• Dans le commentaire, on a plusieurs fois le motif : 2-3 mots + lien. Les liens sont soit des liens directs vers les sites, soit des liens vers des résultats de requêtes altavista, alexa mais bizarrement jamais google ni yahoo.
• Adresses de courriel plausibles : dXXp_testXXX@serveur.com (les X sont des nombres, serveur peut être aol, yahoo ou hotmail)
• Tous les autres champs sont remplis avec les mêmes mots clés
• Les adresse IP de provenance peuvent être des adresses de particuliers dont les machines ont été infectées par des virus (j'ai eu un spam provenant du japon !) ou des serveurs loués (j'ai envoyé des plaintes en Allemagne et en Hongrie). L'avantage des serveurs loués, c'est qu'on a une chance que l'hébergeur fasse respecter la loi

À propos des machines infectées, on voit dans ce cas-là que créer des virus est une activité rentable : le principe est d'infecter un certain nombre de machine sur le réseau, sans que leur propriétaire ne s'en rende compte. Ces machines sont ensuite utilisées pour être des relais pour envoyer du spam par courriel ou pour d'autres choses (comme le spam de blog ou la surcharge de serveur). Le vendeur de pilules bleues rémunère alors le spammeur en fonction du nombre de visiteurs depuis le spam et/ou du nombre de ventes.

Dans ce cas là, même les virus windows emmerdent les utilisateurs Linux et Mac.
Donc soyez sympa, mettez à jour votre système (windowsupdate), votre antivirus (il en existe des gratuits) et utilisez un pare-feu (firewall).
Ne cliquez pas sur les liens d'un spam et n'achetez JAMAIS sur un site qui vous a envoyé un spam (puisqu'indirectement, vous financez le spammeur).

On se laisse pas faire !

Bien évidemment, il ne faut pas laisser faire ce genre d'agissement.

En bon chercheur en sécurité, la première mesure, c'est la détection. Je m'appuie sur une des propriétés que j'ai évoqué juste au-dessus, couplée à une propriété spécifique de mon blog. Je vais pas tout vous dire pour pas aider les spammeurs, mais si vous me le demandez par courriel ou dans les commentaires, je vous dirai.

Ensuite, pour corriger, je contacte les fournisseurs de serveurs dédiés pour leur signaler quels sont leurs serveurs qui me spamment. Il y a clairement des hébergements qui vivent du spam et qui indiquent que la gestion des plaintes peut prendre jusqu'à 60 jours, histoire de ne pas à avoir à couper trop rapidement la connexion des spammeurs qui les font vivre.

Depuis le début de ce blog, j'avais prévu une mesure de prévention qui s'est révélée bien utile : je n'accepte pas les commentaires qui arrivent 14 jours après la publication. Je fais ça pour éviter que tout mon blog soit spammé en même temps, et aussi pour encourager les visiteurs à regarder régulièrement le blog s'ils veulent pouvoir commenter.

Les autres blogs font souvent appel à un mécanisme de captcha qui consiste à taper un mot contenu dans une image ou à répondre à une question simple. Je n'aime pas ces solutions, parce que l'utilisateur ne comprend pas forcément pourquoi on lui demande ça.

La bonne nouvelle, finalement, c'est que ce blog est donc maintenant résistant au spam.
Enfin, jusqu'à la prochaine fois, puisque la sécurité est un processus et non pas un état.