SAN FRANCISCO, le 30 novembre 2017 (GLOBE NEWSWIRE) - Suite à une augmentation de l'activité dite de « bombardement de messagerie », le groupe de travail portant sur les infractions en matière de messagerie, de logiciels malveillants et de téléphonie mobile recommande à tous les blogs et sites Web comportant une lettre d'information ou un formulaire d'inscription d'ajouter un nouvel en-tête à leurs courriels de vérification afin de permettre d'identifier et de perturber ces attaques. La tactique d'agression est souvent utilisée pour cacher des alertes de sécurité en cas d'activités illicites ou pour empêcher quelqu'un, tel qu'un journaliste, de recevoir des informations importantes.

Dans ces attaques, également appelées attaques par inscription via un formulaire en ligne, les criminels utilisent des robots pour inscrire leurs victimes potentielles à des milliers de bulletins d'information ou d'autres services qui envoient automatiquement des courriels de vérification. La surabondance de courriels de confirmation qui en résulte crée une attaque DDoS (Distributed Denial of Service, ou refus de service distribué) contre les boîtes de réception des utilisateurs. Très souvent, un message d'une société émettrice de cartes de crédit ou d'une autre institution financière, au milieu d'un nombre considérable et non gérable de messages de vérification, indique une transaction falsifiée ou une alerte de réinitialisation de mot de passe que la victime ne verra jamais.

« Il y a quelques années, une abondance de messages de vérification inutiles bombardant la boîte de réception d'un utilisateur constituait un événement isolé et était probablement le résultat d'une rancune contre quelqu'un. Mais aujourd'hui, les criminels ont commencé à utiliser ces attaques pour neutraliser les notifications de sécurité que de nombreuses banques, services et e-commerçants envoient désormais. Leur but est de submerger le courriel d'alerte spécifique comportant les détails de leurs activités frauduleuses noyés dans des messages dénués de sens ou de refuser à un journaliste ou à un activiste tout accès à sa messagerie », explique Severin Walker, Président du Conseil d'administration du M3AAWG.

Une collaboration au sein du secteur permet de définir un projet d'en-tête Internet pour l'IETF

La nouvelle spécification d'en-tête de message a été soumise à l'IETF (Internet Engineering Task Force) à l'adresse https://datatracker.ietf.org/doc/draft-levine-mailbomb-header/ et est expliquée dans un court document, intitulé Recommandation du M3AAWG sur les attaques au formulaire d'inscription en ligne (www.m3aawg.org/WebFormAttacks), disponible dans la section des meilleures pratiques du site Web du M3AAWG. Le nouvel en-tête identifie spécifiquement les courriels de vérification provenant d'un formulaire en ligne, comme un courriel de confirmation d'abonnement, afin que les FAI et les fournisseurs de messagerie puissent prendre des mesures pour protéger la boîte de réception d'un utilisateur lorsqu'un volume extraordinairement élevé de tels messages envahit ses réseaux.

Le M3AAWG recommande également que tous les formulaires d'abonnement public et en ligne installent l'un des différents types de vérification d'image ou de texte CAPTCHA utilisés pour informer les êtres humains des inscriptions automatisées et qui sont facilement disponibles. Cela permettra de se protéger des robots abusant des courriels de vérification du site lors d'une attaque.

Le concept d'en-tête résulte de discussions menées lors de la réunion du M3AAWG qui s'est tenue en juin, par des membres qui ont noté une augmentation significative de ces attaques. Une séance technique ad hoc lors de la réunion avec les membres de différents segments du secteur de la messagerie a abouti à la rédaction du cahier des charges par John Levine, conseiller technique principal de M3AAWG. Lors de la réunion suivante en octobre, les premiers membres à mettre en oeuvre la nouvelle spécification ont partagé leurs expériences et estimé que le processus était durable.

M. Levine déclare : « Les fraudeurs utilisent couramment des robots pour explorer le Web mondial à la recherche des millions de formulaires d'inscription à des blogs et bulletins d'information qui n'utilisent pas de CAPTCHA, et profiter ensuite des failles de ces sites en matière de sécurité pour inscrire les victimes à une attaque. Le nouvel en-tête est un autre niveau de protection qui peut avoir un impact significatif sur la prévention des bombardements de messagerie et nous encourageons les fournisseurs de services de messagerie à le mettre en oeuvre le plus rapidement possible. »

Les attaques par formulaire Web feront encore l'objet de débats lors de la prochaine réunion du M3AAWG qui aura lieu du 19 au 22 février 2018 à San Francisco. Cet événement multi-thèmes devrait attirer plus de 500 participants avec des sessions abordant divers sujets tels que les pratiques d'atténuation des robots, les infractions sur les réseaux sociaux, les infractions dans le domaine de la téléphonie mobile et les projets de législation dans le monde entier.

À propos du groupe de travail portant sur les infractions en matière de messagerie, de logiciels malveillants et de téléphonie mobile (M3AAWG)

Le groupe de travail portant sur les infractions en matière de messagerie, de logiciels malveillants et de téléphonie mobile (M3AAWG) est ce qui permet à l'industrie de se réunir afin de travailler pour lutter contre les robots, les logiciels malveillants, les spams, les virus, les attaques par déni de service et autres opérations en ligne. Les membres du M3AAWG (www.m3aawg.org) rassemblent plus d'un milliard de boîtes aux lettres issues de certains des plus grands opérateurs de réseaux dans le monde. Le groupe de travail exploite les connaissances et l'expérience de ses membres à l'échelle mondiale pour lutter contre les infractions sur les réseaux existants et sur les nouveaux services émergents grâce à des initiatives en matière de technologie, de collaboration et de politiques publiques. Il travaille également à éduquer les dirigeants politiques mondiaux sur les questions techniques et opérationnelles liées aux infractions en ligne et à la messagerie. Le M3AAWG, dont le siège social se trouve à San Francisco, en Californie, est guidé par les besoins du marché et soutenu par les principaux opérateurs de réseaux et fournisseurs de services de messagerie.

Contact Presse : Linda Marcus, APR, +1-714-974-6356 (U.S. Pacific), LMarcus@astra.cc, Astra Communications

Conseil d'administration du M3AAWG : AT&T ; Cloudmark, Inc. ; Comcast ; dotmailer ; Endurance International Group ; Facebook ; Google; LinkedIn ; Mailchimp ; Microsoft Corp. ; Oath (Yahoo et AOL) ; Orange ; Rackspace ; Return Path ; SendGrid, Inc. ; Vade Secure.

Membres à part entière du M3AAWG : 1&1 Internet AG ; Adobe Systems Inc. ; Agora, Inc. ; AOL ; Campaign Monitor Pty. ; Cisco Systems, Inc. ; CloudFlare ; Exact Target, Inc. ; IBM ; iContact ; Inteliquent ; Internet Initiative Japan (IIJ) ; Liberty Global ; Listrak ; Litmus ; McAfee ; Mimecast ; Nominum, Inc. ; Oracle Marketing Cloud ; OVH ; PayPal ; Proofpoint ; Spamhaus ; Sparkpost ; Splio ; Sprint ; Symantec et USAA.

Une liste complète des membres est disponible sur http://www.m3aawg.org/about/roster.



This announcement is distributed by Nasdaq Corporate Solutions on behalf of Nasdaq Corporate Solutions clients.
The issuer of this announcement warrants that they are solely responsible for the content, accuracy and originality of the information contained therein.
Source: Messaging Anti-Abuse Working Group (M3AAWG) via Globenewswire

Partager
© GlobeNewswire - 2017