« Two years from now, spam will be solved ». Bill Gates aurait peut-être dû réfléchir à deux fois avant de faire une telle prévision lors du forum économique mondial de Davos en 2004… Le spam a continué à progresser fortement en 2006 : selon certaines sources, il représenterait désormais 90 % des mails échangés, contre 45 % en 2004. Il pourrait même atteindre 99 % du trafic courriel en 2007 ! Les principaux émetteurs de spam dans le monde restent les États-Unis et la Chine (le tiers du spam mondial à eux deux). La France serait le troisième pays pourvoyeur de spam, apparemment du fait de nombreux PC mal protégés dont les spammeurs prendraient le contrôle à distance (PC zombies). Elle serait aussi le premier pays d’Europe concernant la réception de spams.
Concernant l’objet des spams, la pornographie est maintenant largement distancée par les pharmacies en ligne, les jeux en ligne, la vente d’articles de contrefaçon et le recrutement de « mules » (intermédiaires utilisés lors d’opérations de blanchiment d’argent). L’année 2006 a aussi été marquée par une forte augmentation des « stock spams » incitant à l’achat d’actions boursières dans l’objectif de gonfler artificiellement leur cours (technique également appelée « pump and dump », car ce cours s’écroule bien souvent après l’opération frauduleuse).
Classement trimestriel Sophos des douze principaux pays émetteurs de spam[1]
Le spam coûte cher aux entreprises en termes de bande passante utilisée et d’espace de stockage, sans compter le temps nécessaire à le détruire. L’ITU évalue à 25 milliards de dollars par an le coût lié à ce phénomène. Conséquence de cette explosion de spam, les adresses électroniques deviennent de plus en plus des adresses jetables : les internautes en changent dès qu’elles sont saturées de spams. Cette évolution commence aussi à inquiéter les sociétés qui pratiquent l’E-mail marketing de manière légale : le message commercial de leurs campagnes publicitaires se dégrade régulièrement. D’après une étude fin 2006, seuls 35 % des E-mails étaient ouverts par leurs destinataires et seuls 3 % des liens commerciaux étaient cliqués.
Les techniques des spammeurs se sont développées en 2007, en particulier au moyen du « spam image » consistant à placer le message publicitaire dans une image numérique plus difficile à filtrer que le texte. Cette technique représenterait désormais un tiers du spam total. En septembre 2006, la société Panda Software a détecté le premier spam subliminal, un spam boursier affichant une série d’images de quelques millisecondes contenant le mot « Buy ». De manière générale, il semble que le spam se professionnalise et soit désormais entre les mains d’organisations criminelles internationales très organisées.
Les techniques de lutte contre le spam progressent également. Le « grey listing » est une nouvelle technique consistant à demander aux serveurs de messagerie de différer leurs envois de quelques minutes : elle vise ainsi à gêner les émissions massives de spam en minimisant les retards occasionnés sur le courrier électronique standard. La technique de Turing oblige l’émetteur d’un E-mail à s’identifier manuellement, dans le but de distinguer s’il s’agit d’un être humain ou d’un ordinateur. La technologie « Sender ID » de Microsoft utilise une liste blanche de serveurs sains ; n’ayant pu la faire valider par l’IETF, la firme de Redmond la met désormais à disposition sans licence. Certains organismes ont également mené des actions plus violentes à l’égard des spammeurs, mais parfois à leurs propres risques et périls ! Ainsi Blue Frog lançait-il, après plusieurs avertissements, des attaques contre les sites identifiés de spammeurs. Attaqué en retour en avril 2006 il a cependant dû renoncer, mais l’idée a été reprise par le projet Open Source FrogNet qui devrait être plus solide grâce à une architecture Peer-to-Peer.
La lutte s’organise aussi sur le plan de la réglementation internationale, à l’OCDE (groupe de travail contre le spam, boîte à outils anti-spam) et à l’ITU (réunion en septembre 2006 consacrée aux mécanismes de coopération en matière de cybersécurité et de lutte contre le spam). En France, le gouvernement a créé dès 2003 le groupe de contact, plateforme de concertation entre acteurs publics et privés concernés par la lutte anti-spam et animée par la Direction du développement des médias, puis l’association « Signal Spam ». Cette association a lancé en 2006 le site Web signal-spam.fr, centre de ressources sur la lutte contre le spam permettant par ailleurs aux internautes de signaler les spams reçus (à l’image de l’opération « Boîte à spam » de la CNIL en 2002). L’AFA (Association des Fournisseurs d’Accès et de Services Internet) a également publié en mai 2006 un ensemble de recommandations visant à limiter les PC zombies, qui seraient à l’origine de 50 à 80 % de l’ensemble du spam en circulation.