OVH renforce sa lutte contre le spam

Début 2015, OVH a entrepris une démarche responsable de lutte contre les courriers indésirables et autres abus. Adhésion aux associations Signal Spam et M3AAWG, mise en place d’une nouvelle cellule Abuse, R&D pour identifier de nouvelles manières intelligentes de combattre les comportements malveillants, l’entreprise a observé une baisse continue du nombre de spams envoyés depuis ses infrastructures. Romain Beeckman, responsable juridique, et Stéphane Lesimple, responsable de la sécurité des systèmes d’information chez OVH, reviennent sur les actions déployées par le leader européen du Digital as a Service.

La principale activité d’OVH est la fourniture d’infrastructures, qui sont autant d’outils potentiels pour les spammeurs. Depuis de nombreuses années, l’hébergeur lutte contre le spam, le phishing, etc., mais les moyens employés commençaient à montrer leurs limites, comme le souligne Romain Beeckman : « Dans un premier temps nous avons investi dans des technologies nous permettant de contrôler la sécurité de nos flux. La technologie anti-DDoS notamment, que nous avons installée à l’entrée de notre réseau, nous permet de travailler sur des volumes extrêmement importants d’attaques par déni de service et de garantir une protection optimale à nos clients, quelle que soit leur offre. En parallèle le spam fait partie de nos priorités, et à ce titre nous avons mis en place une technologie antispam permettant de bloquer les envois ou réceptions de spam depuis notre réseau. Il s’agissait d’une étape nécessaire mais néanmoins insuffisante : aujourd’hui, notre volonté est d’intégrer l’écosystème des acteurs concernés par la lutte contre le spam et les pratiques malveillantes sur le Net, le but étant de travailler tous ensemble autour d’un objectif commun. » Stéphane Lesimple, RSSI chez OVH renchérit : « Nous sommes un acteur majeur sur notre marché, et avons de ce fait le devoir de montrer l’exemple en aidant à l’éradication des botnets, du spam, du phishing, etc., sur le réseau. Nous devons travailler de pair avec l’ensemble des acteurs du Web et utiliser les technologies que nous avons développées, pour que le réseau dans son ensemble soit plus sûr. »

La technologie anti-DDoS permet à OVH de garantir une protection optimale à ses clients

50 % de spam en moins avec Signal Spam

Le groupe OVH a donc adhéré à deux associations qu’il a identifiées comme pertinentes dans la lutte contre les e-mails malveillants : Signal Spam et le M3AAWG (Messaging, Malware and Mobile Anti-Abuse Working Group).

Association française à but non lucratif, Signal Spam regroupe des autorités publiques comme la CNIL, des associations professionnelles, des internautes et des entreprises. « D’ailleurs, certains clients et partenaires d’OVH, dont Mailjet ou Vade Retro notamment, font partie de l’association. Notre adhésion à Signal Spam prend donc tout son sens, puisque dans la lutte contre le spam, nous sommes finalement le relai entre l’association, nos clients, et les clients de nos clients », commente Romain Beeckman.

Mais quels sont les gains à travailler avec Signal Spam ? Jusqu’alors, les signalements de spams ou de phishing étaient transmis à OVH par les fournisseurs d’accès à Internet ou de messagerie, ou via la plateforme Abuse. Mais l’une des grandes difficultés dans la lutte contre ces courriers indésirables est d’obtenir des signalements complets, un grand nombre d’entre eux ne comportant pas toutes les informations utiles à OVH afin de pouvoir retracer le parcours de l’e-mail et d’identifier de quelle infrastructure client il provient. Il y a plusieurs raisons à cela : le tiers ne souhaite pas communiquer l’intégralité des informations utiles pour ne pas divulguer les données personnelles de ses clients, ou le signalement est techniquement incomplet, ce qui ne nous permet pas de déterminer l’infrastructure client posant problème, ou encore il est difficile d’identifier les informations essentielles car elles ne sont pas communiquées dans un format standard, le particulier signalant le spam ignorant comment reporter l’e-mail de manière globale. Dans ces cas-là, il est difficile d’agir au plus vite.

« Les 350 000 internautes adhérents à Signal Spam disposent d’un plug-in intégré à leur messagerie*. Lorsqu’ils reçoivent un e-mail frauduleux, ils peuvent le transmettre à l’association dans son intégralité, directement via ce plug-in. Elle analyse ensuite les données, regroupe les informations, les signalements identiques, et les met à notre disposition », détaille Stéphane Lesimple. OVH obtient ainsi des données très complètes, lui permettant d’agir bien plus rapidement en contactant les clients dont les campagnes d’e-mails ont fait l’objet d’un grand nombre de signalements : « Nous les invitons à revoir leur business model, ou à clarifier leur politique de d’envoi d’e-mails et de gestion des désinscription notamment. Si la situation n’évolue pas après plusieurs avertissements, nous n’hésitons pas à nous séparer des clients qui ne respectent pas nos termes contractuels, de même lorsqu’ils ne sont pas suffisamment vigilants quant à la sécurité de leurs machines », précise Romain Beeckman. En six mois de coopération avec l’association française, OVH a réduit de 50 % le nombre de plaintes notifiées à Signal Spam en provenance de ses infrastructures.

Stéphane Lesimple, responsable de la sécurité des systèmes d’information chez OVH

Intensification de la lutte à l’échelle internationale avec le M3AAWG

OVH a également intensifié sa lutte contre le spam à l’échelle internationale à travers son adhésion au M3AAWG, qui regroupe un grand nombre d’acteurs nord-américains et européens. « On y retrouve, entre autres, Apple, Blue Ocean, Facebook, Google, Orange, Mailjet, PayPal, Rackspace, Signal Spam, Time Warner, Vade Retro, et beaucoup d’autres », détaille Stéphane Lesimple. Le groupe de travail n’est pas uniquement orienté contre le spam, mais combat également d’autres types d’abus, comme le phishing, les malwares, les botnets, les virus ou encore les attaques DDoS.

En adhérant au M3AAWG, OVH a pu développer une relation de confiance avec divers membres, comme par exemple Spamhaus. Avec pour résultat l’optimisation du temps de traitement des signalements, l’identification et le traitement de ses clients à l’origine d’un grand nombre de rapports de spam. Là encore ce travail s’est avéré concluant, puisqu’OVH ne fait désormais plus partie du top 10 des ISP (Internet Services Providers) hébergeant des spammeurs, tenu par Spamhaus.

En créant un canal de communication privilégié avec ces professionnels du numérique, OVH reçoit des informations pertinentes et vérifiables via leurs bases de données. L’entreprise dispose ainsi d’éléments de comparaison avec les signalements qu’elle reçoit depuis sa plateforme Abuse et peut évaluer l’efficacité des mesures qu’elle prend.

Améliorer la détection et le traitement des incidents

L’ambition d’OVH est également d’améliorer la manière dont sont traités les signalements sur sa plateforme Abuse. « Ce service est capital au sein d’OVH, car il est transversal et concerne l’ensemble de nos produits et services, assure Stéphane Lesimple. Nous ne pouvons pas le négliger, autrement nous pourrions mettre la sécurité de nos clients en danger. »

Une nouvelle équipe a d’ailleurs été créée début 2015, bénéficiant de nouveaux outils et de nouvelles technologies. Cette cellule Abuse emploie des collaborateurs en France et au Canada, afin d’assurer une couverture horaire maximale. Cette cellule regroupe différents niveaux d’expertise, y compris des experts en sécurité informatique qui effectuent des analyses fines de botnets, identifient des schémas types de comportement, notamment de moyens de communication entre des machines compromises et des serveurs de contrôle de botnets (C&C). Ils traitent également des rapports d’incidents, que ces derniers viennent de la plateforme de signalement Abuse, de partenaires externes, ou de systèmes de détection interne. Ils identifient les similitudes entre différents cas pour établir une typologie qui pourrait permettre aux équipes d’OVH d’être plus proactives sur les comportements à risques. « Cela nous permet d’améliorer la détection et le traitement des incidents, ajoute Stéphane Lesimple, nous n’allons plus simplement traiter des cas que l’on nous signale, mais détecter les signaux faibles afin de pouvoir nous en occuper en amont, avant même qu’un internaute ne nous les signale ».

Il poursuit : « Il y a deux manières de traiter la problématique de l’Abuse. La première est la plus simple et aussi la plus couramment utilisée : trier systématiquement les clients sur le volet. Il s’agit de faire des vérifications préalables à la commande, comme par exemple vérifier l’existence de l’adresse postale du client par un envoi de courrier. Souvent, cette technique est aussi couplée à la mise en place d’un prix plancher : si par exemple une entreprise ne propose que des services relativement coûteux, à haute valeur ajoutée, elle aura en général peu de problèmes d’Abuse. Mais cette technique n’est pas compatible avec OVH. En effet, notre ADN est d’être non seulement innovants, mais aussi de proposer ses innovations au prix le plus juste, pour que tout un chacun puisse en tirer parti. Il est très facile, en quelques clics même un dimanche à 4 h du matin, de monter une infrastructure chez OVH pour tester une idée ou un concept. Et cela vaut tant pour une personne légitime que pour une personne aux intentions douteuses, c’est pourquoi il nous est primordial d’avoir une équipe Abuse très efficace. Ce n’est pas un bug, c’est une fonctionnalité : nous voulons être la catapulte qui permet aux entrepreneurs de mettre leurs idées en orbite et de créer de la valeur en s’appuyant sur ce qu’OVH sait faire, c’est à dire fournir des infrastructures évolutives qui sont les fondations des services que façonnent nos clients. Tout le challenge pour notre équipe est de détecter les utilisations illégitimes de nos produits le plus rapidement possible, sans pour autant mettre des bâtons dans les roues aux clients légitimes. »

La recherche et développement au service d’un Internet plus sûr

Et OVH a d’autres idées pour l’avenir, comme la détection des problèmes non seulement sur les infrastructures d’OVH, mais aussi sur celles d’autres acteurs du marché : « Certains botnets peuvent être en partie hébergés chez nous et en partie chez d’autres. Notre équipe Abuse pourra donc être amenée à contacter les équipes similaires d’autres hébergeurs pour leur présenter le résultat de nos analyses. Notre idée étant que tout ce qui englobe la lutte contre le spam, les malwares, etc., ne connaisse pas de frontières », conclue Stéphane Lesimple.

La nouvelle plateforme interne de réception, d’analyse et de traitement des plaintes, utilisée quotidiennement par l’équipe Abuse d’OVH, est toujours en développement et en constante amélioration. Une fois qu’elle sera suffisamment aboutie, cette interface devrait même être partagée par OVH en open source afin de permettre au plus grand nombre de bénéficier du travail des équipes de l’hébergeur.


* Ce plug-in est disponible pour les clients de messagerie Thunderbird et Outlook. De nouveaux plugins pour Mail (Mac) et les navigateurs Chrome, Safari et Firefox compatibles avec la majorité des grands webmails seront également proposés avant la fin de l’année 2015.

Article précédent

Non, PHP n’est pas mort !