L’inondation de courriels indésirables, communément appelés spams, est un fléau numérique omniprésent, et les tentatives de cyberattaques gagnent en complexité. Que votre boîte de réception soit progressivement envahie par ces messages non sollicités ou que vous soyez soudainement confronté à un déluge, il est devenu essentiel de mettre en œuvre des stratégies pour prévenir et limiter la réception de tels e-mails.
La première étape consiste à comprendre les méthodes employées par les expéditeurs de spams pour obtenir votre adresse courriel.
Le spam en chiffres
La prolifération des spams est un phénomène en constante progression, en particulier aux États-Unis (et dans la majorité des pays). Mais quelle est l’étendue de cette menace pour un utilisateur moyen ? Afin de mieux saisir l’ampleur du problème, voici quelques données récentes illustrant la dimension du spam :
- En 2022, 49 % des courriels envoyés ont été considérés comme des spams, un chiffre en légère augmentation par rapport aux 45,5 % de 2023, mais bien inférieur aux 80 % enregistrés en 2011. (Statistique)
- Les spams à caractère publicitaire ou marketing représentent 36 % du total, suivis de près par les contenus pour adultes, qui comptent pour 31,7 %. (Mailmodo)
- Environ 2,5 % des spams sont classés comme tentatives d’escroquerie ou de fraude, avec l’usurpation d’identité comme principal objectif dans 73 % des campagnes malveillantes. (Mailmodo)
- Les expéditeurs de spams peuvent engranger en moyenne 7 000 $ par jour. (Mailmodo)
- L’usurpation d’identité est l’objectif principal de 73 % des campagnes de spams malveillants. (Mailmodo)
- Les attaques par hameçonnage ont engendré des pertes moyennes de 14,82 millions de dollars pour les entreprises en 2021. (Point de preuve)
- Les États-Unis sont le pays le plus touché par les spams, avec environ 8 milliards de messages indésirables reçus chaque jour. (Statistique)
Ces données indiquent que près de la moitié des courriels envoyés sont considérés comme des spams, la majorité étant constituée de messages publicitaires ou marketing non sollicités. Heureusement, seulement 2,5 % des spams sont des tentatives d’escroquerie ou de fraude, mais ce faible pourcentage génère d’importants bénéfices pour les cybercriminels.
Crédit image : Mailmodo
En somme, la plupart des spams sont plus une nuisance qu’une menace réelle. Toutefois, si votre adresse courriel tombe entre de mauvaises mains, le risque d’escroquerie et de fraude augmente significativement. La question demeure cependant : comment expliquer l’abondance de spams que vous recevez ?
1. Votre adresse courriel est publiée en ligne
C’est sans aucun doute l’une des raisons les plus évidentes pour lesquelles un spammeur peut mettre la main sur votre adresse courriel : vous l’avez rendue accessible publiquement sur Internet. Les expéditeurs de spams utilisent des robots qui parcourent le Web à la recherche du symbole « @ » pour constituer des listes de diffusion massives.
Si votre adresse courriel est visible n’importe où sur le Web (votre site web, vos profils sur les réseaux sociaux, etc.), les spammeurs l’ont probablement déjà repérée.
2. Une entreprise a vendu votre adresse courriel
Malheureusement, les lacunes des réglementations relatives à la confidentialité permettent aux entreprises de vendre légalement votre adresse courriel. Si vous les autorisez à partager vos données lors de votre inscription à un service quelconque (lisez toujours attentivement la politique de confidentialité et les conditions générales), ils peuvent légalement céder votre adresse courriel et d’autres informations au plus offrant. Ces entreprises peuvent tirer un profit considérable de la vente de grandes quantités de données.
La situation devient plus obscure lorsqu’une autre entreprise avec laquelle vous n’avez jamais eu de relation commerciale commence à vous envoyer des courriels non sollicités. Les entités qui achètent des listes de diffusion à cette fin ne sont généralement pas très regardantes sur le respect des règles. Si un flot de spams commence soudainement à envahir votre boîte de réception, il y a de fortes chances que quelqu’un ait vendu votre adresse courriel.
3. Une entreprise détentrice de votre adresse courriel a été piratée
Les entreprises peuvent involontairement compromettre vos données en cas de piratage ou de fuite de données. Des réglementations sur la confidentialité telles que la CCPA imposent des obligations renforcées aux entreprises pour la protection de vos données. Cependant, les cyberattaques trouvent constamment de nouvelles méthodes pour contourner les mesures de sécurité.
Dans la mesure du possible, limitez le nombre d’entreprises auxquelles vous donnez accès à vos données et essayez de garder une trace des entreprises avec lesquelles vous interagissez. Si vous cessez d’utiliser les services d’une entreprise ayant accès à votre adresse courriel et à d’autres données personnelles, vous avez la possibilité de demander la suppression de ces informations.
4. Votre compte de messagerie a été piraté
Si des pirates parviennent à accéder à votre compte de messagerie, ils peuvent vous inscrire à un grand nombre de newsletters et d’abonnements malveillants. Cela peut inonder votre compte de spams et de courriels nuisibles, dont certains peuvent même se retrouver dans votre boîte de réception s’ils sont présentés comme des inscriptions légitimes.
Capture d’écran par Aaron Brooks, aucune attribution requise
Les pirates peuvent également utiliser votre compte pour accéder à votre liste de contacts. Avec cet accès, ils peuvent envoyer des spams à votre nom à toutes les personnes figurant dans votre carnet d’adresses. Ils peuvent également exporter l’ensemble de vos contacts et tenter de pirater chacun d’entre eux à l’aide de programmes automatisés, comme des attaques par force brute ou par dictionnaire (nous y reviendrons dans un instant).
Protéger votre compte contre le piratage vous aidera à éviter certains des pires cybercrimes, comme le vol d’identité. Cependant, vous pouvez toujours être victime de spams si les comptes de messagerie de vos contacts sont compromis. Si vous commencez à recevoir des messages indésirables de la part de vos amis et de votre famille, il est fort probable que leurs comptes aient été piratés.
À première vue, ces courriels semblent provenir de personnes que vous connaissez. Il s’agit d’une méthode efficace pour contourner les filtres anti-spam, d’autant plus que vous êtes susceptible d’ouvrir les courriels provenant d’un contact connu.
Cela rend les courriels malveillants particulièrement dangereux dans ce type d’attaque, car ils atterriront probablement dans votre boîte de réception, et vous serez plus susceptible de les ouvrir, d’interagir avec eux et de cliquer sur des liens.
Il est donc important de savoir comment identifier les spams et d’éviter d’ouvrir tout ce qui semble suspect. Signalez-le comme spam et informez le contact par un autre moyen que son compte a été piraté.
6. Attaques par force brute
Les attaques par force brute consistent à utiliser des programmes pour générer automatiquement des combinaisons alphanumériques d’adresses courriel et/ou de mots de passe. En d’autres termes, il s’agit de générateurs aléatoires qui créent des milliers, voire des milliards de variations par seconde. Ces combinaisons sont ensuite utilisées pour tenter d’accéder à votre compte de messagerie ou à d’autres comptes. Il s’agit donc ici de menaces de sécurité intentionnellement malveillantes.
En théorie, ces programmes finiront par trouver la bonne combinaison, à condition d’être exécutés pendant une période suffisamment longue. Cependant, en fonction de la robustesse de votre mot de passe et de la complexité de votre adresse courriel, le déchiffrage de certains comptes peut prendre des années.
Compte tenu du volume considérable d’adresses courriel actives, la création d’un compte de messagerie valide est relativement rapide, notamment chez les principaux fournisseurs tels que Gmail. Associer un compte valide avec le mot de passe correct prend plus de temps, mais cela devient beaucoup plus simple si l’escroc connaît déjà votre adresse courriel et que votre mot de passe n’est pas particulièrement robuste.
7. Attaques par dictionnaire
Les attaques par dictionnaire sont une autre technique de devinette, qui consiste à utiliser des listes d’adresses courriel et de mots de passe probables. Cette méthode est moins automatisée que les attaques par force brute et plus réfléchie. Par exemple, elle peut intégrer d’autres informations telles que les noms de famille, les dates de naissance, etc. pour deviner les mots de passe potentiels.
À l’instar des attaques par force brute, les attaques par dictionnaire ont pour objectif d’accéder à des comptes. Les deux types d’attaques sont facilités si votre adresse courriel est publiée publiquement en ligne. Les attaques par dictionnaire sont potentiellement plus simples si d’autres informations sont accessibles (noms d’animaux de compagnie, écoles fréquentées, etc.).
Heureusement, l’utilisation de mots de passe forts est particulièrement efficace pour contrer les attaques par dictionnaire, car le processus s’arrête une fois que toutes les tentatives de mots de passe potentiels sont épuisées.
8. Reciblage par e-mail
Le reciblage par e-mail est une stratégie légale utilisée par de nombreux sites de commerce électronique et entreprises en ligne. L’une des applications les plus courantes du reciblage par e-mail est l’envoi de courriels de suivi aux utilisateurs ayant ajouté un produit à leur panier, mais n’ayant pas finalisé leur achat.
Dans la mesure où les entreprises respectent les réglementations relatives aux données et à la confidentialité, le reciblage par e-mail n’est pas considéré comme du spam. En effet, l’entreprise vous demande de fournir votre adresse courriel de manière volontaire et de consentir à l’envoi de courriels.
Le problème est que certains utilisateurs ne réalisent pas qu’ils vont recevoir des courriels marketing de suivi, généralement parce qu’ils ne lisent pas les conditions générales ou qu’ils ne comprennent pas ce qu’ils acceptent. La limite devient floue lorsque les entreprises rendent difficile l’exécution d’actions sans fournir une adresse courriel, par exemple, la création d’un compte pour effectuer un achat.
Mesures pour réduire le spam par courriel
Comprendre comment les spammeurs obtiennent votre adresse courriel vous permet d’adopter les mesures nécessaires pour protéger la vôtre. Toutefois, vous ne pouvez jamais garantir totalement la sécurité de vos données de messagerie, car certains risques sont indépendants de votre contrôle, tels que les violations de données d’entreprises.
Par conséquent, en plus de protéger votre adresse courriel autant que possible, vous devez également prendre des mesures proactives pour réduire la quantité de spams atteignant votre boîte de réception.