Mot à coucher dehors : le SPIM

Spim, spam, spoum ? L'onomatopée a toujours été une grande source d’inspiration pour le jargon de la IT. Si “Spoum” ne veut (encore ?) rien dire, ce n’est pas le cas des deux autres. Après le mythique et décidément toujours très à la mode Spam, le Spim tente depuis quelques années de se faire une place au soleil du marketing, avec cependant un succès mitigé.

En guise de définition, Wikipedia nous livre “Spam over instant messaging”. Le Spim, donc, serait l’envoi de messages publicitaires non sollicités à travers un outil de messagerie instantanée (IM) tel MSN Messenger. Mais comment spammer des utilisateurs qui, contrairement à l’email, n’acceptent de recevoir des messages que de leurs amis ?

Pour parvenir à ses fins le “Spimmeur” va d'abord infecter des PC d’utilisateurs du service ce messagerie instantanée visé (par des méthodes traditionnelles telles qu’une page web piégée ou une pièce jointe email infectée). Une fois le PC compromis le code malveillant va ensuite pouvoir utiliser l’outil de messagerie local pour envoyer des messages publicitaires aux correspondants habituels de sa victime, qui arriveront donc comme s’ils provenaient d’un ami.

Outre la publicité, les messages envoyés par le spimmeur peuvent aussi pointer vers des pages web elles aussi piégées, dans l’espoir d’exploiter une vulnérabilité le navigateur web (ou ses composants...) de la victime. C’est aussi comme cela que l’outil de spim se propage, tenant ainsi à la fois du virus (propagation avec une intervention minime de l’utilisateur) et potentiellement du bot (le contenu des messages publicitaires à envoyer peut être mis à jour).

Plus sournois encore, des bots placés dans des espaces de discussion sur Internet (sur IRC, mais aussi des web chat Java par exemple) peuvent proposer automatiquement à des inconnus de les ajouter à leurs “amis” sur MSN...

La protection

Outre le bon sens (vos amis vous proposerons rarement de découvrir leur épouse nue sur Internet. Et certainement pas en anglais), des solutions techniques existent. D’abord chez les éditeurs d’antivirus, qui intègrent souvent la messagerie instantanée à la couverture de leurs suites logicielles, mais aussi directement dans certains outils (Windows Live Messager 9 par exemple).

En entreprise, la question posée est plutôt celle de la politique de sécurité : le client de messagerie instantanée est-il un outil de production autorisé sur les postes de travail ? Si ce n’est pas le cas, peut-être vaut-il mieux attaquer le problème par le haut en mettant en place les solutions qui permettront d'empêcher l’installation sauvage de ces outils sur les postes de travail, puis en assurant un filtrage de ces protocoles (y compris dans leurs version “web messenger”, accessible depuis un navigateur et qui empruntent donc le bon vieux port 80...)

Si c’est en revanche le cas, alors des solutions d’entreprise peuvent aider à filtrer le trafic de ces clients (Quest Software, par exemple, depuis le rachat d’Akonix).

Toutefois une récente étude du Burton Group montre qu’une telle attention est rarement portée à l’IM : seulement 10% des entreprises interrogées traitaient l’utilisation de la messagerie instantanée dans leur charte, et seulement 5% disposaient d’une politique de sécurité pour l’IM. Peut-être faudrait-il commencer par là ?

Voir : The IM Security Center (Akonix), qui répertorie les attaques sur Messagerie Instantanée

Mots clés : Spim, spam, IM, messagerie instantanée, definition