|
|
UIT |
Les fournisseurs de services internet au cœur de la lutte contre le spam
En principe, le rôle d’un fournisseur de services internet consiste
simplement à acheminer des paquets de données, les utilisateurs du réseau
décidant de ce qui doit être envoyé ou reçu. Toutefois, la situation évolue
radicalement à mesure que l’internet devient un réseau de réseaux complexe, ce
qui explique qu’aujourd’hui les fournisseurs de services sont invités à exercer
plus activement un contrôle sur le contenu des données qu’ils transmettent. En
effet, ils sont bien placés pour jouer les gardiens de l’internet.
Le fléau du spam
Le courrier électronique et des systèmes de messagerie similaires sur
ordinateurs ou téléphones portables, comme les «blogs» (abréviation de «web
logs» — journaux en ligne) ainsi que le service de messages courts (SMS) sont
devenus aujourd’hui des moyens de communication incontournables dans le monde
entier. Peu onéreux, ces services ont une portée universelle et jouent un rôle
fondamental dans le développement du commerce électronique. Toutefois, le
cyberespace moderne est de plus en plus envahi de courriers non sollicités,
parfois malveillants, qui viennent encombrer nos boîtes aux lettres
électroniques — phénomène mieux connu sous le nom de spam.
C’est principalement sous cette forme que sont dorénavant diffusés tous
les messages électroniques envoyés à des fins de nuire: usurpation d’identité ou
encore «phishing», cyberarnaques incessantes, «fraude 419» et virus
informatiques. Les auteurs de ces courriers (spammeurs) savent vous adresser des
messages qui semblent provenir de votre banque, par exemple, et vous fournir des
raisons crédibles pour vous amener à communiquer des informations
confidentielles. D’après les principaux rapports consacrés à la question, plus
de la moitié du volume actuel des courriers électroniques relève du spam et le
coût que représente l’élimination de ces messages rend les services de
messagerie électronique presque inutilisables pour certaines entreprises et
certains consommateurs.
|
|
Dans de nombreux pays, les fournisseurs de services internet jouissent encore
d’une large protection juridique contre d’éventuelles réclamations concernant
les agissements d’un tiers sur les réseaux qu’ils desservent. Par exemple, ils
font rarement l’objet, pour l’heure, de plaintes pour diffamation ou violation
du droit d’auteur. De plus en plus souvent toutefois, les fournisseurs de
services internet se voient demander de contribuer à la protection des données
et au respect des règles sur l’internet.
Les fournisseurs de services ont tout intérêt à lutter contre le spam. En
effet, ils subissent très largement les conséquences financières de cette
pratique sans rien obtenir en retour — à moins de facturer des frais aux
spammeurs en échange de l’envoi pour leur compte de courriers non sollicités. De
nombreux fournisseurs de services s’investissent activement en luttant contre le
spam à la source, avant qu’il n’engorge les boîtes de réception de leurs
clients. Dans un même ordre d’idées, les fournisseurs de services internet sont
nombreux à participer aux travaux d’organismes compétents et représentatifs du
secteur, comme le Messaging Anti-Abuse Working Group (Groupe de travail
contre l’utilisation abusive des messages électroniques), ou à collaborer à la
mise au point de solutions techniques avec des organismes de normalisation.
Par
les initiatives qu’ils prennent, les fournisseurs de services internet cherchent
généralement à améliorer la sécurité de leurs réseaux, protégeant ainsi
davantage leurs clients contre le spam. Leur efficacité dans ce domaine peut
constituer un argument de vente en leur faveur. Par exemple, Gmail, service de
messagerie gratuit en ligne de Google, supprime les hyperliens des messages
qu’il considère comme des tentatives d’usurpation d’identité. Aux Etats-Unis, le
fournisseur de services, Earthlink, exige que tous les messages soient acheminés
par le biais de ses serveurs de courrier électronique, de façon à atténuer
l’incidence des réseaux «zombie». Earthlink exige également des utilisateurs de
programmes qu’ils fournissent un mot de passe pour transmettre des messages.
Si ces méthodes permettent de lutter efficacement contre le problème du spam,
il incombe aussi aux consommateurs de prendre leurs propres dispositions pour se
protéger ou pour éviter de devenir, à leur insu, des pourvoyeurs de spam. Cette
situation peut en effet se produire lorsqu’un particulier télécharge de
l’internet des programmes contenant des logiciels malveillants (malware)
qui piratent son ordinateur pour relayer des courriers non sollicités à d’autres
d’utilisateurs qui n’ont aucune raison de se méfier.
|
|
Quelques définitions
Spam: envoi massif de messages électroniques indésirables ou
non sollicités.
Spim: type de spam qui cible des services de messagerie
instantanée.
Phishing: pratique consistant à obtenir frauduleusement des
données (mots de passe ou numéro de carte bancaire) en se faisant passer pour un
expéditeur apparemment digne de foi. Pratique également connue sous le nom de
spoofing (usurpation d’adresse IP).
Logiciel malveillant: logiciel conçu pour infiltrer ou
endommager un système informatique (virus informatiques, chevaux de Troie,
logiciels espions, logiciels publicitaires, etc.).
PC zombie: ordinateur infecté par un virus qui permet de le
détourner et de le piloter à distance, à l’insu de son propriétaire. Il est
alors possible d’utiliser cet ordinateur pour envoyer des courriers non
sollicités par exemple. On estime que c’est le mode de diffusion du spam le plus
répandu à l’heure actuelle. |
Que peut-on faire?
Les spammeurs utilisent certes des techniques de plus en plus
sophistiquées pour ne pas être repérés, mais un effort concerté de la part des
fournisseurs de services internet coopératifs (et éventuellement des
fonctionnaires chargés de faire respecter la loi et des utilisateurs finals)
peut permettre de démasquer ceux qui commettent des infractions les plus graves.
Il est en effet possible de suivre et de cartographier l’acheminement du spam à
l’échelle d’un réseau tout entier.
|
EyeWire |
|
Au nombre des mesures récentes les plus efficaces, il y a lieu de noter les
actions intentées par des fournisseurs de services au titre du droit d’ester en
justice que leur donne la législation anti-spam. Aux Etats-Unis par exemple, le
CAN-SPAM Act de 2003 autorise les fournisseurs de services à poursuivre
directement les spammeurs. America Online (AOL), Microsoft et Earthlink — qui
fournissent des services de messagerie électronique à grande échelle — ont tous
engagé des procédures en vertu de cette loi ou de lois adoptées au niveau des
Etats. Ces affaires ont abouti à des jugements condamnant des spammeurs de
haut vol à verser des indemnités représentant plusieurs millions USD pour avoir
utilisé abusivement les réseaux de ces fournisseurs de services. Microsoft a
remporté un procès portant sur 7 millions USD qui pourrait bien avoir mis un
terme à l’activité de spammeurs qui diffusaient, semble-t-il, plus de 38
milliards de courriers non sollicités par an.
Ces procès — même peu nombreux et limités à certains fors juridiques —
laissent espérer qu’en faisant respecter leurs droits les fournisseurs de
services internet, avec l’aide des consommateurs, seront peut-être à même
d’endiguer le spam. Le législateur est confronté à la tâche ardue de créer un régime
réglementaire juste et efficace qui tire parti de la capacité des fournisseurs
de services à mettre fin au spam, sans pour autant faire peser des contraintes
injustifiées sur les sociétés respectueuses du droit.
Codes de conduite
Il est possible de prévoir, dans le cadre de législations nationales,
l’obligation d’élaborer des codes de conduite à l’intention des fournisseurs de
services, qui stipuleraient les pratiques admissibles de la part de ces sociétés
et de leurs clients. Ces codes comporteraient de préférence des recommandations
sur la meilleure façon d’utiliser les filtres anti-spam et d’autres outils de ce
type (voir l’article intitulé Spam: l’Australie réagit).
L’obtention d’une licence pourrait être subordonnée au respect du code de
conduite ou l’application de celui-ci pourrait être prévue au terme des
règlements qui sont élaborés conjointement avec les représentants du secteur. Il
appartiendrait toutefois à l’autorité de régulation d’approuver le code en
question et, dans de nombreux cas, de le faire appliquer.
Les forces du marché, la solution?
En février 2006, AOL a annoncé un nouveau plan de lutte anti-spam
fonctionnant avec les services de Goodmail Systems. Il consiste à acheminer les
courriers électroniques normaux par le biais d’un service spécial «certifié»,
facturé jusqu’à un cent USD par message envoyé, qui évite les filtres anti-spam
installés sur les ordinateurs des destinataires. Ce service garantira la
réception de messages qui porteront un label attestant de leur authentification
par AOL et dont les images et les liens — considérés comme potentiellement
dangereux — n’auront pas été supprimés. Un autre fournisseur de services
important, Yahoo, a indiqué qu’il proposera lui aussi des prestations analogues.
Certaines sociétés, notamment les banques, qui ont besoin d’adresser des
messages à une très large clientèle et qui sont particulièrement exposées aux
tentatives d’usurpation d’identité pourraient trouver un intérêt à ces services
— payants — de courrier électronique certifié. Cependant, la création de ce
système à deux niveaux a fait l’objet de critiques, notamment de la part de
groupes à but non lucratif qui craignent des conséquences très négatives sur la
publicité et la collecte de fonds. AOL en a tenu compte en s’engageant à
appliquer ce système de traitement spécial aux utilisateurs intensifs de
services de messagerie gratuits (par exemple, les œuvres caritatives) dont la
légitimité ne fait aucun doute.
Pour certains, il faudrait laisser les forces du marché jouer leur rôle dans
l’amélioration de la sécurité de l’internet: ceux qui sont prêts à payer pour un
service de courrier électronique «certifié» devrait pouvoir le faire. A l’heure
actuelle, c’est justement parce que tous les messages sont gratuits que les
spammeurs inondent le système. Il est donc permis d’espérer qu’avec
l’instauration d’un service payant le phénomène du spam perdra de son ampleur. |
Un code de conduite contraignant ne va pas sans certains inconvénients. Il
doit être conçu pour lutter contre le spam et ne devrait pas constituer un moyen
détourné d’imposer des contraintes excessives aux fournisseurs de services, par
exemple en:
- créant des obligations anti-spam, lorsque aucune solution
technique n’existe encore;
- utilisant des mesures anti-spam pour limiter la liberté
d’expression;
- portant atteinte au droit des citoyens au respect de leur
vie privée.
|
PhotoDisc |
|
Un processus encadré par le secteur
Il est essentiel que le secteur contribue à l’élaboration de ces codes de
conduite et prenne part à leur mise à jour, qui devra avoir lieu fréquemment
pour tenir compte de l’évolution des différentes pratiques en matière de spam et
des technologies anti-spam.
Une possibilité serait que les administrations nationales établissent un
processus réglementaire encadré par le secteur à l’intention des fournisseurs
de services internet, qui prévoirait un mécanisme permettant de poursuivre les
spammeurs les plus importants. Cela ne signifie pas nécessairement une
redéfinition complète du rôle des fournisseurs de services, le but étant plutôt
de lutter contre le spam en protégeant les fournisseurs de services qui ont un
comportement responsable. En effet, il convient de récompenser ceux qui
appliquent des mesures anti-spam efficaces et avisées, tout en préservant les
libertés fondamentales de leurs utilisateurs. A cette fin, on pourrait notamment
envisager que les régulateurs tiennent responsables les fournisseurs peu
scrupuleux des préjudices causés par le spam.
Modèle d’application volontaire
Au lieu d’opter pour un code prévu par la législation nationale et dont
l’application serait contrôlée par les régulateurs, les pouvoirs publics
pourraient encourager les fournisseurs de services internet à élaborer leurs
propres codes de conduite et à s’engager à les respecter. En fait, de nombreux
fournisseurs de services le font déjà d’eux-mêmes. Par exemple, ils incluent
souvent des conditions d’utilisation dans leurs politiques à l’intention des
clients et dans les accords d’échange de trafic. Dans le cadre de ce modèle
d’application volontaire, les régulateurs pourraient conseiller les
représentants du secteur quant à l’élaboration de ces codes et aider par la
suite les consommateurs à trouver les fournisseurs de services qui y ont
souscrit. Les utilisateurs pourraient alors choisir les fournisseurs de services
qui s’investissent activement dans la lutte contre le spam.
La coopération est essentielle
Que les fournisseurs de services internet aient l’obligation d’établir des
codes de conduite ou qu’ils le fassent volontairement, les régulateurs ont un
rôle important à jouer en matière d’information et de sensibilisation. En effet,
les particuliers et les entreprises ont régulièrement besoin d’être informés sur
les solutions techniques disponibles et alertés au sujet des pratiques
frauduleuses et des virus récemment découverts. La coopération entre pouvoirs
publics et le secteur des fournisseurs de services internet peut largement
contribuer à protéger les consommateurs contre le spam.
|
Source principale: Rapport de l’UIT, Tendances des réformes dans les
télécommunications 2006: la réglementation dans le monde du large bande,
Chapitre 7 «Mettre un terme au phénomène international du spam,» John G.
Palfrey, Jr., administrateur principal du Berkman Center for Internet and
Society et professeur de droit à la Faculté de droit de Harvard. |
PROMOUVOIR lA CYBERSECURItE
|
