Technologie
La technologie est le mot d'ordre chez Vade Retro. 60% de l'effectif est dédié à la recherche et au développement du noyau de filtrage Vade Retro et aux solutions intégrantes.
La technologie Vade Retro anti-spam emploie plusieurs milliers de règles, chacune contribuant à une évaluation totalement autonome de chaque message, sans apprentissage spécifique au site de déploiement et sans interrogation d'un serveur externe de référence.
Les avantages incontournables de la technologie Vade Retro :
Un traitement immédiatement opérationnel, aucun apprentissage
Aucune connexion extérieure pour l'analyse des messages
Une très grande rapidité de traitement (plus de 200 messages/seconde)
Un faible besoin en ressources système
Un développement compact et universel
Analyse heuristique
Le moteur est fondé sur un système complexe de règles empiriques, non prédictibles, déduites à partir de l'analyse approfondie de tous les composants du message (champs d'entête, texte du sujet, corps du texte, html, pièces jointes...).
Les règles heuristiques sont déterminées par des experts qui recherchent des caractéristiques originales, communes à certains types de messages (souvent envoyés par des robots), dans le but de repérer les prochains messages possédant les mêmes caractéristiques (Predictive Heuristic Filter).
Leur détermination nécessite une parfaite maîtrise des techniques utilisées dans les e-mails mais aussi une grande culture du spamming et de ses pratiques.
L'expert est assisté dans sa recherche par des outils développés spécifiquement, qui permettent de tester rapidement de nouvelles hypothèses. Il utilise également en permanence des corpus de messages spams et légitimes qui lui servent à valider les règles. Ces corpus ont été constitués progressivement depuis le début du développement de Vade Retro.
 |
Predictive Heuristic Filter
Grâce à l'évolution Predictive Heuristic Filter, la technologie Vade Retro est capable d'anticiper certains courriers indésirables et virus avant qu'ils ne se propagent. Cette nouveauté entend répondre au délai incompressible d'intervention des éditeurs nécessitant impérativement une mise à jour du moteur ou des signatures lors d'une nouvelle attaque.
|
Autres particularités
Les contres mesures
Les filtres de ce type constituent sans doute la composante la plus originale et la plus efficace du moteur de filtrage Vade Retro.
Ils consistent à détecter, dans les messages, les techniques qu'emploient les spammeurs pour déjouer les solutions anti-spams utilisant les méthodes de filtrage "classiques".
Le filtrage de type Bayésien, qui consiste à retenir des caractéristiques sur les spams et les courriers légitimes, n'est pas d'une grande efficacité face à l'emploi de ces techniques (textes cachés, diminués en fonte, etc.).
NB : La solution open source Spam Assassin présente l'inconvénient majeur d'être la plate-forme la plus utilisée par les spammeurs pour tester et imaginer leurs nouvelles techniques. Par conséquence, cette plate-forme est la plus vulnérable sur le filtrage "court terme".
Ces techniques sont de plus en plus complexes et nécessitent une veille permanente des courriers. En témoignent ces quelques exemples :
V.1.@.R.G.A pour VIAGRA
Cet exemple recoupe trois techniques :
- le remplacement de caractères ( le "i" par un "1" ou le "a" par un "@")
- la séparation des caractères par un intervalle (ici un ".", cela peut être des images, des caractères ou du texte mignaturisés...)
- les fautes d'orthographe volontaires VIARGA au lieu de VIAGRA, le cerveau humain comprend naturellement le mot VIAGRA, chose moins évidente pour des technologies anti-spam mal conçues.
Dans cet exemple, le spammeur fractionne le mot dans des cellules de table HTML. Ici la bordure est visible mais dans un vrai spam, celle-ci est passée en valeur 0, c'est-à-dire invisible.
Ce schéma de table est volontairement assez simple, il arrive que certains spammeurs construisent des tables très complexes, jouant avec alignements et rassemblements de cellules, etc. Au final, l'interprétation de la table par le navigateur est un mot clair à la lecture.
Il existe bien sûr un grand nombre d'autres techniques (texte inutile sur fond de même couleur, réduction de la taille des caractères...).
Les signatures HTML
Lorsque le message contient une partie HTML (ce qui est le cas le plus fréquent), une "empreinte" de ce code HTML est établie selon une méthode exclusive. Lors de la phase de filtrage, cette empreinte est comparée à une liste de "patterns" couramment utilisés par les spammeurs. Cette méthode, associée à une technique de statistiques sur les tailles d'images, permet d'identifier, entre autres, certains messages indésirables qui ne contiennent pas de texte, mais seulement une ou plusieurs images.
Détection de contre-façons sur les enveloppes des messages
La détection des faux dans les cachets des "bureaux de poste" SMTP et dans les autres informations contenues dans l'en-tête des messages est une toute récente direction dans la lutte anti-spam, avec cette fois-ci encore l'avantage décisif de reconnaître le même "mode opératoire", quel que soit le message véhiculé.
ANTI-SCAMS
Les scams sont des escroqueries qui reposent le plus souvent sur des propositions de participation à une opération financière internationale très alléchante. Initialement pratiqués par courrier traditionnel ou par fax, les scams ont aujourd'hui leur déclinaison par e-mail sous forme de spams qui ne ressemblent pas aux autres messages publicitaires habituellement filtrés. La technologie Vade Retro inclut un module spécifique de détection des messages de ce type.
 |
Un moteur central, des applications autour
Les différents contextes d'intégration de la technologie Vade Retro ont conduit à l'élaboration d'un noyau unique et universel indépendant de la solution qui l'utilise. Cette technique de travail permet d'apporter des mises à jour communes à toutes les solutions proposées. De plus, elle offre une grande liberté d'utilisation à l'occasion d'implémentations spécifiques (fournisseurs d'accès internet, Webmail, routeurs, constructeurs, etc.).
|
Membre de