De juillet à septembre 2005, le trafic sombre a représenté 83 % des emails entrants. Ce chiffre est calculé à partir d’un échantillon de plus de 100 millions de messages.
Présenté dans l’autre sens, ce résultat indique que les messages correctement formés n’ont représenté que 17 % du trafic entrant des entreprises. N’oublions pas que, parmi ces messages "valides", un pourcentage notable sera identifié comme étant du spam indésirable par les filtres de contenu.

DoS email

Les attaques en déni de service de messagerie (ou attaques DoS, mail bombing, inondation…) visent à déborder un relais ou un serveur de messagerie par un énorme volume de messages. Le serveur est alors obligé d’interrompre des connexions ou de refuser des emails légitimes.
Les attaques DoS distribuées (DDoS : Distributed DoS) sont souvent lancées depuis des armées d’ordinateurs zombies, infectés par des virus, des vers ou des spywares. Ces ordinateurs peuvent être contrôlés à distance par le pirate qui les a contaminés, et servir pour attaquer une ou plusieurs victimes précises.
Les attaques DoS ont généralement un but malveillant, celui de mettre hors service le réseau de l’entreprise visée. Le rapport ne s’intéresse qu’aux attaques de DoS qui utilisent le protocole d’email. Elles peuvent en effet utiliser bien d’autres protocoles Internet, hors du champ de l’étude, tels que HTTP, IM, FTP, RPC...
 

DHA (Directory Harvest Attack - pillage d’annuaire)

Le but d’une attaque DHA est d’identifier les adresses email valides d’un domaine donné.
A l'origine, l'intention était de collecter des listes d’adresses email pour les revendre ou mener ultérieurement des attaques de spam.
Mais avec l’utilisation grandissante d’Active Directory et des méthodes de connexion unique en entreprise, la menace s’étend à la sécurité du réseau et des informations.
 

Piratage de login

Trop souvent, le login au réseau et l’adresse e-mail sont identiques ou facilement déductibles l'un de l'autre (ex. nom + prénom). Autre faiblesse exploitable, la simplicité de la plupart des mots de passe.
Il suffit donc de récupérer l’adresse email, de craquer le mot de passe à l'aide d'un logiciel presque facile à trouver, pour se connecter au réseau.
C’est pourquoi l’annuaire des utilisateurs doit être solidement protégé. S’il est pillé par un pirate, ce sont des milliers de noms de connexion qui sont divulgués, et le pirate dispose d’une multitude d’accès pour ouvrir une brèche dans le réseau. La réussite d’une telle attaque met en grand danger les données confidentielles de l’entreprise et de ses utilisateurs.

Surveiller les messages entrants

La plupart des administrateurs de messagerie manquent de visibilité sur la composition du trafic entrant. Ils ne peuvent donc que constater indirectement l’impact du trafic sombre, en comparant la quantité de mails livrés par rapport aux mails entrants, ou par l’allongement de la liste des avis de non-distribution. L’énorme volume du trafic sombre a pour autre conséquence d’engorger le système de messagerie, ce qui oblige l’entreprise à acquérir d’autres serveurs de messagerie et d’autres appareils de sécurisation.
Le rapport souligne également :

• l’augmentation de 300 % des attaques de DoS
• l’augmentation de 170 % des attaques de DHA