Des chercheurs américains se sont faits spammeurs pour tester l'efficacité commerciale du spam, allant jusqu'à créer de faux sites de ventes de produits pharmaceutiques. Après trois campagnes totalisant près de 500 millions de messages, ils concluent à une rentabilité limitée mais réelle de ce démarchage sauvage. Selon eux, les vendeurs sont aussi les organisateurs des réseaux de spams...

au sommaire


    Devant un mail rédigé en anglais promettant des pilules miraculeuses et qui n'aurait pas été éliminé par un anti-spam, la quasi totalité des internautes n'y prête aucune attention particulière et l'expédie directement à la corbeille. Quelques-uns, toutefois, mordent à l'hameçon et se rendent sur le site. Parmi eux, un petit nombre dégainent leur Carte bleue pour acheter des pilules (souvent de la même couleurcouleur). Mais combien exactement ? Le spam constituant une activité illégale, les vendeurs peu scrupuleux qui le pratiquent ne publient pas de chiffres officiels...

    Pour le savoir, une équipe de l'université de Berkeley et de l'université de Californie (San Diego) ont réalisé une expérience scientifique : utiliser les mêmes outils que les spammeurs, lancer des millions de messages et mettre en place des moyens pour mesurer les taux de réponse. Les chercheurs ont exploité un réseau botnet, c'est-à-dire un ensemble d'ordinateurs exploités à l'insu de leurs propriétaires pour diffuser des spams. On parle de machines zombies. Il s'agissait ici du réseau créé par le ver Storm.

    Les chercheurs ont lancé trois campagnes différentes, totalisant 469 millions de spams. Deux consistaient à transmettre un - faux - virus de type troyentroyen inclus dans des messages proposant soit des cartes postales soit l'affichage de blagues de premier avril. La troisième campagne, qui a duré 26 jours, promettait différents produits pharmaceutiques, censément disponibles sur des sites commerciaux, en fait créés par les chercheurs eux-mêmes.

    Schéma des résultats obtenus. Sur les mails envoyés, certains ne parviennent nulle part (étape A), sont bloqués par les filtres anti-spams (B) ou sont ignorés par les destinataires (C). Les internautes visitant le site peuvent partir sans rien acheter (D) ou convertir la visite en achat (E). Le flux <em>crawler</em> indique les visites provenant de robots logiciels testant systématiquement les sites pour les référencer. Les propositions de vente de produits pharmaceutiques passant l'étape B ne sont que 23,8%. Seuls 0,003% des internautes visitent le site de vente (étape D). La proportion des achats (28) par rapport au nombre de mails envoyés (348 millions) est de 8,1 x 10<sup>-8</sup>. © Chris Kanich <em>et al.</em>/<em>International Computer Science Institute</em>, Berkeley

    Schéma des résultats obtenus. Sur les mails envoyés, certains ne parviennent nulle part (étape A), sont bloqués par les filtres anti-spams (B) ou sont ignorés par les destinataires (C). Les internautes visitant le site peuvent partir sans rien acheter (D) ou convertir la visite en achat (E). Le flux crawler indique les visites provenant de robots logiciels testant systématiquement les sites pour les référencer. Les propositions de vente de produits pharmaceutiques passant l'étape B ne sont que 23,8%. Seuls 0,003% des internautes visitent le site de vente (étape D). La proportion des achats (28) par rapport au nombre de mails envoyés (348 millions) est de 8,1 x 10-8. © Chris Kanich et al./International Computer Science Institute, Berkeley

    Les vendeurs créent leur propre réseau

    Les résultats montrent qu'effectivement, le spam est une technique marketing peu efficace mais peut devenir rentable quand elle est pratiquée à très grande échelle. L'étude, qui a pris en compte l'origine géographique des succès de ces démarchages, n'a d'ailleurs pas mis en évidence de spécificités régionales. Il semble que les internautes du monde entier réagissent à peu près de la même manière.

    Les fausses cartes postales fonctionnent bien. Sur 83.655.479 envois, 316 ont abouti à l'installation d'un Troyen sur un PC, soit 1 sur 265.000. Les poissonspoissons d'avril truqués atteignent un score de 1 réussite pour 178.380 spams (225 sur 40.135.487 dans l'expérience).

    Le démarchage de produits pharmaceutiques a donné des résultats plutôt bons. Les chercheurs ont expédié exactement 347.590.389 spams et les faux sites commerciaux créés pour l'occasion ont enregistré 28 commandes fermes. Le taux de réussite serait donc de 12,41 ventes pour 1 million de spams. La moyenne des commandes recueillies était d'environ 100 dollars. Les quelque 350 millions de spams auraient généré exactement 2.731,88 dollars (environ 2.190 euros). Le rendement avoisinerait donc 100 dollars par jour, en fait plutôt 140 car sur les 26 jours de campagne, l'équipe ne retient que 19 journées utiles (« actives » dans la publication), pendant lesquelles les messages ont été diffusés.

    L'expérience étant restée limitée, les chercheurs estiment n'avoir utilisé que 1,5% des ordinateurs du réseau botnet Storm. Selon eux, une campagne bien menée aurait plutôt rapporté aux alentours de 7.000 dollars par jour en moyenne. Mais le nombre d'ordinateurs touchés augmente au fil des jours, à mesure que le vers se transmet. La progression serait comprise entre 3.500 et 8.500 par jour... Par extrapolation, l'équipe pense qu'une campagne pour des produits pharmaceutiques sur un réseau Storm devrait générer annuellement 3,5 millions de dollars (2,8 millions d'euros).

    Un spam n'est cependant pas gratuit. Il faut du matériel, des noms de domainesnoms de domaines enregistrés, etc. Les auteurs tablent sur un prix de revient un peu inférieur à 80 dollars par million de messages. Envoyer 350 millions de spams coûterait environ 25.000 dollars. Les chercheurs en concluent que, pour que cette activité soit rentable, il faudrait que le prix de revient des mails soit vingt fois plus faible. Pourtant, la vente de produits pharmaceutiques via les spams continue. Les chercheurs ne voient qu'une explication : les vendeurs ne paient pas les organisateurs du réseau Storm car ce sont les mêmes personnes...