Pendant les vacances d'été, quelques comptes ont été usurpés sur le serveur d'envoi de mail sécurisé de Polytechnique.org (le SMTPs). Des botnets (réseaux d'ordinateurs zombies) ont alors utilisé nos serveurs pour envoyer des vagues de spam. Nous avons réussi à intervenir relativement rapidement à chaque fois pour couper le compte, mais plusieurs milliers de spams sont néanmoins passés avec une adresse d'expéditeur en @polytechnique.org. Cela a occasionné une indisponibilité du site et du serveur d'envoi de quelques heures à chaque fois.

Par mesure de précaution, nous invitons tous ceux pour qui ce n'est pas le cas à utiliser un mot de passe SMTPs différent de celui qu'ils utilisent pour se connecter au site. De manière générale, n'utilisez pas un mot de passe déjà associé à votre adresse email sur un autre site : en effet, si des couples login/mot de passe sont rendus publics (comme cela s'est produit avec LinkedIn récemment, voir ici pour plus d'informations), cela peut compromettre le SMTPs.

Pour changer de mot de passe SMTPs, suivez les instructions de cette page.

Au-delà des interruptions temporaires causées par ces vagues de spams, il faut voir que ce genre de compromissions peut engendrer des répercussions à moyen terme pour tous les utilisateurs du SMTPs. En effet, si trop de spam est envoyé depuis les serveurs de Polytechnique.org, la réputation de ceux-ci auprès des autres fournisseurs de mails va être entamée. Cette réputation représente un indice de confiance qu'a le destinataire vis-à-vis de tout mail provenant de nos serveurs. Si beaucoup de spam est envoyé, par exemple, vers des adresses AOL, il se pourrait que les administrateurs (voire une routine informatique) décident de bloquer d'office les mails provenant d'utilisateurs du SMTPs de Polytechnique.org, pénalisant donc tous les camarades qui chercheraient à joindre une adresse AOL… Nous en sommes encore loin, mais c'est un problème à ne pas ignorer.

C'est pourquoi nous venons de mettre en place un mécanisme de quotas pour limiter l'impact de ces campagnes de spam. Dorénavant, l'envoi de mails via le SMTP sécurisé de Polytechnique.org est limité aussi bien en nombre de destinataires distincts qu'en nombre d'emails distincts par heure*. Lorsque le seuil est dépassé, un message d'erreur se présentera dans le client mail : il n'y a pas de refus masqué. Mais s'il s'agit d'une campagne de spam, il est très probable que les botnets ne soient pas programmées pour gérer cette erreur. En plus, le système détecte encore plus rapidement l'utilisation par des botnets que nos précédents moyens ne le permettaient, et a déjà porté ses fruits en repérant un autre spammeur la semaine dernière. Si vous deviez atteindre régulièrement ces limites, n'hésitez pas à nous contacter à support@polytechnique.org, nous pouvons être souple et gérer des cas particuliers. Un petit conseil : si ce qui vous bloque est la limite en nombre de destinataires, pensez à utiliser des listes de diffusion (comme celles que l'on peut créer sur Polytechnique.net).

Nous espérons que ces ennuis sont derrière nous, et faisons de notre mieux pour suivre l'état de l'art en matière de sécurité.

L'équipe Polytechnique.org

*: Ces seuils sont en cours d'ajustement. Ils seront amenés à évoluer pour limiter les abus tout en évitant d'affecter les usages légitimes.