Depuis le début de l’année 2018, des e-commerçants se découvrent victimes de spam en masse sur leur adresse email de contact. Analyse faite, il s’avère que ce sont les formulaires sur leur site de vente en ligne (formulaire de contact et SAV) qui sont pris pour cible.

Le « spam de formulaire » n’est pas un phénomène nouveau. Mais la virulence, et même la violence de ces vagues de spam mérite qu’on s’y attarde : le nombre de soumissions de formulaires peut dépasser les 500 envois en quelques minutes. Face au flot de requêtes engendrées, certains e-commerçants ont vu leur hébergement devenir instable, notamment les e-commerçants qui utilisent un hébergement dédié virtuel de type « VPS ».

Pour un consultant en sécurité, il est intriguant de voir un tel volume d’envois de formulaires. Généralement, les robots spammeurs de formulaires soumettent un seul message via un formulaire. Le but de ce message est de vérifier si son envoi abouti à un affichage sur le web. Pour cela, le message contient une chaine de caractères unique, telle que « SzuiSWQRZT » : si le robot spammeur retrouve cette chaîne sur le web, il sait que ce formulaire spécifique lui permettra de poster du contenu sur le site web du e-commerçant, qu’il utilisera alors pour diffuser des hyperliens vers le site web d’un tiers, en vue d’améliorer fictivement le référencement naturel de ce dernier.

En analysant quelques échantillons du spam envoyé, il est apparu que l’adresse email utilisée par le robot spammeur est différente à chaque fois. Par contre, elle correspond à une zone géographique donnée : la Chine, la Russie, la Corée (adresses email en @qq.com, @123.com, @126.com, @zzz.ru). En s’interrogeant sur la raison d’un tel changement d’adresse du mail de contact, une fonctionnalité avancée de Prestashop (un CMS spécialisé dans le e-commerce) a été mise en lumière : la possibilité de recevoir une copie du message. Les spammeurs exploitent cette faculté pour faire parvenir à chaque victime (adresse email spammée) un message soumis via le formulaire de contact, en se faisant passer pour la victime.

Résultat, le e-commerçant reçoit des centaines de fausses demandes de contact ou SAV en quelques minutes, et chaque victime reçoit une confirmation d’une demande de contact en provenance d’un site de e-commerce qui lui est inconnu.

Outre la gêne occasionnée, la conséquence pour le e-commerçant est un impact négatif sur sa déliverabilité email : l’envoi de spam depuis son site pénalisera ses prochains envois d’email légitimes.

Les moyens de protection sont à plusieurs niveaux : pour éviter de diffuser du spam à son insu, le e-commerçant pourra connecter son Prestashop à un routeur de mail qui intègre une vérification antispam en sortie. La mise en place d’un code de vérification (« captcha ») sur tous les formulaires du site permettra d’endiguer les soumissions de spam depuis les formulaires. Nous déconseillons toutefois les méthodes suggérées sur le forum, qui consistent à modifier le cœur du logiciel Prestashop : cette modification ne résistera pas à une mise à jour du logiciel.

Werner KLINGER
Ingénieur Conseil Web & NTIC.