Mais comment ont-ils récupéré mon adresse email ?

Mais comment ont-ils récupéré mon adresse email ?

Comment certains spammeurs français parviennent-ils à récupérer votre adresse email, alors même que vous ne la diffusez pas en dehors d'un cercle de contacts restreint ? Et qu'est-ce que tout cela a à voir avec Gandalf ?

Je vous propose de tenter de résoudre ensemble un mystère : comment certains spammeurs français parviennent-ils à récupérer votre adresse email, alors même que vous ne la diffusez pas en dehors d’un cercle de contacts restreint ?

Pour moi, tout commence par la réception, durant plusieurs semaines, de spams français à mon adresse professionnelle nominative : perdre quelques kilos, commander du vin… rien de très professionnel.

L’adresse spammée étant nominative, je décide de creuser, quitte à en passer par un rappel des exigences du RGPD sur ce type d’adresse, dont la partie nominative me semble tomber sous le coup du règlement (je ne traiterai pas ici du mystère de l’alias réservé à LinkedIn, qui est lui aussi parfois spammé mais ne contient pas d’information personnelle identifiable et donc se trouve en dehors du cadre du RGPD).

Ainsi, passée la minute d’agacement en découvrant que je reçois cet email car j’ai « accepté de recevoir les offres partenaires de {insérez le nom du margoulin du jour} » (ce qui est évidemment mensonger), je décide de creuser afin de découvrir la société à l’origine de cet envoi.

Par chance, les noms de domaines visibles dans le code source de l’email conduisent à un enregistrement Whois correctement renseigné. J’obtiens donc rapidement un nom d’entreprise, suivi tout aussi rapidement d’une visite sur le site web de la société en question (qui, accessoirement, a déclenché un tel affolement des ventilateurs de mon ordinateur que j’ai immédiatement pensé que l’entreprise arrondissait ses fins de mois en faisant du cryptojacking sur leur site ! C’est dire en quelle estime je tiens cette corporation ! Il s’agissait en réalité simplement d’une animation Javascript censée faire plus professionnel…)

Je décide alors de contacter la société par téléphone afin de leur demander, le plus naïvement du monde, de me fournir la preuve que j’ai bien « accepté de recevoir les offres partenaires de {insérez le nom du margoulin du jour} ».

Je suis assez détendu, car je sais que celle-ci n’existe pas. Il est temps de sortir le popcorn.

L’accueil téléphonique est professionnel et courtois. L’on me fait tout de même un peu la leçon en m’indiquant qu’il s’agit d’une base B2B, qui est donc intouchable par le RGPD. Je signale en retour qu’il s’agit d’une adresse email nominative, et que comme tout élément nominatif cela concerne à mon sens, bien que je puisse me tromper, bel et bien ce fameux règlement européen. Et là, miracle : l’on me promet de me faire parvenir ladite preuve et les informations dont ils disposent à mon sujet.

Je n’y crois évidemment pas une seconde, mais en garçon poli je remercie mon contact et attends.

Et c’est là qu’intervient la surprise du récit : je reçois effectivement quelques jours plus tard un email à l’adresse en question, m’indiquant que celle-ci a bien été retirée de la base et me fournissant donc cette fameuse preuve que j’ai bien « accepté de recevoir les offres partenaires de {insérez le nom du margoulin du jour} ».

Je vous la livre ici telle quelle :

 

Vous la voyez ? Moi non plus. Car, comme je l’indiquais, elle n’existe évidemment pas !

Et puis, même si elle existait, mon spammeur ne l’aurait probablement pas. Car il se trouve qu’il a lui-même acheté le contact à un fournisseur spécialisé, dont je ne mentionnerai pas le nom ici, mais n’hésitez pas à me le demander en message privé. Et c’est ce fournisseur, un vendeur de listes, qui lui a probablement assuré que sa base de contacts était « propre ».

Avec cette réponse, j’ai aussi droit, de la part de ce fournisseur de liste (appelons-le MS, pour « Meta Spammeur ») à un cours pseudo-juridique sur pourquoi les listes B2B n’entrent pas dans le cadre du RGPD. En vrac :

  • Nous sommes en complète conformité avec la législation dont nous dépendons : Opt-out (suivi d’une liste d’obligations qu’ils affirment respecter, dont la possibilité, pour les spammés, de demander l’effacement de l’ensemble de leurs données)

  • En matière de B2B, nous respectons le (sic) législation qui dépend de la directive ePrivacy de 2002 qui prévaut ou est complémentaire à la règlementation RGPG (re-sic, et j’apprends donc au passage qu’un texte de 2002 prévaut sur RGPD…)

  • Et un lien vers le SNCD ( Syndicat National de la Communication Directe) pour faire bonne mesure…

Et, enfin, cette perle : ils citent un extrait du règlement ePrivacy de 2002, censé justifier leurs pratiques :

Le projet reconnaît la possibilité de collecter des données de contact électronique dans le cadre de la fourniture d’un bien ou d’un service à la personne concernée à des fins de prospection commerciale pour des produits et des services similaires, dans la mesure où la personne concernée a la possibilité de s’opposer à l’utilisation des données sans frais.Ce droit d’opposition doit être donné dès la collecte des données et à chaque message envoyé. Ce système correspond à celui de l’opt-out.

La mise en gras est de moi. Donc, cette société – qui ne me fournit aucun service et n’a demandé aucun droit d’opposition lors de la collecte de l’adresse en question – revendique le droit de me spammer en s’appuyant sur un texte qui indique justement tout le contraire de ce qu’elle fait. J’ai beau avoir une belle imagination, je n’aurais pas osé aller jusque là !

Bref, il est clair que ce vendeur de leads n’est pas en mesure de fournir la moindre preuve d’opt-in comme il le devrait, et qu’il noie le poisson dans un verbiage juridique à propos duquel j’attends d’ailleurs avec impatience les réactions de mes lecteurs juristes ! (et si j’ai tort, c’est promis, je fais mon mea-culpa !)

Le mystère de l’origine de l’adresse

À ce stade, l’on y voit un peu plus clair sur le cheminement de mon adresse, et l’on a bien rigolé avec les explications de MS, le Meta-Spammeur. Mais cela n’explique toujours pas comment celui-ci a pu se procurer cette adresse.

L’un de mes contacts professionnels est-il un agent double, travaillant en secret pour le Syndicat des Spammeurs et scannant chaque soir les cartes de visite reçues dans la journée ? Ou un autre contact utilise-t-il un service de « gestion » des contacts gratuit, qui pourrait ainsi capter des adresses email professionnelles à travers ses utilisateurs ?

À vrai dire, tout cela (et même plus !) est possible et on ne le saura jamais avec certitude. Mais un élément particulier du courrier reçu par le spammeur me met sur une piste…

Le fameux MS communique dans son courrier les informations qu’il détient à mon sujet. Je vous les livre ici :

Mr SAIZ Jerome

DIRIGEANT – CEO – PDG – FONDATEUR

Secteur SÉCURITÉ ET ENQUÊTES

PARIS 7EME

Ah ah ! Les termes utilisés pour désigner mon secteur d’activité ne vous rappellent rien ?

Allez, je vous aide en image :

Il s’agit d’un extrait de mon profil LinkedIn. Il semble donc que notre spammeur se fournisse sur LinkedIn afin d’aspirer les informations des profils publics, probablement via l’API. Ce qui expliquerait son assurance lorsqu’il affirme qu’il s’agit « uniquement d’une base B2B« .

Mais le mystère s’épaissit alors doublement : d’une part parce que l’adresse email que j’utilise sur LinkedIn n’est pas mon adresse professionnelle (celle qui était spammée), et ensuite parce que de toute manière mes réglages de protection de la vie privée font qu’elle n’est pas accessible à mes contacts.

La guerre des bots

C’est alors que je me remémore un incident d’il y a quelques mois, et depuis répété à plusieurs occasions : en parcourant les journaux de mon serveur d’emails professionnel, j’avais remarqué des campagnes de robots validateurs d’adresses.

Celles-ci se présentent sous la forme suivante : un premier email est envoyé au nom de domaine de ma société, avec comme destinataire un chaîne de caractères clairement aléatoire, telle que 3de527ba-c244-11e8-a355-529269fb1459@xxxx.com

Bien entendu, il n’existe aucun utilisateur à ce nom et le serveur renvoie donc sa réponse habituelle dans ce cas là. Une réponse que le bot conserve alors afin de la comparer avec les essais suivants…

Viennent ensuite une série d’emails adressés à des variantes de mon nom et de mon prénom. De nombreux courriers destinés à jerome.saiz, saiz, jeromesaiz, jerome, jsaiz, j.saiz, etc… Tous évidemment refusés par le serveur (avec, donc, la même réponse que celle renvoyée initialement, ce qui facilite la comparaison). Jusqu’à ce que l’un d’eux soit bon, et que le serveur renvoie donc une réponse différente des précédentes.

Et voilà : notre spammeur dispose alors désormais d’une adresse valide à associer à mon profil aspiré au préalable sur LinkedIn.

Cette hypothèse est d’ailleurs confortée par le fait qu’il m’est arrivé à une occasion de recevoir simultanément le même spam sur deux adresses différentes, correspondant chacune à des entrées sur mon profil LinkedIn, sans que celles-ci n’y soit publiées.

On le voit, nous sommes donc très, très loin de l’opt-in et du consentement. Nul besoin d' »accepter de recevoir les offres partenaires de {insérez le nom du margoulin du jour} », et aucun contact professionnel agent double du Syndicat des Spammeurs. Un simple recoupement d’informations et le travail pas très honnête d’un bot suffisent.

Est-ce le cas avec ce spammeur en particulier ? Il est impossible de le prouver, mais je le suspecte très fortement. Et quoi qu’il en soit, ces pratiques sont évidemment détestables du point de vue des spammés quelle que soit la méthode de recueil des adresses, et d’autant plus au regard des mensonges proférés (« vous avez accepté de« , « notre base est optin« , etc).

Que faire ? Comment lutter ?

Très bien. Et maintenant ? Que peut-on faire pour lutter contre ces pratiques guère éthiques ?

Tout d’abord, si vous achetez des contacts B2B à un fournisseur, posez-lui la question de la source réelle de ses contacts. Demandez à voir les preuves d’opt-in. Car un opt-in, ça peut se prouver : c’est une date, un horaire précis, une adresse web, une action… Evoquez également l’aspect nominatif des adresses email professionnelles, pour voir…

Enfin, sachez qu’en « shootant » ainsi votre publicité à des contacts qui ne l’ont clairement jamais demandé, c’est vous qui passez pour un spammeur, et non votre vendeur de liste. Donc, même dans les cas d’adresses génériques réellement B2B, il y a un aspect d’image à prendre en compte. A mon sens, l’opt-in (le vrai !) est la seule bonne solution… dans tous les cas !

Techniquement, ensuite, il est possible de lutter contre ces bots.

Dans mon cas, j’ai utilisé l’outil Fail2Ban pour bloquer pendant plusieurs jours toute adresse IP qui se tromperait plus de deux fois sur le nom d’un destinataire (amis, relisez-vous avant d’appuyer sur ce bouton « Envoyer » !)

Mais devinez ce qui est arrivé alors ? Les bots, qui utilisaient des adresses IP fixes, se sont mis pour certains à exploiter un botnet, et les courriers de vérifications venaient alors d’adresses IP multiples, chacune réalisant une seule vérification.

La prochaine étape peut être alors d’implémenter du grey listing (retarder les réponses en les conditionnant à l’envoi d’un second mail), ou peut-être d’accepter (en apparence) tous les courriers, quelqu’ils soient, et de ne distribuer que ceux qui correspondent à des adresses qui existent réellement.

Cette dernière proposition a ma faveur, car elle pourrait alors, avec un peu de chance, contribuer à inonder les bases d’adresses inutiles.

Voilà donc pour le mystère du jour, finalement plus si mystérieux ! N’hésitez pas à partager vos expériences avec nos spammeurs français dans les commentaires, ou à diffuser ce billet où vous le souhaitez, il est là pour ça.

Les méthodes peu scrupuleuses de vendeurs de listes ne sont pas encore suffisamment connues, et notamment par leurs clients finaux : des sociétés souvent de bonne foi qui leur achètent des listes sans réaliser l’impact que ce spam pourra avoir sur leur image. J’espère que ce billet contribuera à les éclairer.  

Lire les articles précédents :
Facebook, ce très discret champ de bataille

Facebook serait-il devenu le nouveau terrain de jeu d'une ère cyber post-guerre froide ?

Fermer