SPAM, quand tu nous tiens…

130516-spamPréambule : I’ve bricked my PC

Mon ordinateur personnel principal, pourtant tout neuf, est hors-service. Totalement inutilisable ! Il ne démarre même plus (« I’ve bricked my PC », diraient les anglophones).

Cela a été provoqué par une simple mise à jour du BIOS, suite à des écrans bleus que j’avais systématiquement en sortie de veille (sous Windows 8 x64). Heureusement, j’ai un contrat de support Premium, ce qui fait qu’un technicien devrait passer prochainement changer la carte mère.

Cela me permet de me concentrer sur d’autres choses… prenons par exemple le spam que je reçois dans l’une de mes principales boîtes de messagerie.

Comment je gère ma messagerie

Depuis pas mal d’années, j’ai pris l’habitude de créer une adresse email dédiée pour toute inscription que ce soit sur un site Internet (l’un des nombreux avantages à posséder ses noms de domaine). C’est une gestion certes un peu lourde, car il faut s’imposer cette discipline de fer qui nécessite de la manipulation web en plus, mais les avantages sont importants, du moins pour moi :

  • Suivi de l’origine des spams
  • Possibilité de tri et de filtrage bien plus simples
  • Redirection vers des boîtes spécifiques internes et externes
  • Duplication automatique de certains messages reçus vers les membres de la famille (par exemple pour l’organisation de voyages avec EasyJet, Booking et autres)
  • etc.

Mais le plus utile pour moi est le suivi des spams. Cela me permet en particulier de comprendre, lorsque je reçois des pourriels, par quels biais « mon » adresse email a été collectée, si la base de données « clients » s’est fait pirater, etc.

Au total, je possède 6 boîtes de messagerie distinctes, et  260 alias de courriel (j’ai fait du ménage, j’en avais plus de 400 à un moment), redirigées vers ces 6 boîtes selon différents critères.

Pour le moment, j’ai deux sources de spam majeures. D’une part mon adresse de courriel personnelle historique, qui me pose un réel problème (j’y reviens en détail plus bas), et quelques emails dédiés provenant de sites commerciaux ou forums qui se sont fait pirater.

1/ Les spams issus de bases de données client « volées »

Du côté de mes fameux alias de courriel, je reçois des spams divers provenant des bases client suivantes :

  • LinkedIn : Preuve que le célèbre réseau social s’est bel et bien fait voler sa base clients. Ils ont reconnu les faits, c’est déjà ça. Heureusement que mon mot de passe est également différent pour tout site que je visite.
  • PocketGear : Ce site de vente en ligne d’applications pour PocketPC (et oui, ça date!) est devenu Handago depuis quelques années.
  • Plex : Le fameux logiciel pour transformer tout ordinateur, tablette ou smartphone en superbe plateforme multimédia (un peu comme XBMC). D’après l’historique des spams reçus, c’est clair : c’est la base du forum des utilisateurs qui s’est fait pirater.
  • Asis International : Là, c’est plus gênant, car ASIS International n’est ni plus ni moins que l’association mondiale des experts… en sécurité physique ! Tous les anciens de la CIA, les enquêteurs et spécialistes en protection des milieux hostiles, investigations en tous genres et votre serviteur. Autant dire que ça fait sourire de savoir qu’ils se sont fait voler leur base utilisateurs. Bien entendu, ils n’en ont pas fait mention, à ce que je sache… si ça se trouve, ils n’ont même pas remarqué ! Pas très sérieux.
  • Cdiscount : C’est la plus vieille source de spams que je reçois, depuis au moins 7 ou 8 ans ! Ce vendeur en ligne n’a pas bien protégé sa base clients. Je ne sais pas si elle a déclaré l’incident à ses clients, mais il ne me semble pas.
  • Qtek : Lorsque j’ai acheté l’un de mes derniers smartphones sous Windows Mobile, c’était un Qtek 9100. Depuis, la marque est devenue HTC, que tout le monde connaît forcément, mais il n’a pas fallu longtemps pour que je reçoive des cochonneries par email avec cette adresse Qtek. Preuve, une fois de plus, que la base de données clients n’avait pas été protégée. Ou pire encore, que lors du passage de Qtek à HTC, il ait été décidé de laisser tomber la sécurité des sites Qtek, et tant pis pour les données sensibles stockées sur les serveurs.

Mon mécanisme d’alias email est bien pratique : ça me permet comme on peut le voir ci-dessus, de retracer l’origine des fuites, et donc de savoir si mes données confiées à tel ou tel organisme ont été dérobées, preuve de négligence caractérisée. Une fois la fuite confirmée par ce biais, il ne me reste plus qu’à désactiver l’email correspondant (ou à le rediriger dans ma « boîte à spams » dédiée à l’analyse de ces choses), à changer le mot de passe et l’email associé au compte, si besoin…

2/ Les spams arrivant dans ma boîte historique 

 Là, c’est une autre paire de manches. Depuis quelques années, je reçois des cochonneries dans ma boîte de courriel principale. Pire encore, depuis un an et demi environ, j’ai renoncé à m’en servir, car le flot interrompu de cochonneries avoisinne les 50 à 100 pourriels quotidien. Autant dire que c’est ingérable.

Pourtant, je n’ai pas voulu couper cette adresse, car il m’arrive encore parfois de reçevoir des courriels légitimes dedans. J’ai tout d’abord, bien évidemment, créé une nouvelle adresse personnelle, que je n’ai communiqué qu’à un cercle très restreint d’amis et contacts. Ensuite, j’ai activé un répondeur automatique sur ma boîte spammée, envoyant pour tout courriel reçu un message à l’expéditeur précisant que mon courriel a changé et qu’il faut me contacter autrement. Bien entendu, les spammers ne lisent pas ce type de choses, mais au moins mes quelques correspondants légitimes qui m’écrivent occasionnellement reçoivent l’information.

Afin de ne pas y passer des jours, je ne consulte du coup cette boîte saturée de pourriels que de temps à autres, environ une fois par semaine. J’y repère rapidement les éventuels (et rares) messages légitimes qui s’y trouvent, et contacte les expéditeurs pour les informer de mon nouveau courriel.

Mais cela ne règle pas vraiment le problème. Car, un jour, j’espère pouvoir reprendre la maîtrise de cette adresse de messagerie. Alors je dois trouver des solutions pour éradiquer le phènomène. J’ai élaboré la méthode suivante :

Classification linguistique :

  • environ 60% de messages publicitaires en français
  • environ 20% de spams rédigés en hébreu (?!)
  • et 20% également de spams anglais

Classification par type :

  • 80% de messages publicitaires, avec lien HTML de désinscription fourni sur la page
  • 1% de messages publicitaires, avec un email à renvoyer pour la demande de désinscription
  • 19% de messages sans moyen de se désinscrire (phishing, malware, scam nigérian, et autres)

Les actions qui ont suivi m’ont donné plusieurs pistes intéressantes :

Message par message (ça prend du temps), j’ai cliqué sur le lien de désinscription fourni (dans une VM dédiée + Sandbox pour accès Webmail, on n’est jamais trop prudent). Résultat : environ 70% de « succès » lors de la désinscription (une page s’affiche m’indiquant que je suis bien désinscrit), et 30% de liens invalides (serveur inexistant, erreur de base SQL, etc.).

J’ai constaté que la très grande majorité des spams de ce type utilisaient seulement quelques interfaces de désinscription similaires. J’ai ainsi recensé une petite dizaine de plateformes au total, basées en France, au Danemark, en Hollande, et en Israel (pour les pourriels en hébreu). Pas plus ! Manifestement, la désinscription a fonctionné sur ces plateformes, car je ne reçois plus rien de leur part. Mais la question relative à la présence de mon email chez ces « prestataires » reste entière… J’ai donc pu simplement éliminer largement plus de la moitié des cochonneries arrivant chez moi.

Pour le reste des pourriels, c’est plus complexe : phishing et autres scams ne proposent bien entendu pas de liens de désinscription. Mais il est plus facile de détecter ces types de messages comme étant du spam. Je dois encore travailler sur le sujet à l’occasion.

L’Origine du Monde

Revenons un peu en arrière : Comment ai-je pu être autant spammé par des sociétés marketing m’envoyant des messages en français ? Simplement car mon adresse s’est retrouvée dans une base de données « client » vendue et revendue à de nombreuses agences marketing… Il y a un an environ, lorsque je suis devenu excedé de voir tous ces messages arriver, j’ai pris mon courage à deux mains et ai entrepris de contacter ces sociétés de marketing, en les harcelant jusqu’à ce qu’elles m’indiquent comment elles avaient collecté mon adresse de courriel. J’ai, de fil en aiguille et après moult échanges de courriel et coups de fil (rarement cordiaux, d’ailleurs), obtenu une liste des sociétés en question, de leurs responsables, et la confirmation que mon email provenait d’un « CD-Rom » vendu de la manière la plus officielle. Fait intéressant, j’ai appris que j’y étais inscrit sous « Alain Kerouanton », et en tant que société (mais avec mon adresse email personnelle pourtant !

Je n’ai pas pris le temps d’aller plus loin dans l’investigation, mais c’est intéressant de voir cet aspect des choses.

A terme, j’espère pouvoir retrouver ladite société qui édite ce fameux CD-Rom, car non seulement je ne veux pas y retrouver mes coordonnées, mais en plus les infos sont erronnées. Nous verrons bien.

Autres petits soucis de spams, mais mineurs !

Pour finir, deux sociétés qui ont un peu joué avec mon courriel… Je les cite ici pour l’exemple :

nomination.fr, qui se vend comme plateforme d’annonce des nominations de cadres français. J’ai été surpris de reçevoir des publicités pour des ventes d’immeubles en provenance de mon alias email dédié à ce site. Contact pris avec le directeur de Nomination, celui-ci a été très cordial et s’est immédiatement excusé. Nos échanges de courriel ont permi de rectifier la situation, et de la clarifier. En relisant attentivement les conditions d’utilisation du site, on comprend le business-model : constituer une base de cadres supérieurs, dans le but de communiquer ces infos aux chasseurs de tête (ça, d’accord), mais également à d’éventuels vendeurs spécialisés dans les transactions haut de gamme. Ceci explique cela, mais le site est conçu pour que les cadres inscrits ne s’en aperçoivent pas, du moins si ils ne vont pas un peu fouiller. En tout cas, j’ai été sensible à la réactivité du dirigeant suite à ma doléance, et à ses échanges cordiaux et détaillés.

les-infostrateges.com, une petite société française basée dans l’e-reputation… mais qui n’a pas encore répondu à mes courriels suite à mes demandes successives de désinscription. Loin d’être sérieux, surtout vu leur coeur de métier.

A suivre…

Comments

Comment by ITI on 2013-05-16 15:48:07 +0200

Que j’admire les gens qui peuvent dégager du temps pour investiguer sur le SPAM. 😉

Me concernant, je collectionne juste les plus beaux, et j’en jette près de 95%. J’atends avec impatience la suite de tes démarches….