Le spam

Publié par Richard Dern le 04/09/2019 - Aucun commentaire

Sommaire du dossier
  1. Les pop-ups
  2. Le cloud
  3. Les anti-bloqueurs de pubs
  4. La télémétrie
  5. Le spam
  6. Les dark-patterns

Autre pratique commerciale malsaine, le spam n'est inconnu de personne.

Le premier spam a été envoyé le 3 mai 1978 par Gary Thuerk, marketeur travaillant chez DEC. Il envoya son message à près de la totalité des utilisateurs d'ARPAnet (ancêtre d'Internet) vivant sur la côte ouest des États-Unis, soit environ 600 personnes. Il fit cela sans mauvaise intention, afin d'inviter ces utilisateurs technophiles à une démonstration de la gamme DEC.

-- Wikipédia - Spam

Si, dans le principe, le spam ressemble fortement à une liste de diffusion classique, il s'en détache par plusieurs points-clés, et en particulier le consentement des destinataires, notion chère à la CNIL, et aux utilisateurs...

Autre élément important: le spam n'a pas toujours une vocation commerciale, mais a toujours une vocation financière: que ce soit pour "inviter ces utilisateurs technophiles à une démonstration de la gamme DEC" ou pour vous informer de votre lien de parenté avec un prince nigérian, ou vous proposer des pillules pour vous transformer en Tyrannosaure en rut, ou encore pour vous informer que votre historique de navigation sur des sites pornos va être diffusé au monde entier, le but est toujours l'extorsion.

Aux début du spam, les marketeux pouvaient se débrouiller par eux-même pour commettre leurs méfaits. Mais compte tenu du niveau technique atteint aujourd'hui par le spam, il est hautement probable que des geeks peu scrupuleux les aient aidé.

Falsifier l'adresse email de l'expéditeur n'est pas compliqué, pas plus que récolter une liste d'adresses email (ou en générer une aléatoire). Mais l'envoi massif de mails nécessite des ressources logicielles inaccessibles aux simples marketeux. Car, avec le temps, des contre-mesures ont été mises en place au sein-même des serveurs de messagerie, telles que le throttling (qui permet de limiter le nombre d'envois dans une fenêtre temporelle donnée), le graylisting (qui teste la patience du serveur de l'expéditeur), les filtres bayésiens, etc.

Malgré ces contre-mesures, le spam est toujours une réalité, et l'histoire m'a démontré que même quand on met en place toutes sortes de protections, tout le monde peut être victime du spam.

Par exemple, je créé systématiquement un alias mail dès que je créé un compte sur un site donné. Ainsi, je sais qu'une grosse partie du spam que je reçois vient d'illicado. Ce n'est pas illicado qui m'envoie le spam, mais d'une façon ou d'une autre, des spammeurs ont eux accès à mon adresse email dédiée à illicado, alors que mes autres alias n'ont rien à craindre. Cela sous-entend que soit illicado a fuité mon adresse email, soit qu'ils l'ont délibérément vendue.

Comme on doit être assez peu nombreux à se créer un alias mail pour chaque site qui nécessite un compte utilisateur avec une adresse email, et que toute action individuelle est vouée à l'échec, rien ne changera.

Je gère mon propre serveur mail, et je suis donc relativement à l'abri d'une autre technique utilisée par les spammeurs: la génération d'adresses email aléatoires. C'est quelque chose qui a été beaucoup vu sur GMail par exemple. Compte tenu de la quantité de comptes (1.5 milliards en 2018), c'est une technique qui a fait ses preuves.

En gros, il suffit de prendre un prénom relativement commun (John par exemple), et rajouter un suffixe numérique. On obtient ainsi, très probablement, un grand nombre d'adresses valides et réellement utilisées. Là encore, un simple marketeux ne prendrait pas un temps considérable à créer une liste de ces adresses manuellement quand un geek peut lui pondre un script qui lui génère des centaines de milliers d'adresses en quelques secondes.

Encore une technique qui a fait ses preuves: le simple virus, de type worm. On n'en trouve probablement plus beaucoup (ils ont muté en ransomware), mais à l'époque, dans les années 2000, c'était le meilleur moyen de récolter rapidement des milliers d'adresses email valides et utilisées. Et encore une fois, c'est inaccessible aux marketeux.

Ceci dit, bien sûr, on peut être geek-sith et marketeux, ce n'est pas mutuellement exclusif.

Commentaires

Vous pouvez utiliser markdown dans votre commentaire. Si vous indiquez une adresse email, elle sera utilisée pour vous notifier des commentaires publiés sur cette page. Elle ne sera utilisée qu'à cette fin et ne sera jamais transmise à un tiers.