Si vous chipotez l’Internet depuis plus d’un mois, vous avez probablement une adresse email. Qu’il s’agisse de jean-charles@henri.mc ou super_pubis_69@hotmail.com vous l’entrez régulièrement dans des formulaires sur des sites web qui vous demandent votre email. Parfois votre adresse apparâit en clair par-ci par-là parce que vous l’avez placée sur votre propre site ou... Parce que vous l’avez placée sur un autre site.

Quoi qu’il en soit, ça craint du boudin. Pourquoi ? Il existe des “robots” à l’instar des robots indexateurs des moteurs de recherche, qui moissonnent le net à la recherche d’adresse email. C’est tout. D'ailleurs ils vont chopper les deux adresses que j'ai mentionnées plus haut, et les propriétaires de ces adresses vont probablement me conspuer sans savoir que je suis responsable de la perte irrémédiable de l'intégrité de leur boite mail et/ou du 1300 non-lus qui apparaît dans leur répertoire de courrier indésirable, s'ils ont la chance d'en avoir un.

Ces listes immenses d’adresses sont vendues pour faire du marketing sauvage, ou de l’arnaque. Dans les deux cas on parle de SPAM. Je ne vais pas en expliquer davantage sur le sujet. Parce que vous le savez déjà sûrement, et parce que j'ai pas que ça à faire. OK j'ai que ça à faire.

Les mailing lists sont normalement différentes du spam à proprement parler en cela que vous devez, normalement, vous y avoir été inscrit précédemment pour la recevoir (à moins qu'un "ami" ne vous y ait inscrit). Le spam vous est envoyé que vous le vouliez ou non et que vous soyez homme ou femme vous ne serez pas discriminé quant aux problèmes d'érections et de, je cite, feu d'artifice de sperme et de joie.

Je ne sous-entends bien entendu pas par là que les femmes soient privées d'organe érectile ou même de possibilités d'éjaculation, je suis entièrement ouvert à l'idée. Par contre je ne suis pas sûr que le Cialis ou Viagra n'aient pas d'effets pervers sur une femme. Une question intéressante à laquelle je serai certain de donner suite pour un prochain article.

Je me permet de revenir à la définition: une mailing list est simplement une base de données dans laquelle vous inscrivez votre adresse email. Elle peut ensuite être utilisée pour envoyer du courrier électronique à tous les membres de la dite base de données.

Ce qui m'intéresse particulièrement ici c'est l'usage commercial, dans lequel vous n'avez absolument pas accès à la base de données des adresses. Enfin normalement...

Encart sur la sécurité informatique que je vous conseille de passer si vous trouvez ça barbant, trop technique, ou que vous n'êtes pas déjà sur les WC

Je dis normalement parce qu'il existe une faille bien connue des applications web qui permet d'éventuellement déterminer qui est inscrit sur un site web ou dans une mailing list, ou dans n'importe quoi qu'est-ce qui demande une inscription avec adresse email (et généralement mot de passe).

L'objectif est simple: déterminer si adresse.email.exemple@example.com est inscrite sur le site / la mailing list cible.

Exemple concret: allez sur http://www.abcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijk.com/login.php

Il s'agit d'une page de login pour un webmail. Vous voyez un formulaire qui demande nom d'utilisateur et mot de passe. Tapez n'importe quoi tant dans l'un que dans l'autre et validez.

Qu'est-ce que vous recevez comme réponse ?



Bon javoue que c'était probablement le pire endroit et la pire couleur et la pire mise-en-page pour afficher ce message mais faut pas s'attendre à beaucoup de zèle artistique de la part d'un site qui s'appelle http://www.abcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijk.com. Ce qui est intéressant de noter ici, c'est qu'on ne vous dit pas précisément si c'est votre nom d'utilisateur, votre mot de passe ou les deux qui sont incorrects, on vous dit que l'un ou l'autre est incorrect. La nuance est très importante... En effet considérons maintenant ce scénario:

• Vous suspectez votre ami Robert d'être fétichiste des ballons (http://fr.wikipedia.org/wiki/F%C3%A9tichisme_des_ballons).
• Vous vous rendez sur LE site de rendez-vous des fétichistes de ballons (non je link pas et j'ai même pas d'adresse de toutes façons (je vous jure)).
• Vous trouvez le formulaire de login du site de fétichistes de ballons: il vous demande un email et mot de passe.
• Vous entrez n'importe quoi comme mot de passe. Par exemple, BOUTDECACA. Comme email, vous entrez l'adresse email de votre ami Robert.
• Vous validez.

Ici deux scénarios:

1. Le site vous répond que votre email ou mot de passe est incorrect. Vous ne pouvez donc pas savoir si votre ami Robert est inscrit sur le site des fétichistes des ballons. Du coup vous l'inscrivez de force.
2. Le site vous dit que juste votre mot de passe est incorrect. Et vous avez testé avec un couple de valeurs complètement incorrectes qu'il différencie si juste le mot de passe ou le mot de passe + l'email son incorrects.

Dans le cas numéro 2, vous savez définir qui est inscrit sur le site en essayant toute une série d'adresses emails. Cela peut vous paraître fastidieux à la main mais c'est extrêmement simple à robotiser.
Conclusion: Si un site ou une mailing list sont mal sécurisés, il est parfois possible de déterminer qui est inscrit dessus et donc reconstituer la liste des adresses email même si vous n'y avez pas accès.

FIN DE L'ENCART CHIANT

Bon alors pourquoi vous recevez ces emails commerciaux ?

Plusieurs possibilités; soit vous vous êtes vraiment inscrit avec comme volonté de recevoir les annonces de tel ou tel site. SI vous aimez dépenser de l'argent, pourquoi pas.

Si ce n'est pas le cas, quelqu'un vous a inscrit de force, très probablement parce que votre adresse email a été trouvée dans une liste choppée quelque part sur le net. Et c'est pas vraiment "quelqu'un", tout ça est automatisé. Oui c'est mal. Très mal.

Structure de l'email commercial type

Un email commercial répond généralement toujours à la même structure:

1. Un lien vous disant que si vous voyez pas bien l'email, vous pouvez cliquer là. Il vous ouvre alors un équivalent de ce que vous avez reçu par mail dans votre navigateur.
2. Une énorme image + un peu de texte ou une série d'images et de texte. Mais c'est nettement plus simple de coller juste une énorme image pleine de couleurs Flash.
3. Un lien microscopique, très souvent tout en bas de la page, qui vous propose de vous "désinscrire". Toujours amusant à voir si vous êtes persuadés de jamais vous être inscrit à ce truc de merde.

Petite illustration:



Il manque le lien vers le mailing sur le net, ils devaient avoir confiance sur l'idée que les clients mails allaient afficher toutes les images sans se méfier.

Le truc qui me fait toujours sourire c'est ce dernier point: le lien de désinscription. Pourquoi ? Les auteurs le mettent juste là pour des raisons légales, ils ont aucune envie que vous puissiez vous désinscrire (ben ouais). Alors souvent, ce qui se passe quand vous cliquez sur "ME DESINSCRIRE" est cocasse. Enfin... Je pense que ça fait rire que moi mais j'en parle quand même, y a bien des fétichistes des ballons gonflables alors pourquoi pas :)

Vous pouvez aussi vous la faire en plus cheap, choisir une couleur à vomir, mettre des images de trucs qui sont pas sexualisés et surtout pas de lien de désinscription. Par contre vous mettez bien une signature complète avec votre site et votre adresse à Shanghai:



Celui-là au moins c'est sûr et certain que vous vous y êtes pas volontairement inscrits. Les gens cherchent toutes sortes de choses sur Internet mais je suis sûr que les LED chinoises arrivent quelques places après le fétichisme des ballons gonflables dans le nombre de recherches effectuées par jour.

Le truc honnête chez les spammeurs Chinois, c'est qu'eux n'ont pas peur de vous balancer leur adresse en pleine poire, voire même leur "MSN" (complètement has-been) ou leur Skype. Si vous êtes motivés vous pouvez les spammer en retour, et même les contacter sur skype, récupérer leur adresse IP, et louer un botnet pour les DDOS. Moi je trouve ça honnête.

Les pages de désinscription

Revenons au sujet qui nous intéresse: que se passe-t-il quand vous cliquez sur le lien de désinscription.

Certains auront fait remarquer à raison qu'il peut s'agir d'un stratagème pour que le spammeur soit certain qu'il y ait bien quelqu'un qui relève le courrier derrière cette adresse email. En effet, si vous cliquez sur le lien de désinscription, vous lui signalez que vous êtes actif sur cette boite de mail, ce qui lui permet de vous placer sur une liste de meilleure qualité. J'y connais pas grand chose au marché underground des adresses email mais je suis sûr qu'il y a des différences de qualité entre les listes.

L'autre possibilité, c'est de mettre une fausse page de désinscription. Un truc qui dit juste toujours la même chose, genre OK. Parfois c'est légitime, et il y a effectivement un script qui a essayé de vous retirer de la liste (ceci dit il a jamais été testé et ne marche pas ou plus depuis des siècles et n'a pas de gestion d'erreur de toutes façons).

Ces pages finement élaborées peuvent être dénuées ou non de tout code HTML. Par exemple, celle-ci est intéressante parce qu'elle a du code HTML (ouais vous devez cliquer dessus pour voir en grand, c'est comme dans les années 90):



Pourquoi la personne s'est fait chier à mettre une balise head vide et un body ? J'en sais rien du tout mais ça pourrait faire objet d'une étude approfondie (non en fait, je vous rassure :P (enfin quoique).

Parfois vous tombez sur un formulaire, et il est toujours extrêmement moche et souvent carrément intimidant.

Conclusion

Vous réalisez des campagnes de communication par email ? Par pitié soignez votre système de désinscription. Je dois pas être le seul à trouver que ça casse tout le sérieux. Ou peut-être que je suis le seul. Mais sachez juste qu'il existe des gens que ça excite de regarder des vidéos de femmes à moitié déshabillées qui gonflent des ballons.

J'avais plein d'autres trucs à dire mais j'ai bu deux Rochefort 8 et mangé un Kinder Bueno. 'nuff said.