Spam : dire quoi, faire quoi, téléphoner à qui ?

jibe-74 · Novembre 25, 2019, 10:59am

Bonjour,

J’aimerais avoir votre avis sur les moyens de se défendre des “nouvelles” pratiques de spamming. Pour situer un peu le contexte, voici déjà comment je pratique :

J’ai cessé de “perdre mon temps” à écrire aux services “abuse”. Outre le fait que, quand le spam provient de l’étranger (ce qui est de plus en plus le cas, même quand votre adresse a été collectée par une entreprise française øøø) certaines pratiques ne sont pas interdites par la loi locale, j’en ai un peu marre de le faire “pour le bien de tous” quand la majorité des “tous” refuse d’entendre qu’ils ne respectent pas ma vie privée lorsqu’ils ne me permettent de communiquer avec eux qu’avec des adresses gmail, hotmail, orange etc. et que mon adresse se retrouve diffusée ainsi aux spammeurs à l’insu de mon plein gré.

Donc, je me contente de blinder mon réseau local, de préférence en blacklistant par mon firewall les plages d’adresses IP des spammeurs plutôt qu’en employant des logiciels anti-spam difficiles à bien ajuster pour n’avoir pas trop de faux positifs ni de faux négatifs et surtout très gourmands en ressources. Mais peu importe : je filtre, et jusqu’à ce matin, j’étais plutôt très satisfait des résultats.

Or, ce matin, j’ai reçu un spam manifestement suite à une commande passée hier soir. Je regarde de près comment il a pu passer au travers de mon filtrage, et que vois-je ? Non seulement qu’il a été envoyé par mandrillapp.com, société proposant des services et add-ons de traitement et envoi massif de mails, mais qu’en plus ce spam a pour expéditeur info-commande@le.fournisseur. Je ne cite donc pas le fournisseur, qui pourrait être “responsable, mais non coupable”. Mais bon, si on ne peut pas l’accuser d’avoir lui-même l’intention d’envoyer du spam interdit par le RGPD, il est quand même coupable d’avoir choisi un “partenaire légitime” (terme qui rend le RGPD peu efficace, malheureusement) ayant des pratiques illégales, même si c’est à l’insu de son plein gré.

Reste donc que cette pratique, sauf à utiliser des filtres bayésiens difficiles à bien ajuster et très gourmands en ressources, rend le filtrage inefficace de manière très intentionnelle. La première chose à faire est donc, au cas où il ait d’autres chats à fouetter et ne s’en soit pas rendu compte, de prévenir le fournisseur et de lui rappeler que ses “partenaires légitimes” sont tenus, sous sa propre responsabilité, de respecter le RGPD.

Mais voilà : autre problème, le whois n’indique pas l’adresse “abuse” du fournisseur ! Je croyais pourtant que c’était obligatoire au moins qu’il en fasse connaître une, et même qu’elle figure dans le whois.

Donc, ma question est simple : que faites-vous (ou feriez-vous), dans un tel cas, pour faire valoir vos droits, légalement reconnus et définis par le RGPD et autres lois, de n’être pas importuné par des démarches commerciales qui, d’ailleurs, ne devraient être pratiquées qu’avec le consentement explicite préalable de l’intéressé, ce qui n’est pas le cas ici ? Oui, je sais : la CNIL propose des lettres-type et une démarche. Mais il y a aussi le problème de l’adresse “abuse” et le fait que l’auteur du spam n’est pas celui au nom duquel il envoie ce spam, ni celui à qui j’ai donné mon adresse, et ce que je voudrais surtout c’est faire prendre conscience au fournisseur du problème posé par le “partenaire légitime” qu’il a choisi.

anon16237994 · Novembre 24, 2019, 1:49pm

Bonjour,
La solution la plus efficace que j’ai retenue après presque deux décennies de spams : se creer une adresse poubelle. Et elle porte très bien son nom

jibe-74 · Novembre 24, 2019, 3:02pm

Ah, oui, je n’ai pas parlé de ça…

Il y a deux sortes d’adresses poubelle : l’adresse jetable et l’adresse honey-pot (à moins que tu parles encore d’autre chose ?).

J’ai effectivement créé des adresses honey-pot que je publie. Entre autres les classiques info@, bienvenue@ etc. pour lesquelles je préviens explicitement de ce qu’il en est. Elles me permettent de déjouer et blacklister systématiquement et automatiquement les spammeurs utilisant les robots collecteurs.

Après, effectivement, pour les sites où on passe une seule commande ou où on commande rarement, on se crée une adresse jetable qu’on détruit une fois la commande reçue.

Mais là, je parle d’un fournisseur où je commande assez régulièrement, relativement honnête et respectueux de la vie privée (entre autres qui n’a pas une liste de trackers longue comme le bras sur son site si on oublie le quasi incontournable google analytics traité une bonne fois pour toutes dans mon /etc/hosts) mais qui, de toute évidence, sous-traite l’envoi de mails à un prestataire qui en profite un peu trop et probablement à son insu.

Je traite d’habitude ces cas là par une black-and-whitelist où j’autorise le passage sans contrôle de l’adresse utilisée pour le traitement des commandes et où je blackliste toutes les autres :

commandes@le-fournisseur.tld OK
news@le-fournisseur.tld 521 We don't like spammers here.

Mais là, je ne peux plus, puisque la même adresse est utilisée pour le traitement des commandes et le spam

Et donc, pour résumer mon post précédent, je voudrais informer ce fournisseur des magouilles de son sous-traitant pour faire passer le spam, mais je suis surpris qu’il (le fournisseur que je croyais honnête) n’ait pas d’adresse abuse indiquée sur son site (ce dont je suis quasi certain de l’obligation) et sur le whois (où je croyais que c’était obligatoire aussi). Je peux certes le contacter par son formulaire ou par courrier postal, mais c’est bien peu pratique pour lui transmettre les sources du spam reçu… D’autre part, le service abuse est censé être beaucoup plus réactif que le service commercial. En attendant, je suis condamné soit à subir le spam, soit à renoncer au suivi de ma commande en blacklistant l’adresse mail ou IP, soit à bouffer les ressources de mon serveur avec un filtre bayésien dont la fiabilité n’est pas parfaite !

gilles2 · Novembre 25, 2019, 11:04am

Dans ce cas, un appel téléphonique pour expliquer tes désagréments est indiqué.

jibe-74 · Novembre 27, 2019, 7:55am

Salut,

Merci pour ta réponse… et la correction typographique de mon titre : cette absence d’espace m’avait échappé !

Oui , un coup de téléphone semble suffire en pareil cas. Sauf que j’en ai malheureusement déjà constaté l’inefficacité. On vous dit “oui, oui, bien sûr. Soyez tranquille, on s’en occupe”, mais de fait rien ne change

Je pense que ça suffirait si une majorité des victimes de spam dénonçaient systématiquement ces pratiques insupportables : les entreprises prendraient conscience de la mauvaise image de marque qu’entraîne la négligence d’un minimum d’éthique et de respect des lois. Mais tant que ceux qui dénoncent ces pratiques sont l’exception, à fortiori s’ils le font de manière un peu trop facile à étouffer, ils continuent de croire que le harcèlement est le meilleur moyen de s’imposer. Ce qui, malheureusement, est assez vrai dans ce monde où une majorité de gens se comportent comme des moutons suivant bêtement celui qui les entraîne vers la noyade…

Bon, c’était aussi le but un peu inavoué de ce sujet de dénoncer ce laxisme par rapport à des procédés dont tout le monde est victime et s’en plaint, tout en considérant qu’il n’y a rien à faire…