Les spamtraps j’en parle souvent dans les communautés lorsque j’interviens, le sujet est assez récurent il faut le dire 🙂 Par contre jamais je n’ai donné de conseils visant à les utiliser comme méthode anti-spam, pas qui a été franchi par Orange sur leur newsletter et leur blog. Je ne partage pas du tout leur point de vue quand à la mise en place d’une technique de répression individuelle et personnelle.
Les spamtraps sont, je le rappelle, des adresses emails que vous administrez, et qui vous permettent de suivre les emails qui sont envoyés sur celles ci. J’en utilise quelques une moi même pour suivre l’évolution, les échanges entre bases de données. L’une d’elle a ainsi déjà été échangée 10 fois sans mon consentement, en passant d’une base sur le thème du voyage, à de la finance, des pièces détachée de camion, du mobilier, de l’électroménager, etc. La création et le suivi de ces adresses un peu spéciales, permet d’avoir une bonne vision des prestataires propres, et de ceux qui le sont (beaucoup) moins. Un gros broker d’email, bien connu, à 85% de mes spamtraps en base, tous étant censés être opt-in partenaire alors que ces adresses on soit été échangées, soit aspirées sur mes sites.
En ce point, l’article d’Orange sur la création et la dissémination des spamtraps est intéressant. Vous pouvez vous y amuser vous aussi.
Par contre la deuxième partie qui traite des méthodes de sanction est à mes yeux inacceptable, pourtant vous savez quelle est ma vision sur le spam et à quel point je déteste ces gens. Pourquoi alors ne suis-je pas en accord avec Orange sur ce sujet ? Simplement parce que ce n’est pas à nous, souvent béotiens en technique ou en mesure antispam, d’aller se faire justice en faisant des déclarations abuse à des prestataires ou des FAI. Cela reviendrait à la même chose que de donner un flingue à tous les citoyens et de leur permettre de faire la police eux même ! On a crié haut et fort à l’injustice avec Hadopi parce qu’il était simple de pirater un ordinateur, compte ou accès pour pirater sans qu’on puisse nous retrouver or pour l’envoi des emails, ce n’est pas plus compliqué ! Avec ce que préconise le blog d’Orange, le premier qui va passer en blacklisté sera le FAI lui même car bon nombre de ses utilisateurs n’utilisent pas des bases propres (ah les adorables petites bases sur CD que j’exècre !) pour leurs campagnes.
Ensuite qu’en sera t’il de tout ceux qui ont subi des piratages informatique pour envoyer des emails ? Que ce soit du hack en dur, de l’injection de formulaire, de l’open-relay, etc. Oui c’est pas bien de ne pas être sécure, mais de là à lancer l’hallali et de faire blacklister tout le monde, je trouve que les conseils sur le blog d’Orange sont plus que dangereux !
Vous voulez faire remonter des informations antispam, ok. Appuyez sur le bouton « ceci est un spam », mais de là à automatiser de l’abuse à l’emporte pièce, laissez cela à des professionnels qui eux savent ce qu’ils font et comment le faire !
C’est d’autant plus gonflé qu’Orange propose un article de ce type alors qu’il y a encore peu de temps, ils se faisaient épingler pour leur politique d’Opt-in partenaire forcé Ok c’est pas du spamtrap, mais c’est pas pour autant plus joli.
Articles proches :
- Orange et l’opt-in partenaire : Rouge de colere ou Vert de rage ?
- Prospection emailing : Fini chez Yahoo ?
- « Je ne comprends pas pourquoi je passe en spam » ou la vérification régulière de vos SPF
- Alerte Orange : Attention aux phishing
- Spam et blogs : Quand les trackbacks sont détournés pour faire du spam
3 Commentaires
Bonjour,
Merci de citer mon article sur le Blog Sécurité d’Orange Business Services.
Comme indiqué en reponse à votre commentaire, cet article est destiné à un public de type professionnel.
Les spamtraps, et systèmes de génération de plaintes automatisés, sont utilisés par des professionnels et non
pas Mr/Mme « tout le monde ».
Cela n’était peut-être pas très clair dans mon article. C’est maintenant chose faite !
Bien cordialement,
JF
Bonjour Monsieur Audenard et merci pour votre commentaire.
Si seulement les informations pour les professionnels restaient uniquement lisible pour les professionnels… 🙂 Magie ou Malédiction d’Internet et de l’informatique, ces informations se diffusent, et sont ensuite utilisée par des béotiens, ou pire, par des bricoleurs.
Je comprend tout à fait votre démarche et aurais pu la partager il y a un temps. Mais quand je vois le désastre que peut causer un blacklistage sur une entreprise, non je ne peux alors pas cautionner que pour lutter contre le spam on cherche à devenir justicier.
Oui, avec vos préconisations, on va sans aucun doute toucher certains spammeurs, ou plutôt apprentis spammeurs car les professionnels ne gèrent pas leurs propres serveurs, ils parasitent les serveurs et ordinateurs des autres.
Donc ce sera les petits poissons qui se feront attraper, et pas ceux qui génèrent vraiment le gros du spam.
Et parmi ces petits poissons, vous aurez également tout plein de petites entreprises qui n’ont pas les ressources pour se sécuriser, même s’il le faudrait. Parfois c’est juste qu’elles n’en ont même pas conscience, parce qu’elles ont déjà « Norton » d’installé sur la machine et que sa petite lumière est verte (oui, sur le terrain, c’est parfois à ce niveau de connaissance que cela se joue) Peut-on leur jeter la pierre et les déconnecter de l’Internet ou plus précisément, peut on les empêcher d’émettre ?
Sachant que ces petites structures qui verront leur nom de domaine impacté représentent bien souvent quelques salaires, c’est autant de monde qu’on met directement sur la touche. (J’ai une connaissance qui suite à son blacklistage a perdu 80% de son CA pendant 4 mois => 3 salariés licenciés)
L’auto-plainte abuse est un outil qui peut avoir des conséquences dramatiques s’il n’est pas parfaitement géré, et il ne le sera pas, il ne faut pas se leurrer.
Le spam se filtre avec du comportemental & des filtres sophistiqués. Pas avec une bande de pistoleros. Pistoleros n’est pas un terme que j’utilise pour manquer de respect à des professionnels, DSI et autres responsables emailing, rassurez-vous. Pistoleros, ce seront les lecteurs de votre article qui, se disant que c’est de bonne guerre pour faire chi.. les spammeurs, bricoleront sur leur serveur quelque chose de similaire à vos préconisations. Le web étant ce qu’il est, cela se diffusera comme se sont diffusé en leur temps les autorespondeurs spécial anti-spammeur qui ont abouti au blacklistage de nombreux « justiciers », ainsi que de leur serveur et FAI.
J’ai fait le lien avec Hadopi car c’est la même injustice qui peut se cacher derrière. C’est pas vous le spammeur mais comme vous n’avez pas assez sécurisé votre système, et n’être pas un expert spécialisé dans le domaine n’est pas une excuse recevable, vous serez quand même pénalisé parce que le combat contre le spam est juste ! Pas glop comme système vous ne trouvez pas, en s’y repenchant un peu… ?
Tout ceci me rappelle bizarrement l’arrivée du « spam report » ou plus tard le « search wiki »par maitre Google.
Faites notre travail à notre place, qui disait…