Vialet.org - Mot-clé - afnicBlog personnel de Guillaume Vialet : RGPD, spam et vie privée2023-09-04T14:34:42+02:00Guillaume Vialeturn:md5:9535d818376275b9673fdcc78d8ab0ebDotclearQuand l'Afnic fait le jeu des domaineursurn:md5:841bb17750602d2bc02647ee600543612015-03-31T15:01:00+02:002022-08-14T09:51:04+02:00Guillaume VialetInternetafnicdomainedomainerfbsarlfluydkifcorp <p>Suite au raté du <a href="https://vialet.org/blog/post/2015/03/Main-basse-sur-le-landrush-des-noms-de-domaines-FR">9 mars dernier</a>, l'Afnic a libéré 311 noms de domaine courts qui tous ou presque ont été immédiatement déposés par des <em>domaineurs</em>. Explications de ce système.</p>
<p>Afin de réserver un nom de domaine <em>.FR</em>, les personnes physiques (vous et moi) ou morales (une entreprise, une association...) doivent passer par un bureau d'enregistrement. Selon <a href="https://www.afnic.fr/fr/ressources/documents-de-reference/chartes/charte-de-nommage-en-vigueur-5.html" hreflang="fr" title="Charte de nommage de l'Afnic">la charte de l'Afnic</a> :</p>
<blockquote><p>[Les] bureaux d’enregistrement [sont] les personnes morales qui, dans le cadre d’un contrat d’enregistrement conclu avec l’Afnic, fournissent des services d’enregistrement de nom de domaine.</p></blockquote>
<h3>Que s'est-il passé le 9 mars dernier ?</h3>
<p>La société <strong>SCI T Colombet</strong> gérée par M. Tristan Colombet a procédé par erreur au dépôt de <strong>311 noms de domaine</strong> entre 11h30 et 11h59, c'est-à-dire juste avant le <a href="http://www.numerama.com/magazine/32242-les-noms-de-domaine-courts-en-fr-sont-disponibles-mais-il-faut-y-mettre-le-prix.html" hreflang="fr" title="Les noms de domaine courts en .fr sont disponibles, mais il faut y mettre le prix">basculement tarifaire</a> de noms de domaine <em>.FR</em> de deux caractères.</p>
<p>La <em>SCI T Colombet</em> s'est appuyée sur son réseau de bureaux d'enregistrement, tous reliés à la même société et dont l'objectif était de déposer le plus grand nombre de <em>.FR</em> de deux caractères dans les secondes suivants le changement tarifaire effectué par l'Afnic.</p>
<p>Hélas pour <strong>4x</strong>, site de vente de noms de domaine <em>.FR</em>, <a href="https://vialet.org/blog/post/2015/03/Main-basse-sur-le-landrush-des-noms-de-domaines-FR" hreflang="fr" title="Lire le billet : Main basse sur le landrush des .FR">l'ordre de dépôt aura été exécuté bien trop tôt</a>. L'Afnic a donc décidé le 10 mars, le lendemain, de libérer ces 311 noms de domaine tout en interdisant à <a href="https://4x.fr/" hreflang="fr">4x</a> de participer à ces nouveaux dépôts. La nouvelle date de libération était fixée au 11 mars à 15h.</p>
<h3>Une libération qui n'en a que le nom</h3>
<p>Ce mercredi 11 mars à 15h, ces 311 noms de domaine qui ont fait <a href="https://vialet.org/public/domaines/afnic/20150310-liste-des-311-ndd-1--2-car.pdf">l'objet d'un listing particulier</a> ont donc été « libérés ».</p>
<p><a href="https://vialet.org/public/domaines/afnic/whois-gandi_gv.fr.png" title="Whois Gandi du nom de domaine gv.fr"><img src="https://vialet.org/public/domaines/afnic/.whois-gandi_gv.fr_s.png" alt="Whois Gandi du nom de domaine gv.fr" style="float:right; margin: 0 0 1em 1em;" title="Whois Gandi du nom de domaine gv.fr" /></a></p>
<p>Cette libération de noms de domaine était gérée selon la règle du « premier arrivé - premier servi ». En clair, plus votre demande de dépôt était effectuée rapidement et plus vous aviez de chance d'obtenir un de ces noms de domaine.</p>
<p>Or, trois minutes plus tard, ils étaient tous réservés.</p>
<p>Le processus de réservation d'un nom de domaine chez <strong>OVH</strong>, le plus gros bureau d'enregistrement des <em>.FR</em>, prend au minimum deux à trois minutes, le temps de passer par une série d'écrans d'options, de mentions légales, d'identification, de paiement en ligne, etc.</p>
<p>Mais lorsqu'on procède à l'étude détaillée<sup>[<a href="https://vialet.org/post/2015/03/Quand-l-Afnic-fait-le-jeu-des-domaineurs#wiki-footnote-1" id="rev-wiki-footnote-1">1</a>]</sup> des bureaux d'enregistrement qui ont avec succès réservés un de ces 311 noms de domaine, on ne trouve pratiquement pas trace d'OVH, de <strong>1&1</strong> ou encore de <strong>Gandi</strong>, trois des plus populaires bureaux accrédités par l'Afnic.</p>
<h3>Qui a profité de cette libération ?</h3>
<p>On peut légitimement s'étonner de ne voir pratiquement aucun grand <em>registrar</em> dans la liste des bureaux ayant avec succès réservé un de ces précieux noms de domaine.</p>
<p>La liste des bureaux est pourtant assez longue, si l'on s'en réfère aux données publiques révélées par le <em>whois</em> de chaque nom de domaine.</p>
<p>On compte ainsi <strong>pas moins de 41 bureaux d'enregistrement</strong>, certains connus (<strong>Namebay</strong>, <strong>Mailclub</strong>, <strong>Orange</strong>) d'autres plus farfelus dans leur dénomination : <em>AD</em>, <em>AE</em>, <em>E</em>, <em>G</em>...</p>
<p><a href="https://vialet.org/public/domaines/afnic/stats-bureaux.png" title="Répartition des dépôts de .FR par bureaux d'enregistrement"><img src="https://vialet.org/public/domaines/afnic/.stats-bureaux_m.png" alt="Répartition des dépôts de .FR par bureaux d'enregistrement" style="display:table; margin:0 auto;" title="Répartition des dépôts de .FR par bureaux d'enregistrement" /></a></p>
<p>Voici la liste des bureaux d'enregistrement ayant réussi un dépôt ou plus parmi les 311 noms disponibles :</p>
<pre>
AD, AE, AFIR, ALCOTECH, ASTURIA, BZH 5 LIMITED, CYBER TAILLEFER, CYBERGESTION, DAUPHINE CONNECTE, DELTA PHI, DIGITALPES, DOMAINOO, E, ECOMMERCE SARL, EUROPE BUREAU, EXCEPTIONNEL, FB SARL, FB Sàrl, G, GRANSY s.r.o., IN MEDIA VERITAS, INTERNET SARL, KEY-SYSTEMS GmbH, MAILCLUB, MONAROBASE, NAMEBAY, NETIM, NETKREA, NEXTHAL, NORDNET, ONE 2 NET, OR, ORANGE, OVH, OXONE TECHNOLOGIES, P, PLANETHOSTER, PLANET-WORK, PROGRAMMEURS REUNIS, SONEXO B.V, TV
</pre>
<p>On constate immédiatement que <strong>13 bureaux sur les 41 ont déposés 10 noms de domaine ou plus</strong>, avec un record de de 22 noms sur 311 pour <strong>EUROPE BUREAU</strong> soit 7% de la totalité des noms disponibles à 15 heures.</p>
<p>Avec <strong>208 noms de domaine</strong> <em>.FR</em> de deux caractères déposés, ces 13 bureaux ont raflé <strong>près de 67% de la totalité des noms</strong> ainsi remis en vente.</p>
<p><a href="https://vialet.org/public/domaines/afnic/screenshot-www.nic.fr_2015-03-13.png" title="Données d'un bureau d'enregistrement sur le site de l'Afnic"><img src="https://vialet.org/public/domaines/afnic/.screenshot-www.nic.fr_2015-03-13_s.png" alt="Données d'un bureau d'enregistrement sur le site de l'Afnic" style="float:right; margin: 0 0 1em 1em;" title="Données d'un bureau d'enregistrement sur le site de l'Afnic" /></a></p>
<p>Étrangement, <em>Gandi</em> ou <em>1&1</em> sont absents du tableau tandis qu<em>'OVH</em> n'aura déposé que 4 noms de domaine, <strong>Nordnet</strong> 4 aussi ou <em>Orange</em> un seul petit nom.</p>
<p>En étudiant l'identité des déposants, c'est-à-dire le la personne physique ou morale qui a réellement effectué le dépôt à travers l'un de ces 41 bureaux, l'ampleur de ce détournement se précise.</p>
<p>Ainsi, derrière des dénominations cabalistiques comme P, OR, DIGITALPES, NETKREA... se cachent en réalité souvent la même société et quasi-systématiquement les mêmes individus.</p>
<p>Rapportés non plus par bureau d'enregistrement mais par propriétaire, lorsque celui-ci est connu, le graphique prend alors une toute autre forme.</p>
<p><a href="https://vialet.org/public/domaines/afnic/stats-deposants.png" title="Répartition des dépôts de .FR par déposants"><img src="https://vialet.org/public/domaines/afnic/.stats-deposants_m.png" alt="Répartition des dépôts de .FR par déposants" style="display:table; margin:0 auto;" title="Répartition des dépôts de .FR par déposants" /></a></p>
<p>En voici les données brutes :</p>
<pre>
BZH 5 Ltd. ... 6
CEPP S.A. ... 2
Cybergestion Tel Erotique Tchat ... 2
DOX.FR SAS ... 3
Naël Berbery (Exceptionnel.fr) ... 41
Faciès communication visuelle ... 1
Force Business (FB) SARL ... 152
FLUYD SAS ... 8
Inconnu ... 24
Jan Horak ... 4
KIFCORP SAS ... 36
Lyvans B ... 1
Monarobase SARL ... 3
NetTalk ... 17
POLE EMPLOI ... 1
Profession libérale ... 1
RACHAT DE SUCCESSION COM SAS ... 1
Saint-Gobain Distribution Bâtiment SAS ... 1
SDM SAS ... 1
THOM EUROPE (Histoire d'Or) ... 1
TRANSPORTS ALAINE SAS ... 1
</pre>
<p>On retrouve ainsi très souvent <strong>Mehdi Ghaoui</strong> (secondé de <a href="http://dirigeant.societe.com/dirigeant/Pierre.ACHACHE.95267882.html" hreflang="fr" title="Pierre Achache sur Societe.com">Pierre Achache</a>), notamment via la société <a href="http://www.force-business.com/mentions-legales" hreflang="fr" title="Mentions légales du site Force Business">Force Business</a> précédemment dénommée <em>TOP 5 DOMAINER</em>, ou encore <strong>Régis Gaillard</strong> du site <a href="http://www.kifdom.com/mentions-legales.php" hreflang="fr">KifDom.com</a> dont l'objet est <strong>la revente de noms expirés</strong>, ce qui donne une indication de la finalité des dépôts effectués : spéculer sur le prix de revente de ces noms rares.</p>
<p><strong>Naël Berbery</strong> a quant à lui plusieurs sociétés/bureaux à son actif : <strong>Dotlia</strong>, TV, AD, etc. qui lui ont permis de mettre la main sur 41 noms pour ce seul <a href="http://fr.wikipedia.org/wiki/Domaineur" hreflang="fr">domaineur</a>.</p>
<p>Enfin, on notera que <em>FB SARL</em> et <em>KIFCORP SAS</em> sont toutes deux basées à Grenoble.</p>
<h3>Des règles de gestion à revoir</h3>
<p>Le résultat de cette libération était donc joué d'avance : si comme moi vous espériez déposer un nom de domaine, il fallait pour cela multiplier les bureaux d'enregistrement comme l'ont fait <strong>ces acteurs du second marché</strong>.</p>
<p>La méthode est simple : il suffit de débourser <strong>500 € HT par an</strong> auprès de l'Afnic (voire <strong>1450 € HT</strong> afin de bénéficier d'une remise supplémentaire sur chaque opération) et vous avez votre bureau, le dossier technique et ses obligations étant très facilement répliqué.</p>
<p>Celui-ci ne sera contrôlé que tous les deux ans et manifestement, l'Afnic ne semble pas très regardante au vu de ce que j'ai pu trouver dans mes recherches : aucun de ces bureaux n'a réellement pignon sur rue, ils partagent souvent la même adresse ou ne disposent pas de moyens de contact ni même de site Web<sup>[<a href="https://vialet.org/post/2015/03/Quand-l-Afnic-fait-le-jeu-des-domaineurs#wiki-footnote-2" id="rev-wiki-footnote-2">2</a>]</sup>.</p>
<p><a href="https://vialet.org/public/domaines/afnic/Bareme-de-facturation-applicable-au-.fr.png" title="Barème de facturation applicable au .fr"><img src="https://vialet.org/public/domaines/afnic/.Bareme-de-facturation-applicable-au-.fr_m.png" alt="Barème de facturation applicable au .fr" style="display:table; margin:0 auto;" title="Barème de facturation applicable au .fr" /></a></p>
<p>En multipliant les bureaux, vous augmentez vos chances de déposer un nom de domaine libéré, soit dans le cadre d'évènements exceptionnels comme cette ouverture aux domaines d'1&2 caractères en .fr (vente qui doit venir alimenter une caisse de l'Afnic), soit lors de l'expiration d'un nom de domaine grâce aux techniques de « <a href="http://en.wikipedia.org/wiki/Domain_drop_catching" hreflang="en" title="Domain drop catching on Wikipedia">sniping</a> » <sup>[<a href="https://vialet.org/post/2015/03/Quand-l-Afnic-fait-le-jeu-des-domaineurs#wiki-footnote-3" id="rev-wiki-footnote-3">3</a>]</sup>.</p>
<p>Vous programmez vos propres robots qui attaqueront chacun une liste de noms de domaine à une heure et une date donnée en interrogeant directement l'Afnic. Votre ordre a alors toutes les chances de passer devant ceux des principaux bureaux ouverts au grand public.</p>
<p>Impossible alors de battre un robot qui place ses ordres à peine <strong>quelques secondes après la libération d'un nom</strong> de domaine quant il vous faut plusieurs dizaines voire plusieurs minutes pour boucler le votre.</p>
<p>Contrairement à ce que prétend l'Afnic, ces méthodes constituent bien <strong>une entrave à l'équitable accès de tous à ces noms de domaine</strong> : à aucun moment il n'a été fait mention de la nécessité de créer plusieurs bureaux accrédités et débourser un minimum de 500 € HT afin d'espérer pouvoir déposer un de ces noms rares.</p>
<p>L'organisation de cette libération de noms et la gestion de l'accréditation de bureaux sont donc directement en cause. Il m'apparait indispensable que le registre entreprenne la révision de ses méthodes et renforce ses contrôles.</p>
<p>Le second marché du nom de domaine a ainsi raflé la quasi-totalité de ces quelques 311 noms (sans parler de ce qui s'est passé lundi 9 mars) et pourra sans doute espérer les revendre <strong>entre 150 et 5000 euros pièce</strong>.</p>
<p>Enfin et pour finir sur une note légère, mentionnons le « coup de com' » <a href="http://www.numerama.com/magazine/32631-nom-de-domaine-fnfr-redirige-vers-le-ps-et-l-ump-un-troll-marketing.html" hreflang="fr" title="Nom de domaine FN.fr redirigé vers le PS et l'UMP : un troll marketing">de la société In Media Vertas</a> à travers le dépôt du nom de domaine <em>FN.FR</em>. ;-)</p>
<div class="footnotes"><h4>Notes</h4>
<p>[<a href="https://vialet.org/post/2015/03/Quand-l-Afnic-fait-le-jeu-des-domaineurs#rev-wiki-footnote-1" id="wiki-footnote-1">1</a>] Toutes les données présentées dans ce billet sont publiques, extraites du site de l'Afnic, du Registre du commerce et des sociétés, etc. Les noms cités sont ceux des représentants légaux des sociétés ou bureaux d'enregistrements listés .</p>
<p>[<a href="https://vialet.org/post/2015/03/Quand-l-Afnic-fait-le-jeu-des-domaineurs#rev-wiki-footnote-2" id="wiki-footnote-2">2</a>] Les exigences de l'Afnic sont extrêmement réduites en matière de coordonnées et méthodes de contact d'un bureau accrédité. De même, il faut bien comprendre qu'une société peut devenir son propre bureau d'enregistrement et ne réponde qu'à des besoins internes.</p>
<p>[<a href="https://vialet.org/post/2015/03/Quand-l-Afnic-fait-le-jeu-des-domaineurs#rev-wiki-footnote-3" id="wiki-footnote-3">3</a>] L'Afnic a annoncé début mars qu'elle autoriserait enfin à partir du 30 mars le dépôt des extensions dont elle a la gestion (<em>.FR</em>, <em>.RE</em>, <em>.YT</em>, <em>.WF</em>, <em>.TF</em> et <em>.PM</em>) sur plus d'une année (jusqu'à 10 ans), limitant ainsi la capacité de nuisance de certains domaineurs en matière de <em>domain sniping</em>. Source : <a href="https://www.gandi.net/news/fr/2015-03-13/3568-les_.fr_passent_en_multi-annees/" hreflang="fr" title="Les .FR passent en multi-années">Gandi au 13.03.2015</a>.</p></div>
Main basse sur le landrush des .FRurn:md5:4050525e3292405c556aed98cd49f4d72015-03-09T13:54:00+01:002022-08-14T09:52:35+02:00Guillaume VialetInternet4xafnicdomainedomainer <p>La société 4X, spécialisée dans la revente de noms de domaine, a réservé de très nombreux noms de domaine de deux caractères encore disponibles ce matin à quelques minutes de leur mise en vente à 129 euros HT.</p>
<p>Beaucoup d'internautes ont constaté avec dépit ce midi que le nom de domaine .FR de deux caractères qu'ils convoitaient n'était plus disponible avant même le début de la nouvelle phase de <em>landrush</em> organisée par <a href="http://fr.wikipedia.org/wiki/Association_fran%C3%A7aise_pour_le_nommage_Internet_en_coop%C3%A9ration" hreflang="fr">l'AFNIC</a>, le bureau de gestion de ce <em>ccTLD</em> (quand bien même il l'était à 11h).</p>
<h3>Du bureau d'enregistrement Cantal Digital...</h3>
<p><a href="https://vialet.org/public/domaines/4x/whois-nic-fr.png" title="Whois nom de domaine FR"><img src="https://vialet.org/public/domaines/4x/.whois-nic-fr_sq.png" alt="Whois nom de domaine FR" style="float:left; margin: 0 1em 1em 0;" title="Whois nom de domaine FR" /></a>Le nom de domaine que je convoitais personnellement a été déposé à 11h50 via <a href="http://fr.wikipedia.org/wiki/Bureau_d%27enregistrement" hreflang="fr">le bureau d'enregistrement</a> <em>Cantal Digital</em> au profit de la société <em>4x</em>.</p>
<p><a href="https://vialet.org/public/domaines/4x/capture_site_cantal_digital_mentions-legales.png" title="Caputre d'écran des mentions légales du site Cantal Digital"><img src="https://vialet.org/public/domaines/4x/.capture_site_cantal_digital_mentions-legales_s.png" alt="Caputre d'écran des mentions légales du site Cantal Digital" style="float:right; margin: 0 0 1em 1em;" title="Caputre d'écran des mentions légales du site Cantal Digital" /></a>En réalité, plusieurs bureaux tous domiciliés à la même adresse et appartenant à la même personne, <strong>M. Tristan Colombet</strong>, ont procédé au dépôt de très nombreux noms de domaine .FR de deux caractères encore disponibles avant 12h.</p>
<p>Ces bureaux sont notamment : <strong>Cantal Digital</strong>, <strong>Haute-Loire Registrar</strong>, <strong>Allier Connecté</strong> ou <strong>Puy de Domaîne</strong> (<em>sic</em>).</p>
<p>Toutes sont domiciliées chez <a href="http://www.societe.com/societe/sci-t-colombet-484579883.html" hreflang="fr">SCI T Colombet</a>, 22 Allée Alan Turing à Clermont-Ferrand.</p>
<h3>...à la place de marché 4X SAS</h3>
<p>Tous ces <em>registrars</em> ne semblent servir que les intérêts de la place de marché <strong>4x.fr</strong>, propriété elle aussi de M. Tristan Colombet et hébergée à la même adresse.</p>
<p>Sans intervention de la part de l'AFNIC, tous les noms de domaine devraient réapparaitre sous peu sur cette place de marché afin d'être « revendus » bien plus chers que les 129 euros demandés initialement.</p>
<p><a href="https://vialet.org/public/domaines/4x/screenshot-twitter.com_2015-03-09.png" title="Tweet de l'AFNIC"><img src="https://vialet.org/public/domaines/4x/.screenshot-twitter.com_2015-03-09_m.png" alt="Tweet de l'AFNIC" style="display:table; margin:0 auto;" title="Tweet de l'AFNIC" /></a></p>
<p>Selon l'AFNIC qui a réagi ce midi suite à différentes plaintes formulées sur les réseaux sociaux, tout domaine réservé avant midi sera facturé <strong>5 000 euros HT</strong>.</p>
<p>L'intéressé aura donc trouvé un moyen de déposer avant l'heure plusieurs noms de domaine mais facturables 129 € HT, sans quoi l'opération serait un fiasco financier.</p>
<p>Le fin mot de l'histoire devrait nous être révélé vers 15h, l'AFNIC ayant décidé de publier un communiqué de presse à ce sujet <a href="https://www.afnic.fr/fr/l-afnic-en-bref/actualites/actualites-generales/" hreflang="fr">sur son site</a>.</p>
<p>A suivre, donc.</p>
<div class="mise-a-jour" id="mise-a-jour-01">
<p><strong>Mise à jour à 15h</strong> : Voici le communiqué de l'Afnic <a href="https://www.afnic.fr/fr/l-afnic-en-bref/actualites/actualites-generales/8833/show/ouverture-des-1-2-caractere-s-derniere-semaine-de-landrush.html">publié à 15h</a> :</p>
<p style="font-style:italic;">(...) Dans le dernier quart d'heure de la période de tarification à 5000 euros HT par nom de domaine, l'Afnic a cependant constaté un emballement des enregistrements (<strong>plus de 300</strong>).</p>
<p style="font-style:italic;">Nous enquêtons actuellement auprès des bureaux d'enregistrement ayant procédé à ces demandes afin de nous assurer qu'ils ont bien provisionné ces dépenses importantes, qui permettront d'alimenter la nouvelle fondation Afnic pour la solidarité numérique.</p>
<p style="font-style:italic;">Une telle opération, si elle avait été commise sans la volonté de s'acquitter des sommes dues, représenterait une entrave à l'équitable accès de tous à ces noms de domaine. Si tel était le cas, l'Afnic prendrait des disposition immédiates, d'une part pour sanctionner les bureaux d'enregistrement fautifs, d'autre part, pour remettre à disposition ces noms de domaines indument réservés.</p>
<p style="font-style:italic;">Nous vous tiendrons informé des développements d'ici mardi 10 mars, midi.</p>
</div>
<div class="mise-a-jour" id="mise-a-jour-02">
<p><strong>Mise à jour au 10/03/2015</strong> : la sanction est tombée, l'Afnic interdit aux bureaux d'enregistrement créés pour les besoins de la place de marché de noms de domaine 4x de participer à la remise à disposition de quelques <strong>311 noms de domaine .FR de deux lettres</strong> déposés par erreur entre 11h30 et 11h59 le 9 mars dernier.</p>
<p>Voici le communiqué publié sur <a href="https://www.afnic.fr/fr/l-afnic-en-bref/actualites/actualites-generales/8849/show/ouverture-1-2-caractere-s-en-fr-311-domaines-remis-a-disposition-le-11-03-1.html">le site de l'Afnic</a> :</p>
<p style="font-style:italic;">L'Afnic a détecté un emballement des enregistrements dans la demi-heure précédent le passage en phase de facturation à 100 euros HT, soit entre 11h30 et 11h59.</p>
<p style="font-style:italic;">Suite à une enquête auprès des bureaux d'enregistrement ayant procédé à ces demandes, l'Afnic constate que 311 noms de domaine ont été enregistrés au tarif de 5000 euros HT avant le passage à la tarification à 100 euros HT, et que les bureaux d'enregistrement contactés indiquent qu'il s'agit d'une erreur technique.</p>
<p style="font-style:italic;">Étant donné que ces dépôts représentent une entrave évidente de l'accès à tous à l'enregistrement de ces noms de domaine, ils feront l'objet d'une mise à disposition spécifique le mercredi 11 mars à 15h (heure de Paris). La liste des noms de domaine concernés sera publiée sur le site de l'Afnic avant 19h ce jour mardi 10 mars 2015.</p>
<p style="font-style:italic;">De plus, cet incident ayant perturbé le bon déroulement du programme d'ouverture des 1&2 caractères, l'Afnic a pris la décision de sanctionner les bureaux d'enregistrement concernés en procédant, à compter de ce jour, à la suspension de leur contrat d'enregistrement jusqu'au mardi 17 mars à 16h (heure de Paris), les excluant de fait de la participation à la fin de l'ouverture des noms de domaine en 1 et 2 caractère(s).</p>
</div>
Spammé via Weedo IT membre du SNCDurn:md5:532ac9b3e2a0008baa18b0c92dfe69a72014-11-20T13:06:00+01:002022-08-14T10:44:33+02:00Guillaume VialetHall of Spamafniclocostianetconcoursovhsncdspamweedoit <p>De nouveau du spam relayé par un programme « <em>100% à la performance</em> » probablement poussé par un client de cette société et qui utilise une base de contacts constituée dans la plus totale illégalité. Et en toute impunité.</p>
<p>Je devais recevoir ce matin un énième spam <strong>100% made in France</strong> si je puis dire, toujours articulé de la même façon : un affilié et un nom de domaine anonymes, un hébergement chez OVH, une plateforme d'affiliation complaisante et un client final lui aussi peu scrupuleux.</p>
<h3>D'un e-mail totalement anonyme...</h3>
<p>Ce spam est poussé au nom de « <strong>Locostia via netconcours</strong> » dont il fait la promotion via l'adresse anonymisée grâce aux bons soins de <strong>l'Afnic</strong>, <em>l'Association française pour le nommage Internet en coopération</em> qui le rend totalement intraçable pour qui voudrait déposer une plainte.</p>
<blockquote><p>Vous recevez ce mail car vous êtes abonné(e) à Netconcour, enregistrée auprès de la CNIL sous le numéro 168799. Conformément à la Loi Informatique et Libertés du 6 Janvier 1978, vous disposez d'un droit d'accès, de modification et de suppression des données personnelles vous concernant, que vous pouvez exercer à tout moment sur demande: contact@netconcour.com</p></blockquote>
<p>Le nom de domaine <strong>netconcour.com</strong> n'existant pas, il ne me reste qu'à me tourner vers <em>Locostia</em>.</p>
<p>Cette « société » dont le site est <a href="http://www.weedoit.fr/tracking/mentions-legales-locostia.fr.html" hreflang="fr">édité et hébergé</a> par la société <strong>Weedo IT</strong> serait en réalité la propriété de l'<strong>Européenne de Courtage d'Assurance</strong> si l'on veut bien croire le <a href="http://www.afnic.fr/fr/produits-et-services/services/whois/" hreflang="fr">whois</a> du nom de domaine <strong>locostia.fr</strong> :</p>
<pre>
EUROPEENNE DE COURTAGE D'ASSURANCE
92-98, boulevard Victor Hugo
92110 Clichy
France
Téléphone : +33 1 53 20 68 37
Courrier électronique : domaines@eca-assurances.com
</pre>
<p>Cette société <a href="http://eca-assurances.com/assurances/info_legales_.php" hreflang="fr">assure pourtant sur son site</a> son « <em>engagement de transparence au service de votre sécurité</em> », mais manifestement pas des données personnelles qui servent à la prospection de ses futurs clients.</p>
<p>A ce stade, vous avez donc reçu un <em>spam</em> poussé par la marque ou la société <em>Locostia</em> (vous n'en savez rien, le site étant enregistré au nom de <em>Weedo IT</em>) qui vous demande de nombreuses informations personnelles sur votre foyer et votre santé.</p>
<p>Le <a href="http://fr.wikipedia.org/wiki/G%C3%A9n%C3%A9ration_de_leads" hreflang="fr" title="Génération de leads sur Wikipédia">« lead » en marketing direct</a> se vend en effet très cher dans l'assurance, il rapporte donc logiquement beaucoup aux spammeurs et à leurs intermédiaires.</p>
<h3>...à une agence de marketing membre du <abbr title="Syndicat National de la Communication Directe">SNCD</abbr></h3>
<p>Le site du spammeur par lequel l'e-mailing a été envoyé est <strong>hébergé en France chez OVH</strong>, son nom de domaine <strong>sendtome.fr</strong> est lui-aussi hébergé chez OVH et protégé par l'Afnic qui en masque le dépositaire, malgré l'utilisation manifestement commerciale qui en est faite.</p>
<p><a href="https://vialet.org/public/Spam/weedoit/screenshot-www-locostia-fr-2014-11-20.jpg" title="Capture d'écran du site Locostia hébergé par Weedo IT"><img src="https://vialet.org/public/Spam/weedoit/.screenshot-www-locostia-fr-2014-11-20_m.jpg" alt="Capture d'écran du site Locostia hébergé par Weedo IT" style="display:table; margin:0 auto;" title="Capture d'écran du site Locostia hébergé par Weedo IT" /></a></p>
<p><a href="https://vialet.org/public/Spam/weedoit/screenshot_mentions_legales_2014-11-20.png" title="Mentions légale du site Locostia"><img src="https://vialet.org/public/Spam/weedoit/.screenshot_mentions_legales_2014-11-20_s.png" alt="Mentions légale du site Locostia" style="float:right; margin: 0 0 1em 1em;" title="Mentions légale du site Locostia" /></a></p>
<p><strong>L'Afnic refusant de lever l'anonymat</strong> sauf dans le cadre d'un litige portant sur un nom ou une marque commerciale et l'hébergeur campant sur les mêmes positions (« <em>merci d'écrire à abuse@...</em> ») sans parler de la <abbr title="Commission nationale de l'informatique et des libertés">CNIL</abbr>* et de son <a href="https://www.signal-spam.fr/" hreflang="fr">Signal Spam</a>, il ne reste plus à l'internaute qu'à <strong>se tourner vers la plateforme d'affiliation</strong> qui dans la plupart des cas, pour ne pas dire à chaque fois, remontera l'information à son affilié mais ne dévoilera pas son identité.</p>
<p>C'est pourtant cette plateforme qui finance malgré elle le spammeur.</p>
<p>J'attends par exemple des réponses de la part d'<strong>Effinity</strong> et de <strong>TouchVibes</strong> au sujet de <a href="https://vialet.org/blog/post/2014/10/De-K-Vern-Street-a-Jump-Communication">spams remontés à leurs services</a> qui sont les seuls à pouvoir associer un numéro de <em>tracking</em> à un de leurs affiliés.</p>
<p>J'ai aussi alerté le <a href="http://www.cpa-france.org/" hreflang="fr">Collectif des Plateformes d'Affiliation</a> qui n'a fait que transmettre ma demande à la plateforme, sans plus de suivi ou d'effet.</p>
<p>En ce qui concerne Weedo IT, l'agence « 100% à la performance » est <strong>membre du SNCD</strong>, un syndicat qui édite <a href="http://www.sncd.org/deontologie/code-de-deontologie-electronique-du-sncd/" hreflang="fr" title="Code de déontologie électronique du Sncd">une charte de l'e-mailing</a> dont le contenu est censé être appliqué par ses membres (nous verrons que non dans un prochain billet) et sur le papier plus rigoureuse que la législation actuelle, très permissive.</p>
<p>En parallèle, ce lobby essaye de <a href="https://vialet.org/blog/post/2013/09/La-FEVAD-et-le-SNCD-aiment-un-peu-trop-vos-donnees-personnelles">freiner la réforme européenne de la protection des données personnelles</a> et s'en félicite même ouvertement.</p>
<p>Mieux vaut une « autorégulation » qui ne fonctionne manifestement pas qu'une loi contraignante qui éliminerait <em>de facto</em> ce type de spam mais par la même occasion une source de revenus, est-ce ce qu'il faut comprendre ?</p>
<div class="mise-a-jour" id="mise-a-jour-01">
<p><strong>Mise à jour</strong> : d'après Weedo IT, l'adresse e-mail du spammeur affilié et dépositaire du nom de domaine <strong>sendtome.fr</strong> serait <em>charlyamido@gmail.com</em>.</p>
<p><strong>Mise à jour au 21/11</strong> : la CNIL m'a confirmé que le numéro d'enregistrement de la base « Netconcour » (<em>sic</em>) n°168799 n'existait pas et que cette soi-disant société ou programme ne figurait pas non plus dans leur base. Une information que Weedo IT n'aura pas pris la peine de vérifier.</p>
<p>Après échanges avec Weedo IT et leur affilié anonyme, j'ai pu déterminer la véritable identité du spammeur dont il aura été si difficile d'obtenir les coordonnées.</p>
<p>Il s'agit encore une fois d'une micro-entreprise créée tout récemment par un certain <strong>Charles Wountchom</strong>. Le site <a href="http://www.societe.com/societe/charles-wountchom-791852700.html">Societe.com</a> et la page des <a href="http://www.netconcours.com/mentions_legales.php">mentions légales de netconcours.com</a> nous indiquent les informations suivantes :</p>
<p>Raison sociale : CHARLES WOUNTCHOM<br />
Adresse : Chez Youdom - 3, cours du Luzard 77186 Noisiel<br />
Tél. : 01 64 62 19 12<br />
E-mail (abuse) : abuses2876@gmail.com (sans doute une adresse poubelle)<br />
Forme juridique : Auto-entrepreneur<br />
Date de création : Crée le 20/03/2013<br />
Capital Social : n/a<br />
SIREN : 791 852 700<br />
SIRET : 791 852 700 00016<br />
Numéro CNIL : 1687999<br />
APE : Activités des agences de publicité (7311Z)<br />
Nom(s) de domaine : bestcampagnes.fr, netconcours.com, sendtome.fr</p>
<p>On notera enfin que l'adresse e-mail indiquée dans l'e-mailing de Charles Wountchom comporte une « faute de frappe » tout comme le numéro CNIL (un chiffre « oublié ») par rapport aux informations obtenues.</p>
</div>
<p><em>(*) merci à la CNIL de m'avoir fourni l'identité du spammeur via son numéro d'enregistrement.</em> ;-)</p>
<h4><ins>Droit de réponse demandé par la société Weedo IT SAS (10/12/2014) :</ins></h4>
<p>La société <em>Weedo IT</em>, citée dans l'article ci-dessus, souhaite faire valoir son droit de réponse sur le jugement de Monsieur VIALET Guillaume qui paraît incomplet et discutable même si l'exposé souhaite être factuel.</p>
<p><em>Weedo IT</em> est une société spécialisée dans l'affiliation, créée en 2004.
La société <em>Weedo IT</em> met à disposition de son réseau d'affiliés des campagnes d'annonceurs à la recherche de trafic pour fidéliser ou acquérir de nouveaux clients. Le modèle indiqué est « 100% performance » car les rémunérations versées dépendent des résultats obtenus.
Il est d'ailleurs important de noter que la chance du média Internet est de cibler ses investissements marketing et de garantir les retours, à la différence des médias classiques.</p>
<p>Cette technique marketing est légale et régie par des règles strictes pour protéger l'internaute et ne pas pénaliser l'image des annonceurs.</p>
<p>Malheureusement, vous avez fait les frais d'un abus de la part affilié qui a exploité une base de données non conforme aux règles <em>opt-in</em>.
Il est cependant important de préciser plusieurs points :</p>
<ul>
<li><em>Weedo IT</em> sélectionne scrupuleusement ses affiliés grâce à divers protocoles de vérification ;</li>
<li><em>Weedo IT</em> est administrateur de certains sites comme Locostia.fr, comme spécifié dans les mentions légales ;</li>
<li><em>Weedo IT</em> met à disposition une interface Plainte Spam pour signaler et traiter les abus ;</li>
<li>L'activité de la société est soumise à des CGV qui régissent la relation commerciale avec ses partenaires, incluant une clause de confidentialité ;</li>
<li>Les plaintes Spam sont traitées sous un délai de 48h – le temps de mener une enquête et que l'affilié se manifeste sur la provenance exacte l'e-mail spammé.</li>
</ul>
<p>De manière très factuelle, nous pouvons établir que :</p>
<ul>
<li>Vous nous avez signalé un SPAM et nous avons traité la demande dans les 48h ;</li>
<li>L'affilié vous a directement répondu et n'a nullement cherché à dissimuler son identité ;</li>
<li>Après enquête, l'affilié a été exclu du réseau <em>Weedo IT</em> pour non-respect des CGV.</li>
</ul>
<p>Votre plainte a été traitée dans les délais indiqués et des sanctions ont été appliquées pour l'affilié en question. Nous vous remercions de votre prise de contact et votre implication dans la lutte contre le Spam même si votre démarche fut hâtive et accusatoire avant d'être constructive.</p>
<p>Pour rappel, nous mettons volontiers à disposition notre page pour signaler un Spam afin de lutter contre les mauvaises pratiques : http://myaffil.fr/plainte-spam.php ou http://www.weedoit.fr/plainte.php</p>
<p>En conclusion, nous vous indiquons que la société <em>Weedo IT</em> s'investit en permanence dans la lutte contre le SPAM et participe aux tables rondes pour trouver des solutions, notamment grâce à certains organismes tels que le SNCD. »</p>
<hr />
<h4>Pour conclure ce billet (18/12/2014)</h4>
<p>J'aimerais préciser certains points contradictoires avec la déclaration de <em>Weedo I</em>T et préciser au lecteur ce qu'il doit faire dans un cas pareil :</p>
<ul>
<li>Je n'ai jamais obtenu l'identité du spammeur de <em>Weedo IT</em> ou de <strong>Charles Wountchom</strong>, je l'ai déduite des bribes de données techniques qu'il a fallu reconstituer au fil d'une laborieuse investigation.</li>
<li>Je n'ai jamais non plus obtenu du spammeur ce que je cherchais : <strong>la source de ses bases illicites</strong> qu'il exploitait via <em>Weedo IT</em> ou d'autres services d'affiliation français. Toute plainte est inutile sans cette information.</li>
<li>Je <ins>déconseille fortement à tous mes lecteurs</ins> de se désinscrire de ces spams : cette démarche indique seulement aux spammeurs que votre adresse est bien active. Elle sera alors susceptible d'être revendue par ces mêmes spammeurs ou alimenter d'autres bases et envois. Au contraire, agissez directement auprès de <a href="https://www.signal-spam.fr/" hreflang="fr">Signal Spam</a> ou bien <a href="https://www.spamcop.net/" hreflang="fr">SpamCop</a>. Si la plateforme d'affiliation qui a financé le spam est membre d'un réseau (<a href="http://www.sncd.org/" hreflang="fr">SNCD</a> ou <a href="http://www.cpa-france.org/" hreflang="fr">CPA</a> par exemple), portez l'affaire auprès de leurs bureaux respectifs.</li>
<li>Contrairement à ce qu'affirme le service juridique de Weedo IT ou le SNCD, la législation ne protège pas assez les individus en matière d'exploitation commerciale de leurs données personnelles (ce blog est ses nombreux billets en constituent manifestement la preuve). C'est tout l'objet de mes billets : mettre le doigt sur les failles de ce système.</li>
<li>Vous n'êtes pas là pour faire le travail des plateformes d'affiliation, c'est-à-dire contrôler leur clientèle d'affiliés ni palier les manques de la législation européenne en matière de protection des données personnelles.</li>
</ul>Autopsie d'un spamurn:md5:8a969b7bf964bcb4a60c0cad522fad452014-11-05T09:31:00+01:002022-08-14T10:44:20+02:00Guillaume VialetHall of Spamafnicdecaneteuridjumpovhplacedesleadsspamtouchvibeswebreflexe <p>Il est souvent très difficile, pour ne pas dire impossible, de remonter à la source d'un spam. Il existe pourtant plusieurs méthodes et astuces qui permettent de lever l'anonymat de l'expéditeur.</p>
<h3>Seul et démuni face aux spammeurs français</h3>
<p>Dans cette quête légitime qui permet à l'internaute spammé de connaître l'identité de son spammeur et donc de mettre en action la fameuse <a href="http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/" hreflang="fr">loi 78-17 du 6 janvier 1978</a>, l'Afnic ou les sociétés françaises de dépôt de noms de domaine comme OVH, Gandi ou Online.fr ne vous seront d'aucune aide. Pas même l'hébergeur des services par lesquels sont pourtant passés les spams ne vous aidera à appliquer la loi.</p>
<p>Vous êtes donc seul face à votre pourriel et son code source qui est pourtant la clé qui vous mènera à la personne ou la société à qui profite le crime.</p>
<p>Voici deux exemples concrets de recherche du commendataire et de ses intermédiaires, tout aussi responsables que le spammeur lui-même.</p>
<h3>« Samsung Galaxy S5 offert par Bouygues Telecom »</h3>
<p>Nous partons donc d'un e-mail reçu dans la nuit du 5 novembre intitulé : « <em>Samsung Galaxy S5 Offert</em> ». Alléchant n'est-ce pas ? :-)</p>
<p>En étudiant <strong>le code source</strong> de cet e-mail (car tout e-mail possède une source lisible directement depuis votre logiciel de messagerie ou votre <a href="http://fr.wikipedia.org/wiki/Messagerie_web" hreflang="fr" title="Messagerie web sur Wikipédia">webmail</a>), nous relevons tout d'abord trois informations importantes : l'objet, l'expéditeur et l'adresse de réponse.</p>
<pre>
...
From: Bouygues Telecom <emmanuel@tool-now01.eu>
Reply-to: Bouygues Telecom <emmanuel@tool-now01.eu>
Subject: Samsung Galaxy S5 Offert
...
</pre>
<p>Première information importante : contrairement à ce qui est affiché sur votre ordinateur, smartphone ou tablette, <strong>l'expéditeur n'est pas Bouygues Telecom</strong> mais le propriétaire du nom de domaine <strong>tool-now01.eu</strong> qui endosse ici l'identité de l'opérateur français. Il y a donc en premier lieu <strong>une usurpation d'identité</strong> avant même de parler de <em>spam</em>.</p>
<p><a href="https://vialet.org/public/Spam/Jump_Communication/logo-eurid.png" title="Logotype du registre EURid"><img src="https://vialet.org/public/Spam/Jump_Communication/.logo-eurid_s.png" alt="Logotype du registre EURid" style="float:right; margin: 0 0 1em 1em;" title="Logotype du registre EURid" /></a>Nous allons donc regarder qui a déposé le nom de domaine tool-now01.eu en interrogeant le registre des domaines européens, <strong>EURid</strong>.</p>
<p>La base du <a href="http://fr.wikipedia.org/wiki/Whois" hreflang="fr">whois</a>, qui est une source fournie par les registres de noms de domaine permettant d'obtenir des informations sur un nom de domaine, <a href="http://www.eurid.eu/en/whois-search?domain=tool-now01.eu" hreflang="en">nous indique le résultat suivant</a> :</p>
<ul>
<li>le nom de domaine a été déposé de manière anonyme,</li>
<li>mais l'adresse e-mail du déposant est indiquée : <em>d.ledoux@jump-communication.com</em>.</li>
</ul>
<p>Nous avons donc rapidement trouvé l'identité du spammeur : la société <a href="https://vialet.org/blog/post/2014/10/De-K-Vern-Street-a-Jump-Communication">Jump Communication</a>. Il est possible de confirmer cette identification en pistant les liens hypertexte contenus dans l'e-mailing, comme nous le verrons avec l'exemple suivant. C'est notamment cette étude qui aurait permis de déterminer quel était la régie publicitaire par laquelle est passée le spammeur (<a href="https://vialet.org/blog/post/2014/10/De-K-Vern-Street-a-Jump-Communication">TouchVibes</a>).</p>
<h3>« Devenez propriétaire dans l'ouest de la France »</h3>
<p>Cette fois-ci la société <strong>Ataraxia</strong> me propose de devenir propriétaire d'un bien immobilier dans l'ouest de la France.</p>
<p>Regardons en détail l'expéditeur du spam en éditant le code source de l'e-mail :</p>
<pre>
...
From: Ataraxia <noreply@freeopportunity.fr>
Reply-To: noreply@freeopportunity.fr
Subject: Devenez propriétaire dans l’ouest de la France
...
</pre>
<p>Là encore l'expéditeur n'est pas Ataraxia, l'annonceur, mais le propriétaire de l'adresse faisant usage du nom de domaine <strong>freeopportunity.fr</strong>.</p>
<p>Problème bloquant : ce nom de domaine .fr enregistré chez <strong>OVH</strong> dispose d'une protection qui rend toutes les données relatives au déposant anonymes, bien que le spam émane d'une entreprise qui ne peuvent légalement disposer de cette protection offerte par l'Afnic.</p>
<p>Cependant, en étudiant le whois de ce nom de domaine, nous obtenons plusieurs informations dans la section des serveurs de noms (<a href="http://fr.wikipedia.org/wiki/Domain_Name_System" hreflang="fr" title="Domain Name System sur Wikipédia">DNS</a>) :</p>
<pre>
nserver: vps73133.ovh.net
nserver: ns2.decanet.fr [176.31.39.65]
</pre>
<p>Le site du spammeur est hébergé chez OVH sur un <a href="http://fr.wikipedia.org/wiki/Serveur_d%C3%A9di%C3%A9_virtuel" hreflang="fr" title="Serveur dédié virtuel sur Wikipédia">VPS</a> et dispose d'un <abbr title="Domain Name System">DNS</abbr> secondaire pris en charge par <strong>decanet.fr</strong>.</p>
<p>Mais revenons au spam lui-même. En étudiant les liens de la page de destination de l'e-mail, c'est-à-dire la page finale sur laquelle la victime du spam sera acheminée si elle cliquait sur les liens pistés qu'il contient, nous arrivons sur le nom de domaine <strong>reflexemail.com</strong>.</p>
<p>Bien que le site <a href="http://www.reflexemail.com">www.reflexemail.com</a> nous retourne une page blanche, l'étude du <em>whois</em> va nous révéler d'autres indices :</p>
<pre>
Domain Name: REFLEXEMAIL.COM
Registrar: OVH
Registrant Name: KHIARI Mehdi
Registrant Organization: WebReflexe
Registrant Street: 107 Quai du docteur Dervaux
Registrant City: ASNIERES SUR SEINE
Registrant State/Province:
Registrant Postal Code: 92600
Registrant Country: FR
Registrant Phone: +33.180875174
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: ptykzme7yy57x9gregqu@v.o-w-o.info
</pre>
<p><a href="https://vialet.org/public/Spam/WebReflexe/Screenshot-WebReflexe.jpg" title="Capture d'écran du site WebReflexe, tous droits réservés"><img src="https://vialet.org/public/Spam/WebReflexe/.Screenshot-WebReflexe_m.jpg" alt="Capture d'écran du site WebReflexe, tous droits réservés" style="display:table; margin:0 auto;" title="Capture d'écran du site WebReflexe, tous droits réservés" /></a></p>
<p>Toujours déposé chez OVH, le nom de domaine est la propriété de la société <strong>WebReflexe</strong> et a été déposée par un certain <a href="http://fr.linkedin.com/pub/mehdi-khiari/4/468/595" hreflang="en">Mehdi KHIARI</a>.</p>
<p>WebReflexe serait une « <em>agence Webmarketing à la performance</em> » <a href="http://www.webreflexe.com/" hreflang="fr">selon son site</a>, ce qui traduit en français veut bien souvent dire « forte suspicion de spam » et qui disposerait d'une base de <strong>25 millions d'adresses e-mail</strong> !</p>
<p>Nous avons donc la société <strong>Decanet</strong>, agence de communication à Toulouse, probablement un intermédiaire technique et le commanditaire <strong>WebReflexe</strong>, votre spammeur.</p>
<p>A la décharge de cette société : ses coordonnées figurent sur la page de destination bien qu'on aurait préféré qu'elles apparaissent dans le corps de l'e-mailing lui-même. Cela n'excuse en rien le <em>spam</em>.</p>
<h3>« Votre mutuelle à partir de 6,79 €, devis gratuit et sans engagement »</h3>
<p>Dernier exemple, un spam poussé par le mystérieux <strong>comcenter.fr</strong>.</p>
<p>Une nouvelle fois, l'Afnic, l'hébergeur ou la <strong>CNIL</strong> ne nous seront d'aucune aide afin d'exercer nos droits. Tous se retranchent derrière leurs obligations légales.</p>
<p>Nous allons analyser les différents serveurs entre l'e-mail et la page de destination hébergée par l'annonceur, la <strong>Mutuelle Mcd</strong>. Pour ce faire, il est possible d'utiliser un logiciel comme <a href="https://vialet.org/blog/post/2009/04/Telechargement-de-SamSpad">SamSpad</a>, le module <a href="https://addons.mozilla.org/fR/firefox/addon/live-http-headers/" hreflang="fr">Live HTTP Headers</a> pour votre navigateur Web ou de le faire directement en ligne <a href="http://web-sniffer.net/" hreflang="en" title="View HTTP Request and Response Header">sur cette page</a>.</p>
<p>Voici le résultat de cette analyse :</p>
<pre>
1. http://comcenter.fr/inc/rdr.php?r=
2. http://click.events-10408-120.pl/?sc=
3. http://click.plt-events.com/?sc=
4. http://www.mutuelle-mcd.fr/particuliers/sante/devis_v3.php?origine=6&wysistatpr=nl_mir_pla&utm_source=placedesleads&utm_medium=email&utm_campaign=2014
</pre>
<p>Nous pouvons voir que nous passons d'abord par le site <ins>comcenter.fr</ins>, puis <ins>events-10408-120.pl</ins> (domaine polonais), <ins>plt-events.com</ins> et enfin le site de la mutuelle, tout ceci étant totalement imperceptible pour l'internaute <em>lambda</em>.</p>
<p>La mutuelle identifie cet apporteur d'affaire comme étant « placedesleads », c'est-à-dire la société <strong>Place des Leads</strong> qui propose justement <strong>un programme d'affiliation</strong>, la traditionnelle source de profits pour les spammeurs.</p>
<p>Le nom de domaine <a href="http://www.events-10408-120.pl/" hreflang="fr">events-10408-120.pl</a> est toujours déposé chez OVH par une société anglaise, <strong>Place Media Limited</strong> :</p>
<pre>
company: PLACE MEDIA LTD
street: 180-186, Kings Cross Road
city: WC1X 9DE London
location: GB
phone: +33.175776084
</pre>
<p>A cette adresse se trouve <strong>une société de domiciliation</strong>. On remarquera par contre que le numéro de téléphone <strong>est bien français</strong> compte tenu de son indicatif. <ins>plt-events.com</ins> est quant à lui géré par <em>Place des Leads</em>.</p>
<p><em>Place Media Ltd</em>. et <em>Place des Leads</em> sont indubitablement liés (sa filiale anglaise <a href="https://www.khingdom.com/" hreflang="en">Khing</a> étant domiciliée à la même adresse). Nous avons donc trouvé notre spammeur ou du moins ses intermédiaires techniques et commerciaux.</p>Spammé par Campleads.frurn:md5:352c1198765ee7d74687bdc60d89a5872014-10-03T15:35:00+02:002022-08-14T10:44:06+02:00Guillaume VialetHall of Spamafniccampleadschemiseovhozoaspamvps <p>La formule habituelle du spammeur se répète encore : un serveur hébergé chez OVH, un nom de domaine au whois AFNIC masqué, un client final qui ne se soucie pas de la qualité de ses fournisseurs.</p>
<p>C'est une adresse e-mail collectée de manière totalement illicite et <strong>sans aucun opt-in</strong> qui est aujourd'hui la cible d'un nouveau spammeur caché derrière un nom de domaine, <strong>campleads.fr</strong>.</p>
<h3>Un domaine protégé par l'Afnic...</h3>
<p>L'Afnic, le bureau d'enregistrement des domaines .FR, protège en effet les particuliers en restreignant la diffusion de leurs données personnelles dans la base whoise du registre.</p>
<p><a href="https://vialet.org/public/Spam/campleads/Whois_campleads.fr.png" title="Whois du nom de domaine campleads dot fr"><img src="https://vialet.org/public/Spam/campleads/Whois_campleads.fr.png" alt="Whois du nom de domaine campleads dot fr" style="display:table; margin:0 auto;" title="Whois du nom de domaine campleads dot fr" /></a></p>
<p>Effet de bord de ce mécanisme : un spammeur peut très bien se protéger en déposant <strong>à titre personnel</strong> un nom de domaine. La procédure de levée de l'anonymat se fait par courrier et reste incertaine dans le cas d'un spam. Comment prouver qu'il s'agit bien d'un spam auprès d'un registre qui est et doit rester neutre dans un litige qui ne le concerne pas ?</p>
<h3>...un serveur d'envoi <em>low-cost</em> chez OVH...</h3>
<p>Deuxième effet permissif d'un Web devenu accessible à tous : le spammeur a poussé ses e-mails depuis un serveur <strong>VPS</strong> d'OVH qui pourtant a mis en place un système anti-spam plutôt discutable et ici manifestement inefficace.</p>
<p>La solution logicielle retenue afin de pousser les e-mails semble être <strong>nuevoMailer</strong>.</p>
<p>Il ne coûte quasiment rien de louer au mois un serveur, y pousser son spam, abandonner la machine et louer un nouveau VPS avec une adresse <abbr title="Internet Protocol">IP</abbr> « neuve » donc vierge de toute plainte pour abus.</p>
<h3>...et un annonceur peu scrupuleux ?</h3>
<p><a href="https://vialet.org/public/Spam/campleads/template-logo.jpg" title="Logotype Ozoa-chemises, tous droits réservés"><img src="https://vialet.org/public/Spam/campleads/.template-logo_s.jpg" alt="Logotype Ozoa-chemises, tous droits réservés" style="float:right; margin: 0 0 1em 1em;" title="Logotype Ozoa-chemises, tous droits réservés" /></a></p>
<p>Pas de spam sans payeur. Ce rôle est ici tenu par le site de vente en ligne <strong>Ozoa Chemises</strong>, propriété d'<a href="http://www.ozoa-chemises.com/ins-mentions-legales-17.htm" hreflang="fr" title="Mentions légales du site Ozoa Chemises ">Ozoa Diffusion</a>.</p>
<p>A aucun moment le propriétaire de la base de données utilisée n'est mentionné, ni même les coordonnées du demandeur d'ordre. Seul un lien « <em>Désinscrivez vous ici</em> » conclue l'e-mail commercial.</p>
<p>Coordonnées de la société <strong>Ozoa Diffusions</strong>, à défaut de les voir apparaitre dans l'e-mailing publicitaire ou de connaitre celles du mystérieux <em>Campleads.fr</em> :</p>
<pre>
Siren : 538 228 461 (R.C.S Nanterre)
Adresse : 30, rue de l'Avenir 92110 Clichy
Téléphone : 01 55 21 09 70
Adresse e-mail : serviceclient@ozoa-chemises.com
</pre>
<p>L'internaute est donc totalement désarmé face à ces pratiques pourtant illégales : il n'obtiendra de réponse ni d'OVH, ni de l'AFNIC et sans doute pas d'Ozoa Diffusion.</p>
<h3><ins>Mise à jour au 7 octobre 2014</ins></h3>
<p>Ajoutons à la liste des noms de domaine en .fr masqués et utilisés par ces spammeurs : <strong>comcenter.fr</strong> (qui ne route plus sur rien, apparemment, mais pointait lui aussi vers l'outil <strong>nuevoMailer</strong>) déposé chez <em>Online</em> et __crwcommunication.fr déposé chez <em>OVH</em>.</p>