Vialet.org - Mot-clé - kovetzBlog personnel de Guillaume Vialet : RGPD, spam et vie privée2023-09-04T14:34:42+02:00Guillaume Vialeturn:md5:9535d818376275b9673fdcc78d8ab0ebDotclearLe spam et la règle des troisurn:md5:a11e80757239f9d44dd1963a5f230a272013-11-04T18:37:00+01:002013-11-05T13:53:18+01:00Guillaume VialetHall of Spamaffiliationdarwinemailstrategiekovetzspamswisslifetradedoublerwewmanager<p>Le spam a pour moteur trois facteurs déclencheurs : une base de données constituée ou achetée sans le consentement des intéressés, une solution de routage permissive et enfin un programme d'affiliation peu regardant.</p> <p>Soyons honnêtes, nous ne pourrons jamais empêcher un individu ou une société de constituer ou revendre des bases de données illicites.</p>
<p>Par contre, nous pourrions empêcher qu'elles soient utilisées <strong>en responsabilisant les prestataires</strong> par lesquels sont obligés de passer ces acteurs parfois sans scrupules.</p>
<p>Ces prestataires sont <strong>les plateformes de routage</strong> d'e-mailings et <strong>les programmes d'affiliation</strong>, tous deux généralement disponibles en self-service.</p>
<h3>Une remontée à la source toujours laborieuse et incertaine</h3>
<p>A quelques mois de la mise en application de la nouvelle directive européenne, <a href="https://vialet.org/blog/post/2013/09/La-FEVAD-et-le-SNCD-aiment-un-peu-trop-vos-donnees-personnelles">si les lobbies à l'œuvre</a> ne viennent pas retarder ou limiter la portée du texte, on s'étonne de voir encore et toujours à l'œuvre de telles pratiques.</p>
<p>Tout débute par la réception d'un spam poussé au profit de la société d'assurance santé <strong>SwissLife</strong>, de la part de « <em>Swisslife par <strong>Plan VIP du Web</strong></em> » et intitulé « <em>Remboursement optimum sur l'optique et le dentaire</em> ».</p>
<p>Les mentions légales sont un peu longues mais on le verra, totalement fausses :</p>
<p><q>SwissLife Prévoyance et Santé - Siège Social : 7 rue Belgrand 92300 Levallois-Perret SA au capital de 150 000 000 € - Entreprise régie par le Code des Assurances - 322.215.021 RCS Nanterre www.swisslife.fr-www.swisslife-direct.fr. Loi du 06/01/1978 modifiée : le responsable de traitement de vos données personnelles est le Département Marketing Swiss Life, 1 rue du Maréchal de Lattre de Tassigny 59671 Roubaix Cedex 01, auprès duquel vous pourrez exercer vos droits d'accès et de rectification. Ces données seront utilisées pour le suivi de votre dossier et l'envoi de documents sur les produits du groupe Swiss Life, destinataire, avec ses mandataires de l'information.</q></p>
<p>S'ensuit le laconique mais rituel lien de désinscription.</p>
<blockquote><p>Pour vous désinscrire, suivez ce lien.</p></blockquote>
<p>L'étude des liens hypertextes et des entêtes HTTP me révèle plusieurs informations.</p>
<p>La toute première <acronym title="Uniform Resource Locator">URL</acronym> est <strong>stats.santegenerale770.com</strong> : c'est elle qui va rediriger les clics effectués dans l'e-mail. C'est aussi via cette URL que l'on se « désabonne » de cette « newsletter ».</p>
<p>Une requête du type <em>whois</em> sur ce nom de domaine révèle les informations suivantes :</p>
<pre>
owner-contact: P-HAD671
owner-organization: kovetz online
owner-fname: hadjadj
owner-lname: dov
owner-street: 11 rue moshe levi
owner-city: rishon letzsion
owner-zip: 75858
owner-state:
owner-country: IL
owner-phone: +972.39636700
owner-phone ext:
owner-fax:
owner-fax ext:
owner-email: abuse@kovetz-online.com
</pre>
<p>La société dépositaire du nom de domaine <strong>santegenerale770.com</strong> serait donc <a href="http://www.kovetz-online.com/" hreflang="fr">Kovetz On Line</a>.</p>
<p>Sur son site, on peut lire qu'elle routerait « <em>plus 1 milliard de messages numériques [...] par mois.</em> »</p>
<p><a href="https://vialet.org/public/Spam/kovetz/screenshot-site-kovetz.jpg" title="Capture d'écran du site Kovetz, tous droits réservés"><img src="https://vialet.org/public/Spam/kovetz/.screenshot-site-kovetz_m.jpg" alt="Capture d'écran du site Kovetz, tous droits réservés" style="display:block; margin:0 auto;" title="Capture d'écran du site Kovetz, tous droits réservés, nov. 2013" /></a></p>
<p>Mais <strong>Kovetz</strong> n'est pas une société française, c'est une structure <strong>basée en Israël</strong>. Malgré cela, elle fait valoir sur son site son appartenance au programme <strong>Signal Spam</strong> sans qu'il m'ait été possible d'en trouver trace sur le site (j'attends une réponse de Signal Spam à ce sujet) et au <a href="http://www.cpa-france.org/" hreflang="fr">CPA</a> à travers leur charte sur l'e-mail (responsable, faut-il croire).</p>
<p>C'est bien cette société qui serait responsable de la constitution et de l'envoi de l'e-mailing commercial, ce sont donc leurs mentions légales qui devraient figurer dans l'e-mail et non celles de <em>SwissLife</em>.</p>
<h3>Où l'on retrouve encore une plateforme d'affiliation...</h3>
<p>La seconde URL, <strong>clk.tradedoubler.com</strong>, me permet d'identifier sans doute possible le nom du « sponsor » si je puis dire, de ce spam.</p>
<p><a href="https://vialet.org/public/Spam/affiliation/tradedoubler_logo_rgb_small-800x600.png" title="Logotype Tradedoubler - Tradedoubler AB, tous droits réservés"><img src="https://vialet.org/public/Spam/affiliation/.tradedoubler_logo_rgb_small-800x600_s.png" alt="Logotype Tradedoubler - Tradedoubler AB, tous droits réservés" style="float:right; margin: 0 0 1em 1em;" title="Logotype Tradedoubler - Tradedoubler AB, tous droits réservés, nov. 2013" /></a>Et derrière chaque base constituée généralement à l'étranger (rappelez-vous : la <a href="https://vialet.org/blog/post/2013/10/Bon-baiser-de-Moldavie">Moldavie</a>, <a href="https://vialet.org/blog/post/2013/09/Spamme-par-K-Vern-Street">l'Ile Maurice</a> ou encore <a href="https://vialet.org/blog/post/2013/09/Le-jeu-de-piste-de-l-opt-in-partenaire">la Suisse</a>) se trouve une société d'affiliation marketing.</p>
<p>Ce nouvel exemple ne déroge pas à la règle et c'est encore <strong>TradeDoubler</strong> qui fera payer à <em>SwissLife</em> les quelques clics réalisés pour cette « campagne ».</p>
<p>Les différents identifiants passés via l'URL de <em>tracking</em> nous donnent peu d'informations. J'attends d'ailleurs de <em>TradeDoubler</em> qu'elle m'en dise plus sur l'expéditeur à partir de ces éléments.</p>
<h3>...et une autre agence de marketing-direct ?</h3>
<p>Plus étrange, le dernier lien qui fait cette fois appel aux outils de <em>tracking</em> de <em>SwissLife</em> elle-même, révèle que la campagne aurait été organisée par un certain « DarwinInt », qui est un des paramètres du lien de suivi (<em>utm_source</em>). Ce code <acronym title="Urchin Tracking Module">UTM</acronym> permet à l'annonceur, à travers l'outil <strong>Google Analytics</strong>, de connaître la provenance des visiteurs sur son site parmi les nombreuses campagnes et sources de captation d'audience.</p>
<p>D'après mes recherches, le code <em>DarwinInt</em> serait celui de l'agence <a href="http://www.darwin-interactive.fr/" hreflang="fr">Darwin Interactive</a>, filiale du groupe de communication <strong>Darwin Group</strong> et qui se définit comme « <em>une agence de communication digitale spécialisée en performance marketing</em> ».</p>
<h3>Le tout envoyé par EmailStrategie</h3>
<p><img src="https://vialet.org/public/Spam/kovetz/icon-wew-wew-big.png" alt="Icône WeWmanager, tous droits réservés" style="float:left; margin: 0 1em 1em 0;" title="Icône WeWmanager, tous droits réservés, nov. 2013" />Pas d'e-mailing sans routeur qui serait cette fois la solution <a href="http://www.wewmanager.com/" hreflang="fr">WeWmanager</a> de la société <a href="http://www.emailstrategie.com/" hreflang="fr">EmailStrategie</a>.</p>
<p>C'est d'ailleurs sur leur plateforme que le sous-domaine <em>stats.santegenerale770.com</em> et le mécanisme de désabonnement pointent.</p>
<p>Membre du <strong>SNCD</strong> et de <strong>Signal Spam</strong>, la société indique sur le site de WeWmanager qu'elle « <em>ne dispose d'aucune base de données emails en propre mais réserve ses services uniquement aux clients et partenaires qui adhèrent à sa politique de lutte anti-SPAM et respectent la législation en vigueur en France et/ou à l'international</em> ».</p>
<p>Cette solution semble être hébergée chez <strong>TAS France</strong>. Enfin, la page de désinscription ne vous donnera pas plus d'indications sur l'origine du spam ni par où sont passées ou ont été stockées vos données personnelles.</p>
<p><a href="https://vialet.org/public/Spam/kovetz/screenshot-desinscription.jpg" title="Capture d'écran de la page de désabonnement hébergée par WeWmanager"><img src="https://vialet.org/public/Spam/kovetz/.screenshot-desinscription_m.jpg" alt="Capture d'écran de la page de désabonnement hébergée par WeWmanager" style="display:block; margin:0 auto;" title="Capture d'écran de la page de désabonnement hébergée par WeWmanager, nov. 2013" /></a></p>
<p>C'est donc par <strong>4 intermédiaires</strong> que vos données personnelles auront transité mais seul le « client final » sera exposé à la vindicte légitime de l'internaute qui se voit encore spammé par des prestataires français qui tous indiquent en respecter la législation.</p>