Vialet.org - Mot-clé - webreflexeBlog personnel de Guillaume Vialet : RGPD, spam et vie privée2023-09-04T14:34:42+02:00Guillaume Vialeturn:md5:9535d818376275b9673fdcc78d8ab0ebDotclearAutopsie d'un spamurn:md5:8a969b7bf964bcb4a60c0cad522fad452014-11-05T09:31:00+01:002022-08-14T10:44:20+02:00Guillaume VialetHall of Spamafnicdecaneteuridjumpovhplacedesleadsspamtouchvibeswebreflexe <p>Il est souvent très difficile, pour ne pas dire impossible, de remonter à la source d'un spam. Il existe pourtant plusieurs méthodes et astuces qui permettent de lever l'anonymat de l'expéditeur.</p>
<h3>Seul et démuni face aux spammeurs français</h3>
<p>Dans cette quête légitime qui permet à l'internaute spammé de connaître l'identité de son spammeur et donc de mettre en action la fameuse <a href="http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/" hreflang="fr">loi 78-17 du 6 janvier 1978</a>, l'Afnic ou les sociétés françaises de dépôt de noms de domaine comme OVH, Gandi ou Online.fr ne vous seront d'aucune aide. Pas même l'hébergeur des services par lesquels sont pourtant passés les spams ne vous aidera à appliquer la loi.</p>
<p>Vous êtes donc seul face à votre pourriel et son code source qui est pourtant la clé qui vous mènera à la personne ou la société à qui profite le crime.</p>
<p>Voici deux exemples concrets de recherche du commendataire et de ses intermédiaires, tout aussi responsables que le spammeur lui-même.</p>
<h3>« Samsung Galaxy S5 offert par Bouygues Telecom »</h3>
<p>Nous partons donc d'un e-mail reçu dans la nuit du 5 novembre intitulé : « <em>Samsung Galaxy S5 Offert</em> ». Alléchant n'est-ce pas ? :-)</p>
<p>En étudiant <strong>le code source</strong> de cet e-mail (car tout e-mail possède une source lisible directement depuis votre logiciel de messagerie ou votre <a href="http://fr.wikipedia.org/wiki/Messagerie_web" hreflang="fr" title="Messagerie web sur Wikipédia">webmail</a>), nous relevons tout d'abord trois informations importantes : l'objet, l'expéditeur et l'adresse de réponse.</p>
<pre>
...
From: Bouygues Telecom <emmanuel@tool-now01.eu>
Reply-to: Bouygues Telecom <emmanuel@tool-now01.eu>
Subject: Samsung Galaxy S5 Offert
...
</pre>
<p>Première information importante : contrairement à ce qui est affiché sur votre ordinateur, smartphone ou tablette, <strong>l'expéditeur n'est pas Bouygues Telecom</strong> mais le propriétaire du nom de domaine <strong>tool-now01.eu</strong> qui endosse ici l'identité de l'opérateur français. Il y a donc en premier lieu <strong>une usurpation d'identité</strong> avant même de parler de <em>spam</em>.</p>
<p><a href="https://vialet.org/public/Spam/Jump_Communication/logo-eurid.png" title="Logotype du registre EURid"><img src="https://vialet.org/public/Spam/Jump_Communication/.logo-eurid_s.png" alt="Logotype du registre EURid" style="float:right; margin: 0 0 1em 1em;" title="Logotype du registre EURid" /></a>Nous allons donc regarder qui a déposé le nom de domaine tool-now01.eu en interrogeant le registre des domaines européens, <strong>EURid</strong>.</p>
<p>La base du <a href="http://fr.wikipedia.org/wiki/Whois" hreflang="fr">whois</a>, qui est une source fournie par les registres de noms de domaine permettant d'obtenir des informations sur un nom de domaine, <a href="http://www.eurid.eu/en/whois-search?domain=tool-now01.eu" hreflang="en">nous indique le résultat suivant</a> :</p>
<ul>
<li>le nom de domaine a été déposé de manière anonyme,</li>
<li>mais l'adresse e-mail du déposant est indiquée : <em>d.ledoux@jump-communication.com</em>.</li>
</ul>
<p>Nous avons donc rapidement trouvé l'identité du spammeur : la société <a href="https://vialet.org/blog/post/2014/10/De-K-Vern-Street-a-Jump-Communication">Jump Communication</a>. Il est possible de confirmer cette identification en pistant les liens hypertexte contenus dans l'e-mailing, comme nous le verrons avec l'exemple suivant. C'est notamment cette étude qui aurait permis de déterminer quel était la régie publicitaire par laquelle est passée le spammeur (<a href="https://vialet.org/blog/post/2014/10/De-K-Vern-Street-a-Jump-Communication">TouchVibes</a>).</p>
<h3>« Devenez propriétaire dans l'ouest de la France »</h3>
<p>Cette fois-ci la société <strong>Ataraxia</strong> me propose de devenir propriétaire d'un bien immobilier dans l'ouest de la France.</p>
<p>Regardons en détail l'expéditeur du spam en éditant le code source de l'e-mail :</p>
<pre>
...
From: Ataraxia <noreply@freeopportunity.fr>
Reply-To: noreply@freeopportunity.fr
Subject: Devenez propriétaire dans l’ouest de la France
...
</pre>
<p>Là encore l'expéditeur n'est pas Ataraxia, l'annonceur, mais le propriétaire de l'adresse faisant usage du nom de domaine <strong>freeopportunity.fr</strong>.</p>
<p>Problème bloquant : ce nom de domaine .fr enregistré chez <strong>OVH</strong> dispose d'une protection qui rend toutes les données relatives au déposant anonymes, bien que le spam émane d'une entreprise qui ne peuvent légalement disposer de cette protection offerte par l'Afnic.</p>
<p>Cependant, en étudiant le whois de ce nom de domaine, nous obtenons plusieurs informations dans la section des serveurs de noms (<a href="http://fr.wikipedia.org/wiki/Domain_Name_System" hreflang="fr" title="Domain Name System sur Wikipédia">DNS</a>) :</p>
<pre>
nserver: vps73133.ovh.net
nserver: ns2.decanet.fr [176.31.39.65]
</pre>
<p>Le site du spammeur est hébergé chez OVH sur un <a href="http://fr.wikipedia.org/wiki/Serveur_d%C3%A9di%C3%A9_virtuel" hreflang="fr" title="Serveur dédié virtuel sur Wikipédia">VPS</a> et dispose d'un <abbr title="Domain Name System">DNS</abbr> secondaire pris en charge par <strong>decanet.fr</strong>.</p>
<p>Mais revenons au spam lui-même. En étudiant les liens de la page de destination de l'e-mail, c'est-à-dire la page finale sur laquelle la victime du spam sera acheminée si elle cliquait sur les liens pistés qu'il contient, nous arrivons sur le nom de domaine <strong>reflexemail.com</strong>.</p>
<p>Bien que le site <a href="http://www.reflexemail.com">www.reflexemail.com</a> nous retourne une page blanche, l'étude du <em>whois</em> va nous révéler d'autres indices :</p>
<pre>
Domain Name: REFLEXEMAIL.COM
Registrar: OVH
Registrant Name: KHIARI Mehdi
Registrant Organization: WebReflexe
Registrant Street: 107 Quai du docteur Dervaux
Registrant City: ASNIERES SUR SEINE
Registrant State/Province:
Registrant Postal Code: 92600
Registrant Country: FR
Registrant Phone: +33.180875174
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: ptykzme7yy57x9gregqu@v.o-w-o.info
</pre>
<p><a href="https://vialet.org/public/Spam/WebReflexe/Screenshot-WebReflexe.jpg" title="Capture d'écran du site WebReflexe, tous droits réservés"><img src="https://vialet.org/public/Spam/WebReflexe/.Screenshot-WebReflexe_m.jpg" alt="Capture d'écran du site WebReflexe, tous droits réservés" style="display:table; margin:0 auto;" title="Capture d'écran du site WebReflexe, tous droits réservés" /></a></p>
<p>Toujours déposé chez OVH, le nom de domaine est la propriété de la société <strong>WebReflexe</strong> et a été déposée par un certain <a href="http://fr.linkedin.com/pub/mehdi-khiari/4/468/595" hreflang="en">Mehdi KHIARI</a>.</p>
<p>WebReflexe serait une « <em>agence Webmarketing à la performance</em> » <a href="http://www.webreflexe.com/" hreflang="fr">selon son site</a>, ce qui traduit en français veut bien souvent dire « forte suspicion de spam » et qui disposerait d'une base de <strong>25 millions d'adresses e-mail</strong> !</p>
<p>Nous avons donc la société <strong>Decanet</strong>, agence de communication à Toulouse, probablement un intermédiaire technique et le commanditaire <strong>WebReflexe</strong>, votre spammeur.</p>
<p>A la décharge de cette société : ses coordonnées figurent sur la page de destination bien qu'on aurait préféré qu'elles apparaissent dans le corps de l'e-mailing lui-même. Cela n'excuse en rien le <em>spam</em>.</p>
<h3>« Votre mutuelle à partir de 6,79 €, devis gratuit et sans engagement »</h3>
<p>Dernier exemple, un spam poussé par le mystérieux <strong>comcenter.fr</strong>.</p>
<p>Une nouvelle fois, l'Afnic, l'hébergeur ou la <strong>CNIL</strong> ne nous seront d'aucune aide afin d'exercer nos droits. Tous se retranchent derrière leurs obligations légales.</p>
<p>Nous allons analyser les différents serveurs entre l'e-mail et la page de destination hébergée par l'annonceur, la <strong>Mutuelle Mcd</strong>. Pour ce faire, il est possible d'utiliser un logiciel comme <a href="https://vialet.org/blog/post/2009/04/Telechargement-de-SamSpad">SamSpad</a>, le module <a href="https://addons.mozilla.org/fR/firefox/addon/live-http-headers/" hreflang="fr">Live HTTP Headers</a> pour votre navigateur Web ou de le faire directement en ligne <a href="http://web-sniffer.net/" hreflang="en" title="View HTTP Request and Response Header">sur cette page</a>.</p>
<p>Voici le résultat de cette analyse :</p>
<pre>
1. http://comcenter.fr/inc/rdr.php?r=
2. http://click.events-10408-120.pl/?sc=
3. http://click.plt-events.com/?sc=
4. http://www.mutuelle-mcd.fr/particuliers/sante/devis_v3.php?origine=6&wysistatpr=nl_mir_pla&utm_source=placedesleads&utm_medium=email&utm_campaign=2014
</pre>
<p>Nous pouvons voir que nous passons d'abord par le site <ins>comcenter.fr</ins>, puis <ins>events-10408-120.pl</ins> (domaine polonais), <ins>plt-events.com</ins> et enfin le site de la mutuelle, tout ceci étant totalement imperceptible pour l'internaute <em>lambda</em>.</p>
<p>La mutuelle identifie cet apporteur d'affaire comme étant « placedesleads », c'est-à-dire la société <strong>Place des Leads</strong> qui propose justement <strong>un programme d'affiliation</strong>, la traditionnelle source de profits pour les spammeurs.</p>
<p>Le nom de domaine <a href="http://www.events-10408-120.pl/" hreflang="fr">events-10408-120.pl</a> est toujours déposé chez OVH par une société anglaise, <strong>Place Media Limited</strong> :</p>
<pre>
company: PLACE MEDIA LTD
street: 180-186, Kings Cross Road
city: WC1X 9DE London
location: GB
phone: +33.175776084
</pre>
<p>A cette adresse se trouve <strong>une société de domiciliation</strong>. On remarquera par contre que le numéro de téléphone <strong>est bien français</strong> compte tenu de son indicatif. <ins>plt-events.com</ins> est quant à lui géré par <em>Place des Leads</em>.</p>
<p><em>Place Media Ltd</em>. et <em>Place des Leads</em> sont indubitablement liés (sa filiale anglaise <a href="https://www.khingdom.com/" hreflang="en">Khing</a> étant domiciliée à la même adresse). Nous avons donc trouvé notre spammeur ou du moins ses intermédiaires techniques et commerciaux.</p>