Il est souvent très difficile, pour ne pas dire impossible, de remonter à la source d'un spam. Il existe pourtant plusieurs méthodes et astuces qui permettent de lever l'anonymat de l'expéditeur.

Seul et démuni face aux spammeurs français

Dans cette quête légitime qui permet à l'internaute spammé de connaître l'identité de son spammeur et donc de mettre en action la fameuse loi 78-17 du 6 janvier 1978, l'Afnic ou les sociétés françaises de dépôt de noms de domaine comme OVH, Gandi ou Online.fr ne vous seront d'aucune aide. Pas même l'hébergeur des services par lesquels sont pourtant passés les spams ne vous aidera à appliquer la loi.

Vous êtes donc seul face à votre pourriel et son code source qui est pourtant la clé qui vous mènera à la personne ou la société à qui profite le crime.

Voici deux exemples concrets de recherche du commendataire et de ses intermédiaires, tout aussi responsables que le spammeur lui-même.

« Samsung Galaxy S5 offert par Bouygues Telecom »

Nous partons donc d'un e-mail reçu dans la nuit du 5 novembre intitulé : « Samsung Galaxy S5 Offert ». Alléchant n'est-ce pas ? :-)

En étudiant le code source de cet e-mail (car tout e-mail possède une source lisible directement depuis votre logiciel de messagerie ou votre webmail), nous relevons tout d'abord trois informations importantes : l'objet, l'expéditeur et l'adresse de réponse.

...
From: Bouygues Telecom <emmanuel@tool-now01.eu>
Reply-to: Bouygues Telecom <emmanuel@tool-now01.eu>
Subject: Samsung Galaxy S5 Offert
...

Première information importante : contrairement à ce qui est affiché sur votre ordinateur, smartphone ou tablette, l'expéditeur n'est pas Bouygues Telecom mais le propriétaire du nom de domaine tool-now01.eu qui endosse ici l'identité de l'opérateur français. Il y a donc en premier lieu une usurpation d'identité avant même de parler de spam.

Logotype du registre EURidNous allons donc regarder qui a déposé le nom de domaine tool-now01.eu en interrogeant le registre des domaines européens, EURid.

La base du whois, qui est une source fournie par les registres de noms de domaine permettant d'obtenir des informations sur un nom de domaine, nous indique le résultat suivant :

  • le nom de domaine a été déposé de manière anonyme,
  • mais l'adresse e-mail du déposant est indiquée : d.ledoux@jump-communication.com.

Nous avons donc rapidement trouvé l'identité du spammeur : la société Jump Communication. Il est possible de confirmer cette identification en pistant les liens hypertexte contenus dans l'e-mailing, comme nous le verrons avec l'exemple suivant. C'est notamment cette étude qui aurait permis de déterminer quel était la régie publicitaire par laquelle est passée le spammeur (TouchVibes).

« Devenez propriétaire dans l'ouest de la France »

Cette fois-ci la société Ataraxia me propose de devenir propriétaire d'un bien immobilier dans l'ouest de la France.

Regardons en détail l'expéditeur du spam en éditant le code source de l'e-mail :

...
From: Ataraxia <noreply@freeopportunity.fr>
Reply-To: noreply@freeopportunity.fr
Subject: Devenez propriétaire dans l’ouest de la France
...

Là encore l'expéditeur n'est pas Ataraxia, l'annonceur, mais le propriétaire de l'adresse faisant usage du nom de domaine freeopportunity.fr.

Problème bloquant : ce nom de domaine .fr enregistré chez OVH dispose d'une protection qui rend toutes les données relatives au déposant anonymes, bien que le spam émane d'une entreprise qui ne peuvent légalement disposer de cette protection offerte par l'Afnic.

Cependant, en étudiant le whois de ce nom de domaine, nous obtenons plusieurs informations dans la section des serveurs de noms (DNS) :

nserver:     vps73133.ovh.net
nserver:     ns2.decanet.fr [176.31.39.65]

Le site du spammeur est hébergé chez OVH sur un VPS et dispose d'un DNS secondaire pris en charge par decanet.fr.

Mais revenons au spam lui-même. En étudiant les liens de la page de destination de l'e-mail, c'est-à-dire la page finale sur laquelle la victime du spam sera acheminée si elle cliquait sur les liens pistés qu'il contient, nous arrivons sur le nom de domaine reflexemail.com.

Bien que le site www.reflexemail.com nous retourne une page blanche, l'étude du whois va nous révéler d'autres indices :

Domain Name: REFLEXEMAIL.COM
Registrar: OVH

Registrant Name: KHIARI Mehdi
Registrant Organization: WebReflexe
Registrant Street: 107 Quai du docteur Dervaux
Registrant City: ASNIERES SUR SEINE
Registrant State/Province:
Registrant Postal Code: 92600
Registrant Country:  FR
Registrant Phone: +33.180875174
Registrant Phone Ext:
Registrant Fax: 
Registrant Fax Ext:
Registrant Email: ptykzme7yy57x9gregqu@v.o-w-o.info

Capture d'écran du site WebReflexe, tous droits réservés

Toujours déposé chez OVH, le nom de domaine est la propriété de la société WebReflexe et a été déposée par un certain Mehdi KHIARI.

WebReflexe serait une « agence Webmarketing à la performance » selon son site, ce qui traduit en français veut bien souvent dire « forte suspicion de spam » et qui disposerait d'une base de 25 millions d'adresses e-mail !

Nous avons donc la société Decanet, agence de communication à Toulouse, probablement un intermédiaire technique et le commanditaire WebReflexe, votre spammeur.

A la décharge de cette société : ses coordonnées figurent sur la page de destination bien qu'on aurait préféré qu'elles apparaissent dans le corps de l'e-mailing lui-même. Cela n'excuse en rien le spam.

« Votre mutuelle à partir de 6,79 €, devis gratuit et sans engagement »

Dernier exemple, un spam poussé par le mystérieux comcenter.fr.

Une nouvelle fois, l'Afnic, l'hébergeur ou la CNIL ne nous seront d'aucune aide afin d'exercer nos droits. Tous se retranchent derrière leurs obligations légales.

Nous allons analyser les différents serveurs entre l'e-mail et la page de destination hébergée par l'annonceur, la Mutuelle Mcd. Pour ce faire, il est possible d'utiliser un logiciel comme SamSpad, le module Live HTTP Headers pour votre navigateur Web ou de le faire directement en ligne sur cette page.

Voici le résultat de cette analyse :

1. http://comcenter.fr/inc/rdr.php?r=
2. http://click.events-10408-120.pl/?sc=
3. http://click.plt-events.com/?sc=
4. http://www.mutuelle-mcd.fr/particuliers/sante/devis_v3.php?origine=6&wysistatpr=nl_mir_pla&utm_source=placedesleads&utm_medium=email&utm_campaign=2014

Nous pouvons voir que nous passons d'abord par le site comcenter.fr, puis events-10408-120.pl (domaine polonais), plt-events.com et enfin le site de la mutuelle, tout ceci étant totalement imperceptible pour l'internaute lambda.

La mutuelle identifie cet apporteur d'affaire comme étant « placedesleads », c'est-à-dire la société Place des Leads qui propose justement un programme d'affiliation, la traditionnelle source de profits pour les spammeurs.

Le nom de domaine events-10408-120.pl est toujours déposé chez OVH par une société anglaise, Place Media Limited :

company: PLACE MEDIA LTD
street: 180-186, Kings Cross Road
city: WC1X 9DE London
location: GB
phone: +33.175776084

A cette adresse se trouve une société de domiciliation. On remarquera par contre que le numéro de téléphone est bien français compte tenu de son indicatif. plt-events.com est quant à lui géré par Place des Leads.

Place Media Ltd. et Place des Leads sont indubitablement liés (sa filiale anglaise Khing étant domiciliée à la même adresse). Nous avons donc trouvé notre spammeur ou du moins ses intermédiaires techniques et commerciaux.