Logotype K Vern Street CommunicationUn peu plus d'un an après avoir mis en place le site du mariage de mes amis, je devais recevoir une sollicitation commerciale pour un certain cabinet de recouvrement parisien, le cabinet d'Ormane.

L'e-mail indique que le message est poussé par K Vern Street ainsi qu'un numéro d'enregistrement CNIL n°1426102. Les liens de désinscription ou de tracking reposent sur le nom de domaine host606.com déposé et hébergé chez OVH.

De la Touraine à l'Ile Maurice

K Vern Street Communication qui se définit elle-même comme une agence de communication n'est pas française mais mauricienne, plus précisément domiciliée à Port Louis. Son représentant serait un certain M. Pierre Gougeon, toujours selon le site de la société.

Le nom de domaine host606.com est quant à lui déposé par un certain M. Denis Ledoux tandis que le domaine kvernstreet.net est déposé au nom de la société Email For You Ltd. dont le représentant, d'après son whois, serait Joan Gougeon domicilié à la même adresse que K Vern Street (14D Eneskinen Street à Port Louis). Cette dernière n'est en fait qu'une marque commerciale.

Appelé le 10 septembre par mes soins lors de la réception du premier spam, la société n'a pas encore daigné m'adresser de réponse sur l'origine de la collecte de cette adresse e-mail. Et c'est bien là tout le problème.

Une adresse collectée de manière déloyale ?

Que dit la loi française de 1978 notamment à l'article 25 ? Que la « collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est interdite. »

Tout d'abord cette adresse n'est pas diffusée sur le site du mariage de mes amis mais est utilisée lors de l'envoi de l'accusé de réception du formulaire de contact. Ensuite, elle n'est pas non plus présente dans le whois du nom de domaine. Ce site revêt évidemment un caractère privé et n'est pas un outil à vocation commerciale ou professionnelle.

Dès lors, le consentement préalable doit être obtenu avant de router le moindre e-mail de prospection.

Trois jours plus tard, un second spam est routé, cette fois au profit du site www.defy-entreprises.org faisant la promotion du logiciel Sage. Le site en question est hors service l'heure où j'écris ce billet, comme en témoigne cette capture d'écran :

Capture d'écran du site defy-entreprises.org

L'adresse de désabonnement est cette-fois ci traitée par le sous-domaine nuntius.defy-entreprises.org dont le whois ne donne aucune information sur son propriétaire.

L'adresse e-mail récupérée de manière déloyale ou illicite aura manifestement été intégrée à un programme B2B.

On peut dès lors supposer que la source de cette société peut être un spyware récupérant les adresses e-mails des carnets d'adresses de machines infectées ou bien un outil forgeant des adresses e-mail génériques au petit bonheur la chance.

Alerté sur Twitter, le cabinet d'Ormane n'a pas non plus souhaité me répondre sur les pratiques de son prestataire.

Mise à jour au 22/09 : Grâce à la pleine collaboration du Cabinet d'Ormane, de la régie d'affiliation Touchvibes.com et finalement de K Vern Street, je suis maintenant en mesure de savoir où cette adresse a été achetée par cette dernière : sur le site WSData qui n'est qu'une grosse base de données de noms de domaine et données associées, poussée par une société chinoise, AsiaWS Network et totalement illicite en France ou en Europe.

Ce billet est le parfait exemple des mauvaises pratiques en matière d'e-mailing et d'affiliation : une base « pirate », un affilié hors de toute juridiction française, un affiliateur dans l'incapacité de contrôler efficacement l'utilisation qui est faite de sa plateforme, un client peu regardant sur l'origine des campagnes qui sont pourtant poussées en son nom.