Vialet.org - Mot-clé - placedesleads

Spammé par PKY SERVICES, membre du SNCD

Guillaume Vialet — Mon, 18 May 2015 16:25:00 +0200

Un nouvel exemple de l'inutilité des chartes professionnelles et de l'obsolescence de la législation française en matière d'exploitation commerciale des données personnelles.

J'ai reçu en l'espace de quelques minutes pas moins de 5 spams sur une adresse e-mail personnelle hors opt-in partenaire d'aucune sorte. Aucune indication de l'origine de la collecte n'était précisée dans les e-mailings successifs.

Spammé au profit de Pierre & Vacances...

Tous ces spams routés au profit de la société Pierre & Vacances ne sont pas signés par l'expéditeur, si ce n'est d'une phrase qui prend ici un caractère ironique :

Si ce message vous a causé un quelconque dérangement, nous vous prions de nous en excuser.

Les e-mails sont envoyés avec comme expéditeur Groupe Pierre & Vacances <Groupe@manutia.fr>. Un des liens mène notamment vers une page de « désinscription » hébergée sur le domaine manutia.fr.

Les différents liens hypertextes pistés mènent au final sur le site édité par un certain Réaction Patrimoine.

1. http://www.manutia.fr/r/?m=...
2. http://www.neo-devis.com/affiliate/...
3. http://immobilier-locatif.reaction-patrimoine.com

...par PKY Services/Database Security...

Ce projet de résidence de tourisme rare et haut de gamme allie la force d’Euro Disney S.C.A. à l’expertise du Groupe Pierre & Vacances - Center Parcs, spécialiste du tourisme et de l’investissement locatif.

Le site Manutia ainsi que Réaction Patrimoine sont en réalité édités par la société DBS by PKY-SERVICES comme l'indiquent les mentions légales.

On retrouve cette société sur Societe.com et on peut y apprendre qu'il s'agit d'une SARL créée en 2008 et dont la gérante s'appelle Pauline YOUDOM KOUONTCHOU qui semble bien connue dans le milieu de l'e-mailing d'après certains résultats de recherche sur Google.

La petite société (un seul salarié) aurait réalisé 305 033 € de chiffre d'affaires et 27 700 € de bénéfices en 2012.

Elle a déposé plusieurs noms commerciaux : DATABASE SECURITY, DBS, TECHWISE FRANCE, TEAMWISE GROUP...

Elle édite aussi un site à l'adresse marches-des-tpe-pme.fr dont l'objet est la récolte de données B2B.

...membre du SNCD

Et l'on découvre que cette société est membre du Syndicat national de la communication directe qui proscrit pourtant l'utilisation de données personnelles collectées illégalement et sans le consentement de l'internaute.

Va-t-on enfin voir ce syndicat prendre les mesures qui s'imposent et exclure la société PKY Services ?

Personnellement j'en doute, car il est difficile d'être juge et partie.

C'est au contraire l'exemple même qu'une charte de bonne conduite et l'autorégulation d'une profession sont insuffisantes et que la législation en matière de protection des données personnelles doit être renforcée, comme l'Union Européenne l'a proposée il y a plusieurs années.

A noter que les envois sont monétisés par la société NeoDevis qui aurait pour client Pierre & Vacances et comme affilié la société PKY Services.

Les données remplies sur le site Réactions Patrimoine doivent ainsi être revendues par NeoDevis à Pierre & Vacances et tous ces acteurs prélèvent au passage leur commission.

Une méthode maintes fois utilisée

PKY Services a recourt aux méthodes classiques des spammeurs :

Acquérir à peu de frais une base de données illicite d'adresses e-mail.
Trouver une société peu regardante afin d'obtenir des campagnes au CPL.
Se faire passer dans l'objet de l'e-mail pour une marque connue du grand public, ici Pierre & Vacances.
Router un maximum de courriels non sollicités.
Déployer une page de destination afin de collecter des données provenant d'internautes crédules.
Les monétiser à travers la société d'affiliation, elle-même payée par un annonceur, ici Pierre & Vacances.

Mise à jour au 19 mai : Le site NeoDevis est en réalité édité par la société DATABASE SECURITY DBS, alias PKY Services, ce que j'avais omis de vérifier. Cette société semble aussi liée à AMAT RH CONSULTING hébergée sur le même serveur et domiciliée dans la même ville que PKY Service (Serris).

Le véritable commanditaire de ces envois et de ces différentes sociétés (ou un intermédiaire) pourrait être un certain Alexandre Tshibangu secondé par Nathan NOËL de Techwise (mailing-pme.com), d'après le whois du domaine amat-rh.com et tout semble pointer vers le 1 (et 4) boulevard Michael Faraday à Serris. Difficile pour l'internaute spammé de s'y retrouver dans cette multitude de sociétés, de dénominations commerciales et sites Web.

Nous sommes bien loin de la première règle du SNCD qui demande à ses membres « [d']agir d'une part en conformité avec la législation en vigueur, d'autre part, en respectant les codes et usages spécifiques des métiers représentés au Sncd ».

Enfin, les conditions générales d'utilisation du service d'affiliation de NeoDevis sont identiques à celles proposées par le site Place des Leads, bien connu de mes lecteurs.

Autopsie d'un spam

Guillaume Vialet — Wed, 05 Nov 2014 09:31:00 +0100

Il est souvent très difficile, pour ne pas dire impossible, de remonter à la source d'un spam. Il existe pourtant plusieurs méthodes et astuces qui permettent de lever l'anonymat de l'expéditeur.

Seul et démuni face aux spammeurs français

Dans cette quête légitime qui permet à l'internaute spammé de connaître l'identité de son spammeur et donc de mettre en action la fameuse loi 78-17 du 6 janvier 1978, l'Afnic ou les sociétés françaises de dépôt de noms de domaine comme OVH, Gandi ou Online.fr ne vous seront d'aucune aide. Pas même l'hébergeur des services par lesquels sont pourtant passés les spams ne vous aidera à appliquer la loi.

Vous êtes donc seul face à votre pourriel et son code source qui est pourtant la clé qui vous mènera à la personne ou la société à qui profite le crime.

Voici deux exemples concrets de recherche du commendataire et de ses intermédiaires, tout aussi responsables que le spammeur lui-même.

« Samsung Galaxy S5 offert par Bouygues Telecom »

Nous partons donc d'un e-mail reçu dans la nuit du 5 novembre intitulé : « Samsung Galaxy S5 Offert ». Alléchant n'est-ce pas ?

En étudiant le code source de cet e-mail (car tout e-mail possède une source lisible directement depuis votre logiciel de messagerie ou votre webmail), nous relevons tout d'abord trois informations importantes : l'objet, l'expéditeur et l'adresse de réponse.

...
From: Bouygues Telecom <emmanuel@tool-now01.eu>
Reply-to: Bouygues Telecom <emmanuel@tool-now01.eu>
Subject: Samsung Galaxy S5 Offert
...

Première information importante : contrairement à ce qui est affiché sur votre ordinateur, smartphone ou tablette, l'expéditeur n'est pas Bouygues Telecom mais le propriétaire du nom de domaine tool-now01.eu qui endosse ici l'identité de l'opérateur français. Il y a donc en premier lieu une usurpation d'identité avant même de parler de spam.

Nous allons donc regarder qui a déposé le nom de domaine tool-now01.eu en interrogeant le registre des domaines européens, EURid.

La base du whois, qui est une source fournie par les registres de noms de domaine permettant d'obtenir des informations sur un nom de domaine, nous indique le résultat suivant :

le nom de domaine a été déposé de manière anonyme,
mais l'adresse e-mail du déposant est indiquée : d.ledoux@jump-communication.com.

Nous avons donc rapidement trouvé l'identité du spammeur : la société Jump Communication. Il est possible de confirmer cette identification en pistant les liens hypertexte contenus dans l'e-mailing, comme nous le verrons avec l'exemple suivant. C'est notamment cette étude qui aurait permis de déterminer quel était la régie publicitaire par laquelle est passée le spammeur (TouchVibes).

« Devenez propriétaire dans l'ouest de la France »

Cette fois-ci la société Ataraxia me propose de devenir propriétaire d'un bien immobilier dans l'ouest de la France.

Regardons en détail l'expéditeur du spam en éditant le code source de l'e-mail :

...
From: Ataraxia <noreply@freeopportunity.fr>
Reply-To: noreply@freeopportunity.fr
Subject: Devenez propriétaire dans l’ouest de la France
...

Là encore l'expéditeur n'est pas Ataraxia, l'annonceur, mais le propriétaire de l'adresse faisant usage du nom de domaine freeopportunity.fr.

Problème bloquant : ce nom de domaine .fr enregistré chez OVH dispose d'une protection qui rend toutes les données relatives au déposant anonymes, bien que le spam émane d'une entreprise qui ne peuvent légalement disposer de cette protection offerte par l'Afnic.

Cependant, en étudiant le whois de ce nom de domaine, nous obtenons plusieurs informations dans la section des serveurs de noms (DNS) :

nserver:     vps73133.ovh.net
nserver:     ns2.decanet.fr [176.31.39.65]

Le site du spammeur est hébergé chez OVH sur un VPS et dispose d'un DNS secondaire pris en charge par decanet.fr.

Mais revenons au spam lui-même. En étudiant les liens de la page de destination de l'e-mail, c'est-à-dire la page finale sur laquelle la victime du spam sera acheminée si elle cliquait sur les liens pistés qu'il contient, nous arrivons sur le nom de domaine reflexemail.com.

Bien que le site www.reflexemail.com nous retourne une page blanche, l'étude du whois va nous révéler d'autres indices :

Domain Name: REFLEXEMAIL.COM
Registrar: OVH

Registrant Name: KHIARI Mehdi
Registrant Organization: WebReflexe
Registrant Street: 107 Quai du docteur Dervaux
Registrant City: ASNIERES SUR SEINE
Registrant State/Province:
Registrant Postal Code: 92600
Registrant Country:  FR
Registrant Phone: +33.180875174
Registrant Phone Ext:
Registrant Fax: 
Registrant Fax Ext:
Registrant Email: ptykzme7yy57x9gregqu@v.o-w-o.info

Toujours déposé chez OVH, le nom de domaine est la propriété de la société WebReflexe et a été déposée par un certain Mehdi KHIARI.

WebReflexe serait une « agence Webmarketing à la performance » selon son site, ce qui traduit en français veut bien souvent dire « forte suspicion de spam » et qui disposerait d'une base de 25 millions d'adresses e-mail !

Nous avons donc la société Decanet, agence de communication à Toulouse, probablement un intermédiaire technique et le commanditaire WebReflexe, votre spammeur.

A la décharge de cette société : ses coordonnées figurent sur la page de destination bien qu'on aurait préféré qu'elles apparaissent dans le corps de l'e-mailing lui-même. Cela n'excuse en rien le spam.

« Votre mutuelle à partir de 6,79 €, devis gratuit et sans engagement »

Dernier exemple, un spam poussé par le mystérieux comcenter.fr.

Une nouvelle fois, l'Afnic, l'hébergeur ou la CNIL ne nous seront d'aucune aide afin d'exercer nos droits. Tous se retranchent derrière leurs obligations légales.

Nous allons analyser les différents serveurs entre l'e-mail et la page de destination hébergée par l'annonceur, la Mutuelle Mcd. Pour ce faire, il est possible d'utiliser un logiciel comme SamSpad, le module Live HTTP Headers pour votre navigateur Web ou de le faire directement en ligne sur cette page.

Voici le résultat de cette analyse :

1. http://comcenter.fr/inc/rdr.php?r=
2. http://click.events-10408-120.pl/?sc=
3. http://click.plt-events.com/?sc=
4. http://www.mutuelle-mcd.fr/particuliers/sante/devis_v3.php?origine=6&wysistatpr=nl_mir_pla&utm_source=placedesleads&utm_medium=email&utm_campaign=2014

Nous pouvons voir que nous passons d'abord par le site comcenter.fr, puis events-10408-120.pl (domaine polonais), plt-events.com et enfin le site de la mutuelle, tout ceci étant totalement imperceptible pour l'internaute lambda.

La mutuelle identifie cet apporteur d'affaire comme étant « placedesleads », c'est-à-dire la société Place des Leads qui propose justement un programme d'affiliation, la traditionnelle source de profits pour les spammeurs.

Le nom de domaine events-10408-120.pl est toujours déposé chez OVH par une société anglaise, Place Media Limited :

company: PLACE MEDIA LTD
street: 180-186, Kings Cross Road
city: WC1X 9DE London
location: GB
phone: +33.175776084

A cette adresse se trouve une société de domiciliation. On remarquera par contre que le numéro de téléphone est bien français compte tenu de son indicatif. plt-events.com est quant à lui géré par Place des Leads.

Place Media Ltd. et Place des Leads sont indubitablement liés (sa filiale anglaise Khing étant domiciliée à la même adresse). Nous avons donc trouvé notre spammeur ou du moins ses intermédiaires techniques et commerciaux.