Vialet.org - Mot-clé - touchvibes

De Viadeo à Espace Direct

Guillaume Vialet — Tue, 26 Jan 2021 19:39:00 +0100

Le fabuleux voyage des données personnelles de Viadeo à CCM Benchmark Group (Groupe Le Figaro), en passant par un mystérieux Espace Direct. Quand une inscription au sein d'un réseau social destiné notamment à faciliter le retour à l'emploi fait-elle de vous une cible B2B ?

Viadeo racheté par le Groupe Figaro...

Viadeo est un réseau social professionnel dédié, lors de sa création en 2003 (alors appelé Viaduc), à mettre en relation anciens élèves, étudiants, salariés, entrepreneurs, futurs employeurs... au sein d'un site Web sur un modèle équivalent au populaire LinkedIn (aujourd'hui propriété de Microsoft).

Face à ses mauvais résultats et placée en redressement judiciaire, la marque est rachetée 1,5 millions d'euros par le Groupe Le Figaro en décembre 2016.

Le Groupe Le Figaro est lui-même propriétaire de CCM Benchmark depuis 2015, éditeur entre autres du Journal du Net (JDN). Le site Viadeo, après quelques années passées dans un état végétatif, est refondu courant 2020 et rattaché à la marque JDN.

Cette refonte est présentée ainsi à ses membres :

Cher membre, Viadeo - votre réseau social français - évolue, et nous souhaitions partager avec vous cette nouvelle étape importante. Ce changement se traduit d'abord par une association avec la marque leader sur l'information Tech, le Journal du Net, et par un nouveau nom : Viadeo by JDN. Au-delà de ce changement de nom, notre objectif est de vous proposer un nouveau site et une nouvelle expérience recentrés autour de notre promesse initiale : vous permettre de constituer un réseau professionnel de qualité. Pour mieux répondre à vos attentes et vous aider à faire évoluer votre carrière, l'ensemble de nos services seront désormais entièrement gratuits !

...devient Viadeo by JDN

Devenu Viadeo by JDN, le site mise sur la gratuité de ses services. Ce qui hélas est souvent synonyme de commercialisation des données personnelles des utilisateurs et parfois sans leur consentement.

Et c'est précisément ce qui s'est produit pour ma part début janvier 2021 avec l'arrivée de premiers e-mails promotionnels indésirables.

Ces spams ont pour point commun un seul et unique expéditeur : le site espacebusiness.com, qui, après quelques recherches, se révèle être édité par la société Espace Direct.

Sur le profil LinkedIn du co-fondateur d'Espace Direct, on apprend que « l'entreprise a rejoint en juillet 2018, la société CCM Benchmark, activité digitale du Groupe Figaro ».

Espace Direct indique aussi sur son site posséder « 2,5 millions d'adresses emails qualifiées de dirigeants et de cadres opérationnels (et) le meilleur de la data b2b ».

La réalité est un peu plus compliquée : Espace Direct serait une marque déposée par la société Touchvibes et non pas une société.

Touchvibes, de son côté, a bien été rachetée par CCM Benchmark mais en 2013 et s'appelle maintenant CCM PERFORMANCE.

Pourtant, en se désabonnement des e-mailings d'EspaceBusiness.com, il est clairement indiqué sur le site de destination que l'éditeur est bien Espace Direct, SAS au capital de 40 000 €, immatriculée au RCS de Paris sous le n° B 394 248 280 et dont le siège social est situé 94 rue de Provence à Paris.

Cependant, cette société n'existe plus depuis le 18 janvier 2019. La confusion est totale. Voici des extraits des mentions légales :

EspaceBusiness.com : (radiée au RCS le 18/01/2019)

Le site EspaceBusiness.com est édité et géré par la société Espace Direct, SAS au capital de 40 000 €, immatriculée au RCS de Paris sous le n° B 394 248 280 et dont le siège social est situé 94 rue de Provence - 75009 Paris.

Sur le site Espace Direct : (immatriculée au RCS le 04/07/2013)

TOUCHVIBES
SAS au capital de 15 769 euros
Siège social : 94 rue de Provence – 75009 Paris
RCS Paris : B 509 247 912
SIREN : 509 247 912 00066
NAF : 7022Z

Sur le site CCM PERFORMANCE : (établissement fermé le 03/01/2017)

CCM PERFORMANCE (TOUCHVIBES SAS)
Siège social : 94 RUE DE PROVENCE, 75009 PARIS
Société Anonyme au capital de 15 375€
522 869 593 RCS Paris
Siret : 52286959300064

Sur la page Facebook dédiée à CCM Performance, on peut lire notamment : Crée en Décembre 2016, fruit de la fusion entre CCM Data & Marketing, et CCM Business, CCM Performance est la nouvelle entité entièrement dédiée au marketing à la performance appartenant au group Figaro/CCM Benchmark.

Qui est donc le porteur juridique de ce traitement ?

« La société CCM Benchmark Group respecte votre droit à la vie privée »

En résumé, le site Viadeo by JDN transfert à travers sa maison-mère CCM Benchmark les données personnelles de ses membres (la liste des données transmises reste introuvable) à une société du groupe, TOUCHVIBES SAS (radiée au RCS selon ses propres mentions légales), qui ensuite les commercialise auprès de ses clients.

CCM Benchmark appartient au Groupe Figaro, lui-même propriété du Groupe Dassault.

Que dit le RGPD ?

Le site Viadeo sur lequel vous vous étiez inscrit, n'existe plus. Il a été refondu en 2020 à travers la nouvelle marque Viadeo by JDN.

Cependant, CCM Benchmark Group, son nouvel éditeur et responsable de traitement, a conservé données personnelles et paramètres (préférences, confidentialité, vie privée, etc.).

Il précise sur la page dédiée à sa politique de confidentialité, que :

...sous réserve de votre consentement lorsqu'il est requis ou sauf autres options de votre part, les données personnelles concernant les abonnées et titulaires de comptes Viadeo (…) sont partagées entre les entités du Groupe Figaro^[1] à des fins de gestion centralisée de la relation client, d'étude, analyse et segmentation, ainsi qu'à des fins de prospection commerciale.

Ainsi, nos données personnelles sont transmises à des fins commerciales à d'autres entités du Groupe Figaro (qui devient co-responsable de traitement avec CCM Benchmark Group, éditeur du site) sans qu'il soit possible de déterminer lesquelles ni de mesurer l'ampleur et la fréquence de ces transferts.

Les mentions légales sont donc ici lacunaires du point de vue du RGPD.

En matière de prospection électronique B2B, que nous dit la CNIL ? En admettant que Viadeo soit un annuaire B2B, ce qui est discutable, la personne doit, au moment de la collecte de son adresse de messagerie :

être informée que son adresse électronique sera utilisée à des fins de prospection,
être en mesure de s'opposer à cette utilisation de manière simple et gratuite,
l'objet de la sollicitation doit être en rapport avec la profession de la personne démarchée (par exemple nous dit la CNIL : un message présentant les mérites d'un logiciel à paul.toto@nomdelasociété, directeur informatique).

Sur la page d'inscription du nouveau site Viadeo by JDN, un paragraphe écrit en petits caractères nous précise que :

(Les) informations recueillies ci-dessus sont destinées à CCM Benchmark Group pour assurer la création et la gestion de votre compte, ainsi que des abonnements et autres services souscrits. Elles seront également utilisées sous réserve des options souscrites, à des fins de ciblage publicitaire et prospection commerciale au sein du Groupe Le Figaro, ainsi qu'avec nos partenaires commerciaux.

La prospection s'étend ici à des partenaires commerciaux qui ne sont pas non plus identifiés dans les mentions d'information^[2]. Cette prospection semble cependant encadrée par la présence d'une case à cocher dans le formulaire d'inscription, que l'on retrouve dans l'espace utilisateur.

Ayant déjà réglé par le passé - mais sur l'ancien site - mes « options en matière de prospection » comme signifié sur la page d'inscription et n'ayant pas reçu de spam avant janvier 2021, que s'est-il passé lors de la refonte de Viadeo ?

Soit mes choix ne sont plus respectés, soit le responsable de traitement a pris le parti de considérer que l'opt-out s'appliquait ici.

Vous recevez ce message car vous êtes référencé dans la base de données Espace Direct

Attardons-nous maintenant sur les e-mails commerciaux qui m'ont été envoyés.

Comme je l'écrivais plus haut, ces e-mails sont routés via une adresse et des URL de tracking détenues par EspaceBusiness.com, propriété de la société ~~Espace Direct~~ Touchvibes SAS. C'est cependant le nom d'une marque qui est utilisé en signature de l'e-mail (Espace Direct), en plus du nom de la société cliente pour le compte de laquelle la communication est émise (c'est d'ailleurs une obligation légale).

Notre objectif est de réduire le volume de publicités que vous recevez pour ne sélectionner que celles que (sic) vous intéressent réellement (CCM PERFORMANCE).

Il n'est jamais fait mention de Viadeo/CCM Benchmark Group ou de CCM PERFORMANCE/Touchvibes, c'est-à-dire les responsables de traitement qui ont pourtant la responsabilité de la collecte, du transfert et du traitement des DCP. Dès lors, l'internaute ne peut agir directement à la source mais uniquement se « désabonner » des pourriels envoyés par un « Espace Direct » sur un site maintenu par une société qui n'existe plus.

Entre le 6 janvier et le 28 janvier, Espace Direct m'a adressé 20 e-mails commerciaux. Soit près d'un spam par jour.

Voici la liste des messages poussés (souvent à l'identique) :

Sage France (8 spams) pour le téléchargement d'un livre blanc
Bodet Software (3 spams) concernant le contrôle et filtrage des accès aux locaux d'entreprise
Total Direct Energie (1 spam) concernant la fin des tarifs pour la société Almavia (sic)
Verizon Connect (6 spams) afin de faire la promotion d'un logiciel de gestion de flotte de véhicules
Perhentia (1 spam), une agence de communication
NEOMA Business School (1 spam) promotion de formations

Un responsable marketing de Bodet Sotftware témoignage d'ailleurs sur le site commercial d'Espace Direct :

Espace Direct a toujours su anticiper nos besoins et nos attentes, l'équipe est une véritable force de proposition. Les campagnes sont d'une qualité irréprochable et je sais que je peux m'appuyer à 100% sur leur expertise pour sélectionner les meilleurs fichiers.

La suppression de mon compte Viadeo by JDN le 14 janvier n'a manifestement pas arrêté l'envoi de spams, malgré la promesse d'Espace Direct de mettre à jour quotidiennement sa base de prospection.

Plus grave, le spam poussé au profit de Total Direct Energie fait spécifiquement référence à un ancien employeur que j'ai quitté il y a 3 ans et s'adresse directement à cette société et non pas à moi, à travers mes données personnelles.

Ce traitement est donc une exploitation illicite et potentiellement dangereuse du fait de l'utilisation erronée des données collectées. Enfin, il est important de noter qu'Espace Direct est membre du SNCD et que les e-mails sont routés par OVHcloud (qui a été plusieurs fois alertée).

Demande d'accès à mes données personnelles

Extrait des mentions d'information de Viadeo by JDN :

Sous réserve de votre consentement lorsqu'il est requis, elles peuvent également être partagées avec les autres entités du Groupe Le Figaro et nos partenaires commerciaux, afin de nous permettre de vous faire bénéficier d’offres promotionnelles, y compris de tiers, ainsi qu’à des fins de publicité le plus souvent adaptées à vos centres d’intérêt et/ou votre localisation.

Étant donné que le site Viadeo (by JDN) a transmis, sans m'en informer, mes données personnelles potentiellement à l'ensemble du Groupe Figaro comme stipulé ci-dessus, mais qu'il n'est pas fait mention de l'existence d'un DPO pour le groupe CCM Benchmark (qui est pourtant le responsable de traitement de Viadeo by JDN) voire du Figaro, je me suis tourné vers les contacts DPO d'Espace Direct et de Touchvibes alias CCM PERFORMANCE. Le Figaro a lui-aussi été averti.

J'attends maintenant l'envoi de la copie intégrale de mes données personnelles, la finalité et la base légale du traitement ainsi que la liste de l'ensemble des filiales ou partenaires du CCM Benchmark Group à qui mes données auraient été transmises.

Sanctions RGPD

Si l'on se fie au chiffre d'affaires de Touchvibes (ceux de 2011), cette société risque 73 268,00 € d'amende. CCM Benchmark Group (2017) risque quant à elle 1,5 millions d'euros et le Groupe Figaro (2017) 22 millions d'euros.

Mise à jour au 02/02/2021 : malgré le fait que l'adresse e-mail indiquée sur le site de CCP Performance semble fausse, j'ai très rapidement reçu une réponse de leur DPO m'indiquant que, « dans un objectif purement professionnel, on m'avait proposé les nouveaux services de leurs partenaires ».

Ensuite, les données fournies par le DPO m'ont donné le vertige : en réalité, CCM Performance cible la société Almavia dont elle m'a fourni le SIRET, à travers mon adresse personnelle déposée sur le site Viadeo by JDN.

Enfin, toujours selon leur DPO, j'aurais reçu le 18 septembre 2020 un e-mail m'informant que mon adresse e-mail personnelle était entrée dans la base de données de CCM Performance et que je pouvais m'y opposer (principe de l'opt-out).

Notes

[1] La liste de ces entités est disponible sur la page groupe.lefigaro.fr

[2] Il faut aller consulter la page de la politique de confidentialité de la société CCM PERFORMANCE afin de trouver la liste de ces fameux partenaires.

Autopsie d'un spam

Guillaume Vialet — Wed, 05 Nov 2014 09:31:00 +0100

Il est souvent très difficile, pour ne pas dire impossible, de remonter à la source d'un spam. Il existe pourtant plusieurs méthodes et astuces qui permettent de lever l'anonymat de l'expéditeur.

Seul et démuni face aux spammeurs français

Dans cette quête légitime qui permet à l'internaute spammé de connaître l'identité de son spammeur et donc de mettre en action la fameuse loi 78-17 du 6 janvier 1978, l'Afnic ou les sociétés françaises de dépôt de noms de domaine comme OVH, Gandi ou Online.fr ne vous seront d'aucune aide. Pas même l'hébergeur des services par lesquels sont pourtant passés les spams ne vous aidera à appliquer la loi.

Vous êtes donc seul face à votre pourriel et son code source qui est pourtant la clé qui vous mènera à la personne ou la société à qui profite le crime.

Voici deux exemples concrets de recherche du commendataire et de ses intermédiaires, tout aussi responsables que le spammeur lui-même.

« Samsung Galaxy S5 offert par Bouygues Telecom »

Nous partons donc d'un e-mail reçu dans la nuit du 5 novembre intitulé : « Samsung Galaxy S5 Offert ». Alléchant n'est-ce pas ?

En étudiant le code source de cet e-mail (car tout e-mail possède une source lisible directement depuis votre logiciel de messagerie ou votre webmail), nous relevons tout d'abord trois informations importantes : l'objet, l'expéditeur et l'adresse de réponse.

...
From: Bouygues Telecom <emmanuel@tool-now01.eu>
Reply-to: Bouygues Telecom <emmanuel@tool-now01.eu>
Subject: Samsung Galaxy S5 Offert
...

Première information importante : contrairement à ce qui est affiché sur votre ordinateur, smartphone ou tablette, l'expéditeur n'est pas Bouygues Telecom mais le propriétaire du nom de domaine tool-now01.eu qui endosse ici l'identité de l'opérateur français. Il y a donc en premier lieu une usurpation d'identité avant même de parler de spam.

Nous allons donc regarder qui a déposé le nom de domaine tool-now01.eu en interrogeant le registre des domaines européens, EURid.

La base du whois, qui est une source fournie par les registres de noms de domaine permettant d'obtenir des informations sur un nom de domaine, nous indique le résultat suivant :

le nom de domaine a été déposé de manière anonyme,
mais l'adresse e-mail du déposant est indiquée : d.ledoux@jump-communication.com.

Nous avons donc rapidement trouvé l'identité du spammeur : la société Jump Communication. Il est possible de confirmer cette identification en pistant les liens hypertexte contenus dans l'e-mailing, comme nous le verrons avec l'exemple suivant. C'est notamment cette étude qui aurait permis de déterminer quel était la régie publicitaire par laquelle est passée le spammeur (TouchVibes).

« Devenez propriétaire dans l'ouest de la France »

Cette fois-ci la société Ataraxia me propose de devenir propriétaire d'un bien immobilier dans l'ouest de la France.

Regardons en détail l'expéditeur du spam en éditant le code source de l'e-mail :

...
From: Ataraxia <noreply@freeopportunity.fr>
Reply-To: noreply@freeopportunity.fr
Subject: Devenez propriétaire dans l’ouest de la France
...

Là encore l'expéditeur n'est pas Ataraxia, l'annonceur, mais le propriétaire de l'adresse faisant usage du nom de domaine freeopportunity.fr.

Problème bloquant : ce nom de domaine .fr enregistré chez OVH dispose d'une protection qui rend toutes les données relatives au déposant anonymes, bien que le spam émane d'une entreprise qui ne peuvent légalement disposer de cette protection offerte par l'Afnic.

Cependant, en étudiant le whois de ce nom de domaine, nous obtenons plusieurs informations dans la section des serveurs de noms (DNS) :

nserver:     vps73133.ovh.net
nserver:     ns2.decanet.fr [176.31.39.65]

Le site du spammeur est hébergé chez OVH sur un VPS et dispose d'un DNS secondaire pris en charge par decanet.fr.

Mais revenons au spam lui-même. En étudiant les liens de la page de destination de l'e-mail, c'est-à-dire la page finale sur laquelle la victime du spam sera acheminée si elle cliquait sur les liens pistés qu'il contient, nous arrivons sur le nom de domaine reflexemail.com.

Bien que le site www.reflexemail.com nous retourne une page blanche, l'étude du whois va nous révéler d'autres indices :

Domain Name: REFLEXEMAIL.COM
Registrar: OVH

Registrant Name: KHIARI Mehdi
Registrant Organization: WebReflexe
Registrant Street: 107 Quai du docteur Dervaux
Registrant City: ASNIERES SUR SEINE
Registrant State/Province:
Registrant Postal Code: 92600
Registrant Country:  FR
Registrant Phone: +33.180875174
Registrant Phone Ext:
Registrant Fax: 
Registrant Fax Ext:
Registrant Email: ptykzme7yy57x9gregqu@v.o-w-o.info

Toujours déposé chez OVH, le nom de domaine est la propriété de la société WebReflexe et a été déposée par un certain Mehdi KHIARI.

WebReflexe serait une « agence Webmarketing à la performance » selon son site, ce qui traduit en français veut bien souvent dire « forte suspicion de spam » et qui disposerait d'une base de 25 millions d'adresses e-mail !

Nous avons donc la société Decanet, agence de communication à Toulouse, probablement un intermédiaire technique et le commanditaire WebReflexe, votre spammeur.

A la décharge de cette société : ses coordonnées figurent sur la page de destination bien qu'on aurait préféré qu'elles apparaissent dans le corps de l'e-mailing lui-même. Cela n'excuse en rien le spam.

« Votre mutuelle à partir de 6,79 €, devis gratuit et sans engagement »

Dernier exemple, un spam poussé par le mystérieux comcenter.fr.

Une nouvelle fois, l'Afnic, l'hébergeur ou la CNIL ne nous seront d'aucune aide afin d'exercer nos droits. Tous se retranchent derrière leurs obligations légales.

Nous allons analyser les différents serveurs entre l'e-mail et la page de destination hébergée par l'annonceur, la Mutuelle Mcd. Pour ce faire, il est possible d'utiliser un logiciel comme SamSpad, le module Live HTTP Headers pour votre navigateur Web ou de le faire directement en ligne sur cette page.

Voici le résultat de cette analyse :

1. http://comcenter.fr/inc/rdr.php?r=
2. http://click.events-10408-120.pl/?sc=
3. http://click.plt-events.com/?sc=
4. http://www.mutuelle-mcd.fr/particuliers/sante/devis_v3.php?origine=6&wysistatpr=nl_mir_pla&utm_source=placedesleads&utm_medium=email&utm_campaign=2014

Nous pouvons voir que nous passons d'abord par le site comcenter.fr, puis events-10408-120.pl (domaine polonais), plt-events.com et enfin le site de la mutuelle, tout ceci étant totalement imperceptible pour l'internaute lambda.

La mutuelle identifie cet apporteur d'affaire comme étant « placedesleads », c'est-à-dire la société Place des Leads qui propose justement un programme d'affiliation, la traditionnelle source de profits pour les spammeurs.

Le nom de domaine events-10408-120.pl est toujours déposé chez OVH par une société anglaise, Place Media Limited :

company: PLACE MEDIA LTD
street: 180-186, Kings Cross Road
city: WC1X 9DE London
location: GB
phone: +33.175776084

A cette adresse se trouve une société de domiciliation. On remarquera par contre que le numéro de téléphone est bien français compte tenu de son indicatif. plt-events.com est quant à lui géré par Place des Leads.

Place Media Ltd. et Place des Leads sont indubitablement liés (sa filiale anglaise Khing étant domiciliée à la même adresse). Nous avons donc trouvé notre spammeur ou du moins ses intermédiaires techniques et commerciaux.

De K Vern Street à Jump Communication

Guillaume Vialet — Wed, 29 Oct 2014 11:14:00 +0100

Nouveau déluge de spams sur une adresse plusieurs fois dérobée et poussés par la société Jump Communication gérée par Denis Ledoux.

Des e-mailings anonymes

K Vern Street est une société dont l'activité principale est l'envoi de courriers indésirables dont vous avez sans doute déjà été victime. Un billet a d'ailleurs déjà été consacré à cette « agence Web » dans ces colonnes.

La société implantée sur l'Ile Maurice est dirigée par Pierre Gougeon semble aussi liée à un certain Denis Ledoux.

C'est cette même personne qui déclare diriger l'entité Jump Communication qui spam à nouveau une adresse e-mail captée de manière totalement illicite et depuis exploitée commercialement sans aucun moyen de s'y opposer.

Nos fichiers proviennent principalement de questionnaires ciblés, mis en place sur le Web. Nos fichiers sont régulièrement réactualisés, et nous refusons tout échange de fichiers. (source : jump-communication.com)

Cette fois-ci, Jump Communication serait une société domiciliée à Paris :

10, rue du Colisée
75008 PARIS
France
Téléphone : +33 1 79 97 40 24
E-mail : d.ledoux@jump-communication.com

Cependant, il n'est fait nullement référence à un numéro d'enregistrement de société, de numéro de TVA ou de numéro de déclaration de fichier auprès de la CNIL. Je n'ai trouvé aucune trace d'une société appelée « Jump Communication » au registre du commerce et des sociétés.

D'après le site Web de Jump Communication, la société serait liée à une entité basée au Canada ainsi qu'au Maroc (via LEADTOOLS SARL qui semble être la plateforme de routage), pays qui de par son extra-territorialité européenne est une importante source de bases de données illicites qui s'écoulent ensuite sur le marché français.

Aucune mention légale n'est présente dans les e-mailings eux-mêmes qui pourrait révéler à l'internaute l'identité de la plateforme de routage, du propriétaire de la base de données ou encore de la régie publicitaire. Seul l'annonceur est exposé.

Denis Ledoux dispose d'un profil sur le réseau social LinkedIn où l'on apprend qu'il serait lui-même basé à Hong Kong. Ce personnage n'en est pas à son premier coup d'essai, certains articles le concernant remontent en effet à 2000, notamment « Le spammeur contrarié » qui concernait la société depuis liquidée SKYTUR.

Pas de spam sans noms de domaine...

Les noms de domaine utilisés par Jump Communication sont comme à l'accoutumé très nombreux et tous protégés contre une éventuelle recherche de propriété. En voici une petite liste :

category4you-market.eu
popular-traffic-leads.eu
the-wondfull-plateforme15.eu
proweb-market25.eu
day-leads-market.eu
best-leads-market.eu
best-market.ovh
administrative-leads-users.eu
haut-delivrey-market.eu
national-leads-market.eu
kind-traffic4you.eu
pmaplus110.eu
php303.eu
tip-match-top15.eu
aliveleads-tools.eu
opend-communication-platform.eu
working-leads-market.eu
the-right-tools4you.eu
market4you-wonderful.eu

Ces noms de domaine sont déposés en France auprès de société comme Gandi, OVH, Online.net qui ont bien sûr toutes été prévenues. Suspendre tous ces domaines permettrait de couper immédiatement la source de rémunération de Jump Communication.

Enfin, la plateforme de sous-domaines uni.me a aussi été utilisée, toujours dans un souci de protéger la réputation et l'identité de l'expéditeur de ces spams (mais pas la vôtre bien entendu).

...ni sans argent, avec la complicité des régies publicitaires

Le nerf du spam, c'est bien entendu l'argent. Et ces campagnes publicitaires routées dans la plus totale illégalité bénéficient de grands annonceurs : La Poste, Opel, Sodexo, Total, Orange, Google, IKEA... En voici un petit exemple :

Elles proviennent toutes de la société TouchVibes avec laquelle j'ai déjà eu affaire puisqu'elle travaille depuis au moins une année avec K Vern Street Communication.

Je leur avais en effet adressé une plainte en septembre 2013 qui avait alors abouti à un mea-culpa de Pierre Gougeon, m'expliquant que l'adresse e-mail spammée avait été « obtenue auprès du site wsdata.com, qui référence tous les noms de domaines (sic) ». Et bien sûr effacée.

TouchVibes se présente comme « la première plateforme de marketing à la performance dédiée au B2B (Mailing B2B, Display, SEM, Blog, Comparateur, SEO...) ».

Elle est notamment dirigée par Benoît Sillard, après son rachat par le groupe CCM et originellement fondée par Bertrand Patriarca.

L'acquisition de Touchvibes va permettre à notre régie, CCM Benchmark Advertising, de proposer une offre à la performance à nos clients. Nous pourrons, ainsi, répondre à tous leurs besoins. En période de crise, c’est fondamental et cela renforce notre crédibilité sur un marché tendu (Benoît Sillard, P-Dg de CCM Benchmark).

Pour information, CCM Benchmark a réalisé en 2012 plus de 30 millions d'euros de chiffre d'affaires, selon Wikipédia, un groupe qui cherche aujourd'hui à se vendre entre 200 et 250 millions d'euros.

Spammé par K Vern Street

Guillaume Vialet — Mon, 16 Sep 2013 15:34:00 +0200

Le site Internet d'un couple d'amis tourangeaux a été la cible d'un spammeur qui aura d'une manière ou d'une autre, mais illicitement, récupéré l'adresse de contact afin de la commercialiser. Explications.

Un peu plus d'un an après avoir mis en place le site du mariage de mes amis, je devais recevoir une sollicitation commerciale pour un certain cabinet de recouvrement parisien, le cabinet d'Ormane.

L'e-mail indique que le message est poussé par K Vern Street ainsi qu'un numéro d'enregistrement CNIL n°1426102. Les liens de désinscription ou de tracking reposent sur le nom de domaine host606.com déposé et hébergé chez OVH.

De la Touraine à l'Ile Maurice

K Vern Street Communication qui se définit elle-même comme une agence de communication n'est pas française mais mauricienne, plus précisément domiciliée à Port Louis. Son représentant serait un certain M. Pierre Gougeon, toujours selon le site de la société.

Le nom de domaine host606.com est quant à lui déposé par un certain M. Denis Ledoux tandis que le domaine kvernstreet.net est déposé au nom de la société Email For You Ltd. dont le représentant, d'après son whois, serait Joan Gougeon domicilié à la même adresse que K Vern Street (14D Eneskinen Street à Port Louis). Cette dernière n'est en fait qu'une marque commerciale.

Appelé le 10 septembre par mes soins lors de la réception du premier spam, la société n'a pas encore daigné m'adresser de réponse sur l'origine de la collecte de cette adresse e-mail. Et c'est bien là tout le problème.

Une adresse collectée de manière déloyale ?

Que dit la loi française de 1978 notamment à l'article 25 ? Que la « collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est interdite. »

Tout d'abord cette adresse n'est pas diffusée sur le site du mariage de mes amis mais est utilisée lors de l'envoi de l'accusé de réception du formulaire de contact. Ensuite, elle n'est pas non plus présente dans le whois du nom de domaine. Ce site revêt évidemment un caractère privé et n'est pas un outil à vocation commerciale ou professionnelle.

Dès lors, le consentement préalable doit être obtenu avant de router le moindre e-mail de prospection.

Trois jours plus tard, un second spam est routé, cette fois au profit du site www.defy-entreprises.org faisant la promotion du logiciel Sage. Le site en question est hors service l'heure où j'écris ce billet, comme en témoigne cette capture d'écran :

L'adresse de désabonnement est cette-fois ci traitée par le sous-domaine nuntius.defy-entreprises.org dont le whois ne donne aucune information sur son propriétaire.

L'adresse e-mail récupérée de manière déloyale ou illicite aura manifestement été intégrée à un programme B2B.

On peut dès lors supposer que la source de cette société peut être un spyware récupérant les adresses e-mails des carnets d'adresses de machines infectées ou bien un outil forgeant des adresses e-mail génériques au petit bonheur la chance.

Alerté sur Twitter, le cabinet d'Ormane n'a pas non plus souhaité me répondre sur les pratiques de son prestataire.

Mise à jour au 22/09 : Grâce à la pleine collaboration du Cabinet d'Ormane, de la régie d'affiliation Touchvibes.com et finalement de K Vern Street, je suis maintenant en mesure de savoir où cette adresse a été achetée par cette dernière : sur le site WSData qui n'est qu'une grosse base de données de noms de domaine et données associées, poussée par une société chinoise, AsiaWS Network et totalement illicite en France ou en Europe.

Ce billet est le parfait exemple des mauvaises pratiques en matière d'e-mailing et d'affiliation : une base « pirate », un affilié hors de toute juridiction française, un affiliateur dans l'incapacité de contrôler efficacement l'utilisation qui est faite de sa plateforme, un client peu regardant sur l'origine des campagnes qui sont pourtant poussées en son nom.