Vialet.org - Mot-clé - tradedoubler

Le spam et la règle des trois

Guillaume Vialet — Mon, 04 Nov 2013 18:37:00 +0100

Le spam a pour moteur trois facteurs déclencheurs : une base de données constituée ou achetée sans le consentement des intéressés, une solution de routage permissive et enfin un programme d'affiliation peu regardant.

Soyons honnêtes, nous ne pourrons jamais empêcher un individu ou une société de constituer ou revendre des bases de données illicites.

Par contre, nous pourrions empêcher qu'elles soient utilisées en responsabilisant les prestataires par lesquels sont obligés de passer ces acteurs parfois sans scrupules.

Ces prestataires sont les plateformes de routage d'e-mailings et les programmes d'affiliation, tous deux généralement disponibles en self-service.

Une remontée à la source toujours laborieuse et incertaine

A quelques mois de la mise en application de la nouvelle directive européenne, si les lobbies à l'œuvre ne viennent pas retarder ou limiter la portée du texte, on s'étonne de voir encore et toujours à l'œuvre de telles pratiques.

Tout débute par la réception d'un spam poussé au profit de la société d'assurance santé SwissLife, de la part de « Swisslife par Plan VIP du Web » et intitulé « Remboursement optimum sur l'optique et le dentaire ».

Les mentions légales sont un peu longues mais on le verra, totalement fausses :

SwissLife Prévoyance et Santé - Siège Social : 7 rue Belgrand 92300 Levallois-Perret SA au capital de 150 000 000 € - Entreprise régie par le Code des Assurances - 322.215.021 RCS Nanterre www.swisslife.fr-www.swisslife-direct.fr. Loi du 06/01/1978 modifiée : le responsable de traitement de vos données personnelles est le Département Marketing Swiss Life, 1 rue du Maréchal de Lattre de Tassigny 59671 Roubaix Cedex 01, auprès duquel vous pourrez exercer vos droits d'accès et de rectification. Ces données seront utilisées pour le suivi de votre dossier et l'envoi de documents sur les produits du groupe Swiss Life, destinataire, avec ses mandataires de l'information.

S'ensuit le laconique mais rituel lien de désinscription.

Pour vous désinscrire, suivez ce lien.

L'étude des liens hypertextes et des entêtes HTTP me révèle plusieurs informations.

La toute première URL est stats.santegenerale770.com : c'est elle qui va rediriger les clics effectués dans l'e-mail. C'est aussi via cette URL que l'on se « désabonne » de cette « newsletter ».

Une requête du type whois sur ce nom de domaine révèle les informations suivantes :

owner-contact: P-HAD671
owner-organization: kovetz online
owner-fname: hadjadj
owner-lname: dov
owner-street: 11 rue moshe levi
owner-city: rishon letzsion
owner-zip: 75858
owner-state: 
owner-country: IL
owner-phone: +972.39636700
owner-phone ext: 
owner-fax: 
owner-fax ext: 
owner-email: abuse@kovetz-online.com

La société dépositaire du nom de domaine santegenerale770.com serait donc Kovetz On Line.

Sur son site, on peut lire qu'elle routerait « plus 1 milliard de messages numériques [...] par mois. »

Mais Kovetz n'est pas une société française, c'est une structure basée en Israël. Malgré cela, elle fait valoir sur son site son appartenance au programme Signal Spam sans qu'il m'ait été possible d'en trouver trace sur le site (j'attends une réponse de Signal Spam à ce sujet) et au CPA à travers leur charte sur l'e-mail (responsable, faut-il croire).

C'est bien cette société qui serait responsable de la constitution et de l'envoi de l'e-mailing commercial, ce sont donc leurs mentions légales qui devraient figurer dans l'e-mail et non celles de SwissLife.

Où l'on retrouve encore une plateforme d'affiliation...

La seconde URL, clk.tradedoubler.com, me permet d'identifier sans doute possible le nom du « sponsor » si je puis dire, de ce spam.

Et derrière chaque base constituée généralement à l'étranger (rappelez-vous : la Moldavie, l'Ile Maurice ou encore la Suisse) se trouve une société d'affiliation marketing.

Ce nouvel exemple ne déroge pas à la règle et c'est encore TradeDoubler qui fera payer à SwissLife les quelques clics réalisés pour cette « campagne ».

Les différents identifiants passés via l'URL de tracking nous donnent peu d'informations. J'attends d'ailleurs de TradeDoubler qu'elle m'en dise plus sur l'expéditeur à partir de ces éléments.

...et une autre agence de marketing-direct ?

Plus étrange, le dernier lien qui fait cette fois appel aux outils de tracking de SwissLife elle-même, révèle que la campagne aurait été organisée par un certain « DarwinInt », qui est un des paramètres du lien de suivi (utm_source). Ce code UTM permet à l'annonceur, à travers l'outil Google Analytics, de connaître la provenance des visiteurs sur son site parmi les nombreuses campagnes et sources de captation d'audience.

D'après mes recherches, le code DarwinInt serait celui de l'agence Darwin Interactive, filiale du groupe de communication Darwin Group et qui se définit comme « une agence de communication digitale spécialisée en performance marketing ».

Le tout envoyé par EmailStrategie

Pas d'e-mailing sans routeur qui serait cette fois la solution WeWmanager de la société EmailStrategie.

C'est d'ailleurs sur leur plateforme que le sous-domaine stats.santegenerale770.com et le mécanisme de désabonnement pointent.

Membre du SNCD et de Signal Spam, la société indique sur le site de WeWmanager qu'elle « ne dispose d'aucune base de données emails en propre mais réserve ses services uniquement aux clients et partenaires qui adhèrent à sa politique de lutte anti-SPAM et respectent la législation en vigueur en France et/ou à l'international ».

Cette solution semble être hébergée chez TAS France. Enfin, la page de désinscription ne vous donnera pas plus d'indications sur l'origine du spam ni par où sont passées ou ont été stockées vos données personnelles.

C'est donc par 4 intermédiaires que vos données personnelles auront transité mais seul le « client final » sera exposé à la vindicte légitime de l'internaute qui se voit encore spammé par des prestataires français qui tous indiquent en respecter la législation.

Une pluie d'e-mails signée R2J Company

Guillaume Vialet — Mon, 14 Oct 2013 18:22:00 +0200

Force est de constater que l'affiliation par son système permissif alimente les abus en matière de d'e-mailing commercial. En voici un nouvel exemple. Des e-mails envoyés « par R2J ». C'est ainsi que commence le jeu de piste afin de déterminer qui possède mon adresse e-mail spammée et fournit de quoi la rentabiliser.

Toujours le même procédé : ne pas se dévoiler et exposer au maximum la marque (l'annonceur) qui va dans l'esprit de l'internaute être assimilée au spammeur.

Un service et une base hébergés chez OVH

Les e-mailings poussés par le mystérieux R2J (54 e-mails poussés entre le 5 septembre et le 13 octobre dont de très nombreux doublons) ne présentent aucune mention légale et seul un lien de « désabonnement » anonyme est disponible.

Il pointe vers le nom de domaine emtrjej2.net (lui-même routant vers emlsys.net) qui est déposé et hébergé sur le serveur ns62431.ovh.net par OVH. En quelques années de par ses tarifs agressifs, OVH a attiré une clientèle coutumière de ce genre de pratiques.

L'internaute se heurte donc à une fin de non-recevoir et doit se contenter de ce lien de désinscription.

L'étude des données du dépositaire du nom de domaine nous révèle les informations suivantes :

Mais pourquoi ne pas avoir tout simplement repris ces informations dans l'e-mailing ? Mystère.

Des abus pourtant déjà signalés

La SARL R2J Company a donc été créée en janvier 2011 selon le site Societe.com avec comme objet la « vente à distance sur catalogue spécialisé » et serait dirigée par M. Raphaël Cohen.

Une nouvelle recherche nous permet d'obtenir un peu plus d'informations sur deux autres gérants qui seraient MM. Jérémie Elbaz et Jérémy Guedj. Les comptes n'ont semble-t-il jamais été déposés et il n'est pas fait état de salariés travaillant pour R2J Company.

Bien entendu R2J possède un site Web à l'adresse R2J Marketing sur lequel on peut lire dès la page d'accueil :

Grand acteur de l'e-mailing direct, R2J met en œuvre l'ensemble de ses compétences pour mener et gérer vos campagnes d'e-mails marketing.

Sur une autre page, on peut lire ceci :

Nos différents partenariats avec des sites marchands prestigieux nous permettent de disposer de bases de données partenaires qualifiées. De plus, par notre politique de non sur-sollicitation de l'internaute, nous garantissons des envois sur des bases de données toujours réactives.

Afin de confronter le discours à la réalité, j'ai réalisé une capture d'écran de ma boîte de réception qui présente une partie des e-mails que j'ai reçu et qui sont tous poussés par R2J :

En se rendant sur la page Facebook de cette société, impossible de ne pas s'arrêter sur les commentaires laissés par des internautes visiblement exaspérés par les sollicitations envoyées par R2J.

Et une recherche sur les forums OVH nous donne là encore quelques exemples des mauvaises pratiques de la société.

Des envois financés grâce à Tradedoubler

Nombre de « régies » comme R2J n'ont pas les moyens d'avoir des clients en propre et se tourneront donc vers l'affiliation afin de monétiser les bases de données d'e-mails dont elles font régulièrement l'acquisition.

Nous avions vu dans un précédent billet ce procédé à l'œuvre. L'étude des différents liens nous permet de voir que l'on passe d'emtrjej2.net au « client » comme par exemple nocibe.fr en faisant un détour par clk.tradedoubler.com, la plateforme d'affiliation (identifiant de tracking 1235601042).

La marque Nocibe confie ainsi à Tradeboubler le soin de commercialiser ses campagnes auprès d'acteurs mais sans pour autant contrôler la qualité des canaux utilisés.

Pousser un message sur des bases sans opt-in ou surexploités, manifestement auprès d'internautes qui sont près à exprimer leur ras-le-bol sur Facebook donne une idée du niveau de qualité de l'affiliation appliquée à l'e-mailing.

Aux annonceurs de se montrer plus prudent étant donné l'absence manifeste de contrôles de la part des plateformes d'affiliation. Je n'ai d'ailleurs pas trouvé de méthode pour signaler ces abus à Tradedoubler.

Envoi massif de courrier indésirable par Efficiency Network et Cap Décision

Guillaume Vialet — Tue, 23 Apr 2013 00:58:00 +0200

Où l'on parle encore de sociétés de routage peu regardantes et de bases de données d'adresses e-mail dites « en opt-in partenaires » qui ne le sont pas. Les protagonistes de ce billet ne seront pas étrangers aux lecteurs de ce blog, puisqu'ils sont déjà cités (une pure coïncidence) dans un précédent billet.

« Les bons plan d'Espace Privilèges »

Du 9 au 18 avril, ce sont pas moins de 45 e-mails (et quelques autres que je ne retiendrai pas ici) qui me sont poussés dans une de mes boîtes Voila.fr par la société Efficiency Network (connue aussi sous le nom d'Effi-Net) en qualité de routeur.

Les annonceurs sont nombreux et les publicités proviennent certainement de quelques plateformes d'affiliation, l'une d'entre elles étant TradeDoubler : NAF-NAF, ParuVendu.fr, Cofinoga, Yves Rocher, Sexy Avenue, FDJ, Kingoloto, etc. Rien que du classique en matière de « spam à la française ».

Il est d'ailleurs cocasse de compter dans cette liste Dayak, le nouveau projet des gérants de (feu) WellPack.

Je demande donc au routeur des explications envoyées par e-mail à trois personnes de la société Effi-Net le 16 avril, non sans leur rappeler dans mon message leur propre charte de qualité :

« Allo la CNIL ? »

Dans l'intervalle et après étude des spams, je trouve le nom du commanditaire, parfois présent dans dans l'objet (Espace Privé) ou le pied de page des e-mails (sous forme d'une image révélant un numéro CNIL et un nom : Espace Privilèges) :

J'appelle donc la CNIL le 17 avril, qui me dit que pour obtenir l'identité de la personne physique ou morale qui se cache derrière ce numéro, je dois leur adresser un courrier ou une télécopie en faisant valoir l'article 31 de la loi Informatique et libertés. Ce que je fais dans la foulée. A la date de publication de ce billet, je n'ai pas encore eu de réponse de la CNIL.

Pourquoi suis-je aussi sûr que cette adresse est sans opt-in partenaire ?

Une adresse sans opt-in

Je n'ai en effet jamais donné mon accord pour recevoir de la publicité à cette adresse comme l'exige la Loi du 21 juin 2004 pour la confiance dans l'économie numérique, qui établit le régime de consentement préalable.

Et pour cause : mon compte Voilà a été effacé avant 2005 (faute d'avoir relevé mon courrier régulièrement, adieu archives...) et n'a donc pu recevoir les demandes de mise en conformité avec loi que les propriétaires ou éditeurs de bases de données se devaient d'adresser aux internautes.

Aucun e-mail de prospection ne peut donc m'être envoyé sans contrevenir à la loi qui expose les contrevenants à des peines prévues aux articles 226-18-1 (jusqu'à 300 000 euros d'amende et 5 années d'emprisonnement) et 226-24 (peine d'amende multipliée par 5 pour les personnes morales) du code pénal.

L'adresse a été réactivée à ma demande courant 2011, après sa libération de la quarantaine par Orange (où elle était restée toutes ces années, à mon grand désespoir).

Pas de réponse non plus de l'annonceur

Je contacte aussi France Loisirs un peu au hasard parmi la liste des nombreuses marques ou enseignes annonceurs concernées par les spams poussés par Effi-Net. Et bien que mon message ait été reçu et lu, aucune réponse ne m'a été adressée à ce jour.

Sans réponse d'Efficiency Network, je décide d'écrire à une quatrième adresse e-mail elle-aussi renseignée sur leur site français. J'ai plus de chance cette fois, puisqu'on me répond rapidement.

J'obtiens deux éléments de réponse :

La mise en liste noire (sic) de mon adresse e-mail Voila.fr, ce que je n'avais pas demandé (et non pas la mise en liste noire du client fautif, allez comprendre). Faut-il en déduire qu'Effi-Net ne peut pas garantir que les e-mails qu'il pousse sont légitimes ?
Le nom de leur client : il s'agit de Cap Décision.

Effi-Net restera muet sur le fait qu'ils m'ont poussé en 10 jours, 45 e-mails pour le compte de cette société sur une seule et unique adresse personnelle sans opt-in partenaire, contrevenant à la fameuse charte affichée sur leur site. Aucune explication ni excuses ne me seront adressées.

Cap Décision, éditeur de la liste Espace Privilèges

Une recherche sur Google me donne l'identité du représentant légal de la société Capdécision, qui serait dirigée par M. Alexandre METZLER selon Societe.com. Domiciliée au 1 bis Boulevard Cotte à Enghien-les-Bains, elle est donc bien soumise au droit français.

Je décide donc d'écrire à l'adresse indiquée dans les données publiques du domaine CapDecision.fr, via un whois (admin@capdecision.fr), car aucun e-mail (ni même de mentions légales, pourtant obligatoires) n'est indiqué sur le site.

E-mail qui reste à ce jour sans réponse (il partira en fin de compte à une autre adresse, mon plug-in Virtual Identity pour Thunderbird ayant identifié que cette personne avait pour adresse commercial@capdecision.fr - cet expéditeur ne m'était donc pas totalement inconnu : un récidiviste en quelque sorte).

Infogreffe me donne aussi quelques précisions, notamment sur le fait qu'aucun chiffre n'a été publié depuis 2010 ni aucun acte enregistré depuis 2007-2008. Cependant, il est possible d'obtenir les éléments financiers suivants :

Cap Décision explique sur son site avoir en sa position une base en opt-in partenaires de 1 600 000 adresses e-mail, ce qui est considérable pour un acteur de cette taille, d'autant plus que cette base serait qualifiée. Enfin, le CPM débuterait à 190 €. Le site de la société est hébergé par OVH et elle n'est pas totalement inconnue pour les clients de l'hébergeur français, si l'on se réfère aux plaintes déposées sur leur forum. D'autres internautes ont d'ailleurs déjà dénnoncé les méthodes de Cap Décision.

Cependant, Cap Décision est-il derrière le programme Espace Privilèges ? Ce dernier n'est-il pas client à son tour de Cap Décision qui lui a eu recours aux services d'Efficiency Network ? Ou bien Cap Décision pousse-t-il lui-même de la publicité via des programmes d'affiliation sur la base qu'il est censé louer aux annonceurs ?

Personne pour répondre aux e-mails ou au téléphone

Difficile à dire sans réponse de la part de l'intéressé.

Après en avoir attendu une par e-mail, je me décide le 19 avril à appeler directement la société au 01 39 34 95 05 où plus personne ne semble présent un vendredi après-midi, toutes les lignes ayant été renvoyées sur la pauvre standardise qui ne peut me renseigner (ce qu'avait déjà constaté l'auteur du blog sedlex.fr).

Je lui demande non sans malice comment ferait un client s'il venait à appeler la société ? On me dit qu'il lui faudra laisser un message.

J'obtiens cependant une nouvelle adresse e-mail qui serait consultée par M. METZLER, le seul habilité à gérer ces questions selon mon interlocutrice.

Un second e-mail est donc envoyé le 20 avril à cette personne ainsi qu'à d'autres adresses trouvées sur les différentes fiches renseignées par l'entreprise, toujours dans l'espoir de faire valoir mes droits : obtenir la source ou la méthode de captation et l'ensemble de mes données personnelles ici collectées à des fins commerciales, comme la loi m'en donne le droit (et théoriquement les y oblige).

Je n'oublie pas de mettre Effi-Net en copie afin qu'ils puissent en informer leur client, si celui-ci ne recevait toujours pas mes e-mails. Un message sera même poussé sur le compte Facebook personnel du gérant de Cap Décision, mais là encore sans plus de résultat.

Au final, personne ne semble responsable de rien : l'annonceur France Loisirs n'a pas envoyé cet e-mailing dont il profite pourtant via un programme d'affiliation auquel il a lui-même souscrit, Efficiency Network n'a fait « que » le router sur la bonne foi de son client Cap Décision qui, lui, ne souhaite pas s'expliquer ni par téléphone, ni par e-mail. Il ne me reste plus qu'une solution : la plainte auprès de la CNIL, qui équivaut souvent à envoyer un message à /dev/null et espérer une réponse...

Voici la liste de tous les annonceurs concernés par ces spams (je tiens à leur disposition la source des messages en question) :

AFPA (formation en alternance)
After Plastie nutrition
Aujourdhui.com
AutoMotoCompare.fr
Belambra
BMW Event
Café Coton
Camping Numéro 1
Cetelem
Cofinoga
Comptoir du bagage
Cyrillus
Dayak Assurances
Devis Régions Alarme
Française des Jeux
FinaPrêts
France Loisirs
François Saget
Kingoloto
Lemeilleurexpert.com
LeMondeDuBagage.com
Lucky Surf Camping car
Mutuelle Bleue
Mutuelle.fr
NAF NAF
Op-encre (op-encre.fr)
ParuVendu.fr
Private Sport Shop
PSA Banque
Royal Slim
SexyAvenue
Slimturbovital.org
So-Mutuelle
Textiles de Granges sur Vologne
Toutes-les-mutuelles.org
Toys'R'Us
Ventealapropriete.com
VeryChic
Westwing
Willemse (willemsefrance.fr)
Yves Rocher

Mise à jour au 24/04 : J'ai obtenu une réponse de France Loisirs, ce qui est positif, m'indiquant que des « recherches sont nécessaires pour répondre à [ma] demande » et que l'on me recontactera « dans les meilleurs délais ».

Mise à jour au 26/04 : La CNIL m'a adressé l'identité derrière le numéro renseigné dans les e-mailings. Contrairement à ce à quoi je m'attendais, il s'agit d'un numéro déposé par Efficiency Network et non pas du réel propriétaire ou locataire de la base de données (à savoir Cap Décision). De plus, France Loisirs continue à enquêter sur l'origine du spam et m'a demandé la source de l'e-mail qui les concerne.