Archive Edito du mois de mai 2006

Interview


Mr Bruno Rasle,
Spécialiste de la lutte anti-spam et responsable des offres au sein de Cortina, il co-anime le site halte-au-spam.com (*)

La croisade d’halte-au-spam : les entreprises aussi sont vulnérables !

Comment est née l’idée de créer Halte-au-spam et ou en êtes-vous de la croisade contre les spammeurs ?

Dans notre ouvrage, co-écrit avec Frédéric Aoun, nous avons souhaité couvrir tous les aspects du problème (technique, juridique, humains), ce qui nous a amené à organiser la première conférence sur ce sujet (le Spam Forum Paris), qui s’est déroulée dans une salle mise à notre disposition par l’Assemblée nationale.

Afin de suivre les évolutions du phénomène, il nous semblait qu’un site Web (avec une lettre d’informations associée) s’imposait. Nous y publions entre autres nos études : la dernière en date décrit les dérives des « listes noires ».

Notre apport consiste principalement à apporter de la lumière sur les agissements et pratiques des spammeurs, afin de permettre à leurs victimes de s’en protéger. Pour la DDM (Direction du développement des médias, services du Premier ministre), nous avons également organisé un cycle de conférences sur ce sujet, dont l’une était intitulée « Spam : se plaindre…ou porter plainte ? »

Avez-vous constaté une évolution du comportement des spammeurs

A la fin de notre livre, nous nous étions livrés à un délicat exercice de prospective, confirmés dans les faits : seuls les spammeurs les plus « aptes » (au sens Darwinien) ont survécus, mais en radicalisant leurs actions. On note une criminalisation marquée et une coopération avérée avec le crime organisé. Malgré des condamnations lourdes (9 ans de prison aux Etats-Unis pour Jeremy Janes), le spamming semble être aujourd’hui l’une des pratiques illégales les plus rentables et les moins risquées. Il est vrai qu’il y aura toujours des internautes pour acheter de fausses montres de luxe.

Par ailleurs, certains spammeurs ont abandonné les envois en masse et en aveugle pour se spécialiser à l’inverse sur des opérations de plus en plus ciblées, l’hameçonnage (ou phishing). Les entreprises sont, à mon sens, aujourd’hui très vulnérables à ce genre d’attaque.

Du côté de la lutte anti-spam, les moyens techniques quand ils sont bien utilisés ont fait leurs preuves : à titre personnel, j’utilise un filtre bayésien (gratuit) couplé à l’outil SandBox de l’éditeur Norman (pour bloquer les malware inconnus), sans aucun faux-positifs depuis plus de deux ans. Par contre, mes espoirs de voir se constituer en France une jurisprudence forte et claire semblent aujourd’hui déçus. Si je me réjouis de la récente décision de justice (Ministère public c/Fabrice H) qui condamne une collecte déloyale, je reste pour le moins dubitatif quant au montant de l’amende…

Alors qu’outre-Atlantique les condamnations lourdes pleuvent sur les spammeurs, l’arme juridique est manifestement sous utilisée en France. J’attends avec impatience la mise sur pied de Signal Spam – projet dans lequel je me suis investi dans sa phase initiale – organisme auprès duquel tout citoyen pourra signaler les pourriels reçus. Une adaptation raisonnée du principe des Class Action, très utilisé aux Etats-Unis, optimiserait à mon sens sont efficacité, par une mutualisation des efforts et des frais de procédure.

La loi pour la confiance dans l’économie numérique nous mets-elle suffisamment à l’abris des dérives ? Si non, quelles seraient selon vous les amémiorations à apporter ?

Si elle n’apporte pratiquement aucune protection efficace contre les grands spammeurs américains (ce qui n’était pas son objectif), la LCEN a sans conteste réduit le terrain de jeu des rares spammeurs français, dont une majorité de «Monsieur Jourdain du Spam» et permis aux annonceurs légitimes de se démarquer clairement. Certes, on relève ça et là des méthodes d’obtention du consentement préalable « perfectibles », mais dans leur grande majorité, les annonceurs français jouent le jeu.

On peut regretter cependant qu’il n’ait pas été prévue l’obligation d’indiquer l’origine de la collecte, afin de répondre à la première question que se pose naturellement tout internaute : « Mais où donc ont-ils récupéré mon adresse ? »

J’ai également été déçu de voir les débats se focaliser sur certains points (l’exception pour les clients existants, par exemple) au détriment de la phase cruciale de la désinscription. Pour moi, c’est là que l’internaute reprend du pouvoir : il peut immédiatement sanctionner toute dérive. Là où la loi américaine CAN SPAM est très précise et ne donne que dix jours au professionnel pour prendre en compte les désinscriptions, la loi française est muette. Or, sur le terrain, les choses ne semblent pas idéales : à plusieurs reprises, nous avons constaté une certaine indifférence quant la gestion rigoureuse des souhaits des internautes : les annonceurs oublient quelquefois de demander au routeur d’emails communication des désinscriptions, pour mise à jour de leur fichier.

L’amendement MacCain du CAN-SPAM est également une disposition intéressante. Il permet de poursuivre toute personne ou entreprise qui aurait bénéficié des spams et vise à mettre à mal le modèle économique du spamming. Notre analyse de la condamnation d’un spammeur par le TGI de Paris (17e chambre, 6 juin 2003) montre clairement un tel cas, où une entreprise française très connue profite du spam en prenant soin de laisser les émetteurs des messages prendre tous les risques.

(*) Société française spécialisée dans la protection des informations sensibles des entreprises, www.cortina.fr

(**) Co-auteur avec Frédéric Aoun d’un ouvrage éponyme (éd. Eyrolles).
(1) Cass. crim. du 14/03/2006.
(2) Organisme de signalement des pourriels.

Interview réalisée par Isabelle Pottier, avocat.

Parue dans la JTIT n°52/2006 p.10