Étant un présentateur et un visiteur régulier de conférences et d'expositions, il n'est pas rare que je reçoive des courriels non sollicités avec des offres d'acquisition de la liste « vérifiée » des visiteurs ou des participants, avec leurs fonctions et leurs coordonnées. Je reçois même ce type d’offres pour des conférences et expositions auxquelles je n'y assiste pas, voire dont j’ignore même l’existence!

Nous ne reviendrons pas sur les problématiques entourant le RGPD et la vente de données personnelles. Au cours des deux dernières années, vous avez probablement lu bon nombre d'articles sur la non-conformité au RGPD. Le phénomène de ces offres se poursuit pendant la période COVID-19, malgré le report, l'annulation ou le passage au virtuel de conférences et d'expositions successives. Il est fort probable que les listes de coordonnées proposées aujourd'hui proviennent d'événements passés - au mieux de l'année précédente.

Par exemple, la plus grande vitrine mondiale de la téléphonie mobile, le Mobile World Congress Barcelona, mieux connu sous l’abréviation MWC, devait se tenir du 24 au 27 février 2020.

Cependant, le 12 février 2020, la GSMA, l'organisateur de la CMM, a décidé d'annuler le salon : « Compte tenu de l'environnement sûr et sain de Barcelone et du pays hôte aujourd'hui, la GSMA a annulé le MWC Barcelona 2020 parce que les préoccupations mondiales concernant l'épidémie de coronavirus, les problèmes de voyage et d'autres circonstances, rendent impossible la tenue de l'événement ».

Pour un événement de cette ampleur - au cours des dernières années, plus de 100 000 personnes y ont participé - être annulé pour une raison valable dans un délai aussi court crée un cauchemar logistique, non seulement pour les organisateurs, mais aussi pour les exposants, les présentateurs et les délégués. Cependant, une chose était évidente : personne ne serait là. Néanmoins, les bonnes gens du secteur des « leads » commerciaux ont continué d’agir comme si de rien n'était. Ainsi, neuf jours après l'annulation de l'événement, et juste trois jours avant son début initialement prévu, j'ai reçu un spam proposant 95 890 mensonges... Oups, je veux dire de supposées coordonnées, sur la liste des participants supposés.

 

On pourrait se dire que - puisque l'événement n'avait pas encore eu lieu – cet envoi n’était qu’un oubli.

Cependant, deux mois après que l'événement ait été programmé, et presque trois mois après qu'il ait été annulé, une version de la liste des visiteurs était encore proposée.

 

Au-delà du fait que les courriels de suivi étaient envoyés par quelqu'un dont on n'avait jamais entendu parler auparavant, le rabais offert s’observait également dans le nombre de mensonges, euhhh... visiteurs (16 579).

InfoSec World 2020, plutôt que d'annuler, est devenu virtuel, comme on peut le voir dans ces tweets :

 

Encore une fois, malgré l'annulation de la conférence en personne, j'ai reçu plusieurs offres de listes de participants. Si l'on examine tous les différents messages que j'ai reçus à propos d'InfoSec World 2020, on peut dresser certains constats intéressants :

 

Il reste une question intéressante : comment ces arnaqueurs et sangsues - cette activité est clairement loin d'être propre puisqu'elle dépend de l'envoi de courriers électroniques non sollicités comme principale méthode de vente - obtiennent-ils leurs informations. Outre une activité où ils partagent entre eux, un processus d'auto-génération, nous donnons en fait beaucoup d'informations sur nous-mêmes. J'entends maintenant beaucoup d'entre vous dire « Ça ne m'arriverait pas! Je fais attention à mes informations personnelles! » Mais tout ce qu'il faut à ces personnes, c'est une adresse électronique. Combien d'entre vous ont l'habitude de cliquer sur « Oui » à des demandes venant de Outlook?

 

Pour être honnête, on peut se demander pourquoi Outlook ne désactive pas cette fonction par défaut. Tout d'abord, on peut considérer qu'il s'agit d'une fonction de suivi (qui porte atteinte à votre vie privée) de la réception ou de la lecture d'un message. Elle confirme également à l'expéditeur que l'adresse électronique est active et surveillée, ce qui peut déclencher l'arrivée d'un plus grand nombre de spams. Mais elle peut aussi être trompeuse. Le destinataire peut ne pas avoir lu le message, être pressé, la fenêtre ci-dessus s'ouvre et clique sur Oui, ou bien il est déjà en train de taper et appuie sur la touche d'entrée. Notez que la réponse sélectionnée par défaut est Oui.

Il n'est pas du tout difficile de désactiver ce problème. Pour Outlook, cela se fait via les options :

 

Mais regardez aussi combien de mes contacts réguliers configurent leurs messages de statut Out-Of-Office, avec des détails sur leur fonction, d'autres détails de contact, etc. - voici un exemple concret, obscurci pour des raisons évidentes:


I’m currently out of the office until [%DATE%], 2020 with limited or delayed email possibilities.
If you have urgent press or media related questions please try to contact me on my mobile phone ([%CELLPHONE_NUMBER%]) or via Social Media or alternatively try to contact [%OTHER_CONTACT_NAME%]([%OTHER_CONTACT_EMAIL_ADDRESS%]).
All emails received on this account will always be kept confidential for security reasons.
Regards,
[%FIRST_NAME%]
--
[%FULL_NAME%]
[%TITLE/FUNCTION%] – [%COMPANYNAME%]
[%CELLPHONE_NUMBER%] – [%SOCIAL_MEDIA_HANDLE%]
[%COMANYNAME%] – [%COMPANY_ADDRESS%]
[%COMPANY_URLS%]

Malgré les meilleures intentions, cela donne beaucoup d'informations : non seulement les vôtres, mais aussi des informations de départ sur un autre contact. Une mine d'or pour les arnaqueurs susmentionnés.

Une chose que vous ne devriez jamais faire, c'est suivre les « conseils » des escrocs, généralement présentés sous forme de note de bas de page dans leurs courriels. Voici les vingt-cinq recommandations les plus importantes que ces escrocs m'ont suggérées l'année dernière :

  • Si ce message ne s’adresse pas à vous, veuillez répondre en indiquant « Non pertinent » comme objet
  • Si vous n'êtes pas intéressé à recevoir nos courriers, répondez en objet, laissez ou retirez.
  • Si vous ne souhaitez plus recevoir de nouvelles de notre part, veuillez répondre en indiquant désinscrire et nous honorerons votre demande.
  • Si vous ne souhaitez plus recevoir de courrier, veuillez répondre en indiquant « Me désabonner » dans l'objet de votre message
  • Si vous ne souhaitez pas recevoir de futurs courriels de notre part, veuillez répondre désinscrire.
  • Si vous ne souhaitez pas recevoir de futurs courriels de notre part, veuillez répondre en indiquant que vous désirez vous désinscrire
  • Si vous ne voulez plus recevoir de courriels, veuillez vous désabonner
  • Si vous ne voulez pas de correspondance future, tapez « NR » dans l'objet
  • Si vous ne souhaitez pas recevoir d'autres courriers électroniques, veuillez indiquer « Retirez-moi » comme objet
  • Si vous ne souhaitez pas recevoir de courrier électronique de notre part, veuillez nous répondre en indiquant Opt Out
  • Si vous ne souhaitez pas recevoir de courriels de notre part, répondez et demandez de vous désinscrire
  • Si vous ne souhaitez plus recevoir de courrier électronique, veuillez nous répondre en indiquant en objet « Ne pas m’envoyer »
  • Si vous ne souhaitez pas recevoir d'e-mails de notre part, répondez par « Désinscription »
  • Si vous ne souhaitez pas recevoir nos lettres d'information, répondez avec « UNSUBSCRIBE » en objet.
  • Si vous ne souhaitez pas recevoir nos lettres d'information, répondez en indiquant « M’oublier » dans l'objet.
  • Si vous n'êtes pas intéressé, veuillez répondre en indiquant « me désinscrire » comme 'objet.
  • Au lieu de signaler cet e-mail comme spam, veuillez répondre « Retirer » ou « Désinscire » et nous nous assurerons que vous ne recevez pas un autre e-mail de notre société.
  • Note : ce courriel vous a été spécifiquement envoyé en fonction du profil de votre entreprise. Si vous ne souhaitez pas recevoir de futurs courriels de notre part, veuillez répondre « Non-requis
  • Note : Ce courriel vous a été envoyé spécifiquement en fonction du profil de votre entreprise. Si, pour une raison quelconque, il a été envoyé par erreur ou si vous ne souhaitez plus recevoir de messages de notre part, veuillez répondre en indiquant « Exclure » comme objet
  • Pour ne plus recevoir de courrier électronique de notre part, répondez « Exclure »
  • Pour retirer de cet envoi : répondez en indiquant comme objet « Me retirer ».
  • Pour supprimer, veuillez répondre « Me retirer »
  • Pour supprimer, veuillez répondre « Annuler ».
  • Pour vous désabonner de la réception de futurs courriels, veuillez envoyer « LEAVE OUT »
  • Pour vous désabonner, envoyez-nous un courriel avec l’objet « désabonnement »

Notez la similarité parfois extrême entre ses messages. Je soupçonne qu'il s'agit d'une tentative pathétique d'éviter les filtres anti-spam.

En répondant, vous confirmez que votre adresse électronique est valide et vous risquez de vous retrouver dans d'autres bases de données d'« adresses électroniques vérifiées » et ainsi, d'aggraver le problème. Et, bien sûr, si vous pouvez même lire les lignes au bas de ces messages électroniques, car elles sont souvent en très petite police ou dans une couleur très similaire ou identique à la couleur de fond.

Parfois, pour votre commodité (hum...), les conseils comprennent du texte en hyperlien. Par exemple :

 

Il va sans dire que vous ne devez jamais cliquer sur de tels liens. Dans ces cas précis, il s'agit de liens de suivi, qui non seulement confirment la validité de votre adresse électronique, mais exposent aussi plus de détails.

 

D'autres liens dans les courriers électroniques des escrocs peuvent pointer vers leurs sites web, ce qui pourrait être une autre méthode de suivi des adresses électroniques valides.

 

Avec autant de conférences devenues virtuelles (dont plusieurs gratuites), le secteur des offres de lead commerciaux s’est adopté et propose désormais ce qui est vraisemblablement de fausses listes de participants virtuels.

 

Soulignons qu’ESET n'était pas un exposant (virtuel) à la conférence virtuelle Black Hat 2020. Mais même si nous l'avions été, nous aurions recueilli nous-mêmes les informations des visiteurs de notre kiosque. En tout état de cause, il est très peu probable que les organisateurs de la conférence, à l’ère du RPGD, soient disposés à partager autant de détails.

Nous avons fait le test avec une conférence ayant une relation de longue date avec ESET, qui est devenue virtuelle cette année. Pour se faire, nous avons demandé si nous pouvions obtenir (ne serait-ce que) les adresses électroniques des participants.

 

Tout est dit!

L’offre commerciale de lead est un secteur en plein essor et tant qu'elle pourra trouver des données librement (ou même que nous les leur remettrons, les rendant (semi)vérifiées), cela ne s'arrêtera jamais. Nous devrions cesser de leur fournir des informations gratuites (ou mieux, cesser de valider les informations) en leur fournissant volontairement des données dans nos notifications de sortie. La plupart des clients de messagerie, si ce n'est tous, ont la possibilité d'utiliser différents messages OOO pour les contacts au sein de votre organisation et à l'extérieur, et pour les contacts de votre carnet d'adresses et non. Il est logique d'avoir le moins d'informations possible dans les messages OOO de ces derniers groupes

Il est utopique d'imaginer que nous puissions mettre un terme à cette activité. Même si nous devenons plus sensibles et plus stricts en ce qui concerne le partage (ou la confirmation) de nos données d'identification, les personnes travaillant dans l'activité de l’offre de lead peuvent continuer à constituer leurs listes ou à (ré)utiliser d'anciennes données. Néanmoins, il n'est jamais trop tard pour commencer à prendre cela plus au sérieux, alors pourquoi ne pas commencer dès maintenant?