Interview
de Bruno RASLE, co-auteur du livre "Halte
au spam"
Bruno
RASLE
Bruno Rasle, co-auteurs du livre « Halte
au Spam » avec Frédéric
Aoun, vous venez d’organiser le 3 novembre dernier le premier colloque
français dédié à la publicité non-sollicitée
sur Internet, le « Spam Forum Paris ». Dans la salle mise à disposition
par l’Assemblée Nationale 250 auditeurs se sont ainsi retrouvés
pour faire le point sur ce phénomène (universitaires, responsables
sécurité, professionnels du marketing direct, membres des
principaux FAI français, juristes...).
Avez-vous pu identifier des moyens d’action disponibles ou en devenir
pour lutter contre le spam ?
Un
tableau des possibilités actuelles a été dressé.
Si un internaute ou une entreprise peut espérer
se protéger grâce à la composante
technique, peu d’éléments permettent
en fait de traquer les vrais spammeurs, de les
identifier et de fournir les éléments
indispensables à la constitution d’un
dossier juridique. On peut d’ailleurs regretter
le très faible nombre de plaintes de la
part des internautes français, et plus encore
de la part des entreprises. Il est vrai que la
loi Informatique & Liberté semble ignorée
du plus grand nombre.
Les dispositions de la LEN devraient réduire le terrain de jeu des
rares spammeurs français, dont une majorité de « M.
Jourdain du Spam ». L’efficacité du texte sera toutefois
nulle sur les spammeurs expérimentés, à l’instar
des pollueurs américains qui ont déjà pris les devants,
en se délocalisant ou en créant de nouvelles techniques qui
interdisent, par exemple, de situer les sites Web sur lesquels ils font
la promotion de leurs « biens et services ».
A plus long terme, l’espoir réside dans une modification des
protocoles utilisés pour les échanges. Ceux-ci permettent
en effet toute manipulation et modification, dont profitent les spammeurs.
Le jour où l’internaute pourra identifier l’émetteur à la
réception d’un message, l’anonymat des spammeurs disparaîtra.
Or cet anonymat est la base principale du phénomène, -avec
l’espoir de gains rapides (le spammeur récemment condamné à Miami
avouait gagner un million de dollars par an) et la faible mise de fonds
initiale-. Une fois affaibli le modèle économique sous-jacent,
le Spam devrait se résorber. Resteraient alors les « scams »,
véritables arnaques, qui ont toujours existé et qui ont trouvé une
nouvelle jeunesse grâce à Internet.
Alors que les spammeurs utilisent de plus en plus des techniques de hackers
pensez-vous que des mesures techniques de filtrages puissent être
efficaces ?
On
note effectivement depuis quelques temps une certaine
collusion entre ces deux populations. Mais les
spammeurs sont très prudents. Ils sont uniquement
motivés par le gain et ne sont pas prêts à prendre
des risques inconsidérés. Nous pensons
que les spammeurs – les plus grands d’entre
eux gèrent un véritable budget « Recherche & Développement » -
passent commande d’outils novateurs aux pirates
informatiques. En bref, ils ont toujours un coup
d’avance sur leurs opposants.
Les dernières générations de filtres (basés
sur un concept mathématique énoncé par un pasteur
anglais du XVIIIe siècle, Thomas Bayes) sont aujourd’hui très
efficaces. Leur taux de filtrage est élevé, tandis que les
faux-positifs (messages légitimes bloqués par erreur) sont
rares. Mais ils exigent une participation de la part des internautes, qui
n’y sont pas nécessairement prêts. Et les spammeurs
n’ont sans doute pas dit leur dernier mot. Ils l’ont régulièrement
prouvé, en imaginant la parade à chaque génération
précédente de principe de filtrage. Les dégâts
collatéraux causés par l’utilisation des « blacklists » en
est un exemple. Si elles sont très faciles à utiliser (et
gratuites dans la plupart des cas), leur efficacité est faible,
pour un taux de faux-positifs élevé. Chaque jour, des entreprises
et des internautes innocents en pâtissent. Nous avons également
montré que les filtres « à empreinte » étaient
responsable pour une part de l’explosion du nombre et du volume de
spams bloqués par les FAI ! D’ailleurs, une majorité de
spécialistes s’attendent à la poursuite de l’augmentation
du taux de spams dans les mois à venir, en espérant une stabilisation
d’ici un an. En attendant, on pourrait noter un recours plus fréquent
aux e-mails certifiés et authentifiés, moins sujets au Spam,
mais également moins susceptibles d’être détruits
ou victimes de filtrages abusifs.
Les Etats-Unis viennent d’adopter le 16 décembre dernier,
leur première loi fédérale réglementant le
spam sur le territoire national. Baptisée « Can Spam Act » (Controlling
the Assault of Non Solicited Pornography and Marketing Act), cette loi
prévoit la mise en place de listes d’opposition. Pensez-vous
que ces listes puissent réellement freiner le phénomène
?
Cette
liste est évoquée dans le texte,
mais elle est encore en devenir. Le législateur
a demandé à la FTC un rapport sur
sa faisabilité. Il faut noter que la FTC
avait fait part à plusieurs reprises de
son opposition à une telle solution. Les
spammeurs, qui sont déjà dans l’illégalité,
ne devraient pas se soucier outre mesure de cette éventuelle
liste d’opposition, qui pourrait au contraire
leur être très utile s’ils arrivent à en
prendre connaissance ! Cette hypothétique
liste d’opposition concerne la publicité,
pas les spams à proprement parler. On peut
remarquer que le texte fédéral ne
concerne pas les messages à caractère
politique, religieux ou caritatif, et qu’il
est possible de traiter dans un même email
d’un sujet « secondaire »… Serait-il
donc possible de diffuser un appel à la
charité, tout en faisant passer un message à but
lucratif ? Il convient également de retenir
le caractère « binaire » d’une
telle démarche : une fois inscrit sur cette
liste, l’internaute américain ne devrait
plus recevoir aucune publicité… Bien
que l’Europe ait retenu le principe du consentement
préalable, rien n’empêche les états-membres
d’ajouter une telle disposition. Dans leur
transposition, les britanniques s’en sont
laissés la possibilité.
La différence d’approche
entre l’Europe (consentement préalable)
et les Etats-Unis (opt-out avec liste
d’opposition éventuelle)
pourrait d’ailleurs poser problème.
Un email promotionnel, légal en
regard du droit américain, sera
en effet illégal aux yeux de l’internaute
français qui l’aura reçu.
Quel accueil sera fait à son éventuelle
plainte ? Une future liste d’opposition
américaine sera-t-elle ouverte
aux étrangers ? Etre obligé de
fournir ses données personnelles
aux Etats-Unis pour ne plus recevoir
de publicités américaines,
se serait un comble !
Revenons en France, avec les dispositions relatives à la publicité non
sollicitée sur Internet du projet de loi sur l’économie
numérique, qui prévoit notamment la nécessité pour
les entreprises de marketing direct d’obtenir l’autorisation
préalable de l’internaute. Etes-vous satisfait par le texte
actuel ?
Globalement
oui. Le point principal est tout de même
la priorité donnée au choix de l’internaute,
par le biais du consentement préalable,
du moins pour les personnes physiques. Les amendements étudiés
visent à ne pas pénaliser les professionnels
du marketing direct français, qui n’ont
pas de raison particulière d’être
tenus par des contraintes disproportionnées.
Mais il faut rester vigilant sur les précisions
et les modalités d’application, car
de nombreuses zones grises perdurent. Nous attendons
de voir l’approche qui sera retenue quant à la
méthode utilisée pour recueillir
le consentement de l’internaute. Nous souhaiterions également
une emphase sur la possibilité et le mécanisme
de désinscription offerts aux destinataires.
Malgré sa plus grande précision sur
ce point, le texte américain suscite déjà des
controverses : combien de temps après l’émission
du message promotionnel les moyens de désinscription
doivent-ils rester opérationnels?... Nous
regrettons également que rien n’ait été prévu
pour freiner d’une façon ou d’une
autre la commercialisation des outils permettant
de spammer (collecteur d’adresses par exemple).
Nous le constatons à chacune de nos interviews
de « M. Jourdain du Spam » : Après
l’ignorance de la loi, c’est là leur
excuse principale : « Cet outil est en vente
libre. Comment aurais-je pu deviner que son usage était
interdit ? ». Enfin, il serait sain d’étendre
la réflexion au delà des personnes
qui réalisent les envois : le mécanisme
d’affiliation favorise la pratique du Spam.
Lors de la récente condamnation d’un
spammeur français, rémunéré pour
générer du trafic sur un site pornographique
payant, ce dernier n’a pas été inquiété car
il avait pris soin de faire figurer dans son contrat
d’affiliation une mention explicite condamnant
cette pratique… La nouvelle loi fédérale
américaine est moins angélique :
elle se réserve le droit de poursuivre toute
entreprise ayant bénéficié des
agissements de ses affiliés.
Restera à surveiller l’application du texte… Et pourquoi
pas imaginer, au niveau européen, une opération du type « Cybersweep »,
notamment pour contrer l’émergence des spammeurs en Europe
de l’Est ?
Pouvons-nous avoir une part de responsabilité dans le nombre de
messages électroniques non sollicités à caractère
publicitaires que nous recevons ? En d’autres termes, quels sont
les comportements favorisant le spam que nous devrions éviter
?
Les
aspects comportementaux sont généralement
oubliés ou occultés. Et pour une
part, il est vrai que nous sommes parfois à l’origine
du spam que nous recevons… et même
des spams que reçoivent nos amis et relations
! Il est bon de rappeler que les collectes sur « parrainage » (dans
lesquelles vous indiquez à un tiers l’adresse
email d’un proche, sans même son autorisation)
sont illégales. Sur ce sujet précis,
nous avons réalisé une étude
: « Les logiciels « sociaux » sont-ils
une menace ? ». Par « outils sociaux »,
nous entendons la gestion externalisée des
carnets d’adresses Outlook, la mise en relation
d’amis communs, la rencontre de l’âme
sœur...
Le comportement recommandé comprend une dose plus importante de
méfiance et de prudence que par le passé. Et les spammeurs
en sont bien conscients, quand on constate la forte augmentation des abus
de marques ou d’appels à des prescripteurs (journalistes,
vedettes de la télévision ou du cinéma, organisations
prestigieuses…) dans leurs messages. Ils vont même jusqu’à détourner
les logos d’entreprises connues pour inspirer confiance. Les dernières études
montrent que nous avons là encore beaucoup de chemin à parcourir
: Il existe un nombre important d’internautes qui passent commande
aux spammeurs, plus encore qui visitent les sites qu’on leur propose,
et pratiquement la moitié d’entre eux qui restent persuadés
que le fait de cliquer sur le lien de désinscription leur évitera
des envois ultérieurs !
C’est sans doute en entreprise que la démarche est plus délicate,
l’échange de coordonnées faisant partie de la bonne
marche des affaires. Mais là encore, une plus grande prudence est
recommandée. Pourquoi ne pas traiter votre adresse électronique
avec autant d’égard que votre numéro de téléphone
personnel ? A titre de plaisanterie, on pourrait faire la simplification
suivante : Vous n’avez aucune raison de laisser votre carte de visite à une
personne connue, vous en avez encore moins quand il s’agit d’un
inconnu ! Plus sérieusement, en entreprise, c’est certainement à l’occasion
d’une réflexion autour d’une charte d’utilisation
des outils Internet que ce type de sujet doit être traité avec
l’ensemble des collaborateurs.
