Le spam sur Viadéo via mary.koneh@yahoo.dk

J’en parlais il y a quelques temps, je me fais spammer par l’intermédiaire de Viadéo.

Une belle blague pour un réseau professionnel qui est censé l’être.

Le point sur l’histoire de mary.koneh@yahoo.dk.

Spam sur ma boite professionnelle

Je reçois, sur ma boite professionnelle, un message agréablement courtois et presque indécent d’une demoiselle répondant au doux nom de Miss Mary.

Nice to meet you,

How are you and how is your work? i hope that all is well with you, My name is miss Mary, i know that you may be surprise how i get your contact, i come in contact with your profile today at (www.viadeo.com) when i was browsing looking for honest partner, then i feel to drop this few line to you, and  i will like you to contact me through my email so that we can know each other and exchange our pictures, and we may be come partner. My email address is  (mary.koneh@yahoo.dk)

Remember the distance does not matter what matters is the love we share with each other.
i am waiting  to hear from you soon.

With regards Miss Mary

Please contact me directly with (mary.koneh@yahoo.dk)

Pour remettre les choses dans leur contexte, ce mail m’est adressé sur ma boite professionnelle, en anglais et, qui plus est, comme si on se connaissait…

Du spam, mais pourquoi donc ?

Pour l’instant, on voit juste une personne charmante et polie qui cherche à agrandir son cercle (phrase à ne pas sortir de son contexte, merci).

Oui mais non, c’est bien du spam :

  • Le i come in contact with your profile today at (www.viadeo.com) traduit que le spam est destiné à être utilisé sur plusieurs plateformes web, là Viadéo ;
  • Les adresses mails Yahoo.uk, c’est un peu le Hotmail.fr chez nous, des boites virtuelles servant au spam en masse ou aux chaines et qui n’ont, pour moi en tout cas, aucune crédibilité professionnelle ;
  • Le mail mary.koneh@yahoo.dk est bien connu de Google, cette Mary cherche vraiment de nouveaux amis !

Mon analyse rapide

Là, outre le fait de me faire spammer, quelque chose me chiffonne. Le spam est envoyé sur un des alias de mon mail professionnel.

Pour ceux qui ne suivent pas, au fond là-bas, un alias, c’est une sorte de pseudo pour créer plusieurs boites mails qui, en fait, ne font qu’un au final.

J’avais donc une boite marketing et une boite thibaut. Et là, le spam est envoyé sur thibaut.

Le hic, c’est que cet alias ne sert pas ma cause de webmarketeur, je me présente avec mon poste, ma spécialité. Alors, je ne communique pas sur l’alias thibaut, c’est-à-dire qu’elle n’est pas diffusée sur la toile.

Ou presque pas.

Viadéo, la source du spam

Le seul endroit où j’ai mis cet alias, c’est sur mon profil Viadéo. Dans l’optique de créer un lien réel avec les internautes qui allaient visiter mon profil, j’ai mis mon alias pour rendre compte d’un mail personnel plus humain qu’un statut ou un poste.

Le truc, c’est que je connais bien la technique de récupération des robots spammeurs, qui scannent le web à la recherche de mails en clair, des adresses mail non protégées (cliquables) et ce n’est pas le cas de Viadéo.

Sur Viadéo (avant les dernières mises à jour), quand vous n’êtes pas connecté au service, vous ne pouvez pas voir le profil de quelqu’un.

Vous arrivez sur une page publicitaire vous incitant à souscrire un compte. Donc, en toute logique, vous n’avez pas accès au contenu de mon profil ni à mon mail et la fenêtre publicitaire occupe la majeure partie de l’écran.

Sauf qu’en fait, mon profil était très long, j’avais mis beaucoup de contenu pour favoriser le référencement de mon entreprise.

Du coup, cet écran de publicité ne couvrait pas la totalité de mon profil et, en effectuant tout bêtement un scroll vers le bas, on avait accès au reste du contenu.

Alors, soit c’est à cause du contenu trop dense de mon profil, soit c’est un codage maladroit de Viadéo qui, plutôt que de supprimer le contenu et d’afficher uniquement quelques renseignements basiques (avatar, données globales du profil), masquait les informations essentielles du profil aux yeux des humains mais pas des robots, le contenu existait et était récupérable dans le codage de la page.

Dans tous les cas, le mail était visible et récupérable par les robots spammeurs.

Malheureusement, je ne peux plus tester vu que Viadéo a mis à jour cette page de profil public. Cependant, l’énigme reste entière.

Viadéo c’est le mal

Quand j’ai pris conscience de cette faille du système, je me suis empressé de modifier le mail en changeant le @ par [@] mais le mal était déjà fait.

La récente mise à jour du profil public Viadéo est bien moins protectrice que la précédente puisque la quasi totalité du contenu du profil est consultable par n’importe qui, spammeur y compris.

Profil public Viadéo

Du coup, laisser trainer une adresse mail en clair (mail@domaine.extension), c’est être inconscient ou maso.

Je reprochais déjà à Viadéo d’avoir fait un affichage publicitaire non optimisé et qui ne cachait rien aux robots, la plaie des messageries web.

J’irai plus loin aujourd’hui en disant que, pour un réseau qui se veut professionnel et loin des kikoulol Facebook, ne sait pas encore se mettre à la hauteur des autres en protégeant les données de ses utilisateurs.

Un vrai réseau social devrait protéger les adresses mail en clair pour éviter qu’elles soient récupérées par des robots spammeurs.

Et le pire, c’est que les solutions existent !

Ne pas indexer certaines parties du profil, protéger via un fichier PHP les mails en les codant pour que les robots ne puissent pas les lire, ne pas autoriser l’affichage d’un mail… Autant de solution à un problème récurrent, le spam sur les boites mails.

Allez Viadéo, fais un effort. Moi, j’ai déjà fui sur LinkedIn, Klout oblige !