Second chapitre de la guerre au pollupostage : de nouveaux défis pour les utilisateurs du courriel

Les puissants remèdes conçus pour combattre le pollupostage et autres pratiques abusives en ligne ont de sérieux effets secondaires : par exemple, ils font la vie dure aux entreprises qui voient leurs messages interceptés par les filtres antipourriels et qui ont de plus en plus de difficulté à joindre leurs destinataires.

par Jacob Stoller

Ces temps-ci, personne ne veut être pris pour un polluposteur, car ce terme suppose qu’on est de mèche avec des promoteurs de titres douteux, des fournisseurs de produits de contrefaçon, des usurpateurs d’identité et autres malfaiteurs du cyberespace. Malheureusement, les filtres automatisés qui protègent dorénavant les réseaux d’entreprise accolent quotidiennement la redoutable étiquette de pollupostage à des milliards de courriels légitimes. Cette situation pose un problème croissant aux entreprises qui utilisent le courriel pour rester en contact avec leurs clients et leurs partenaires commerciaux. 

Prisonnier de la toile

De nombreuses entreprises ont mis en place des filtres qui réussissent bien à exclure les pollupostages de leurs réseaux, mais elles ne se sont pas interrogées sur ce qu’il advient de leurs propres envois. « C’est un sujet de discussion très intéressant, explique Brian Bourne, président de CMS Consulting et l’un des fondateurs du groupe d’utilisateurs sur la sécurité TASK (pour Toronto Area Security Klatch), car les gens parlent toujours de l’élimination des pollupostages, mais bien peu s’intéressent au fait qu’un nombre croissant de communications sont maintenant interceptées par les filtres antipourriels. Pourtant, il va de soi qu’une entreprise qui envoie du courriel sollicité et légal doit pouvoir s’assurer que celui-ci parviendra aux destinataires voulus. »

Or, le problème est devenu assez insaisissable en raison des pratiques de filtrage actuelles.  En effet, par le passé, les expéditeurs de courriels pouvaient estimer dans quelle mesure leurs messages se rendaient à destination, grâce aux avis de non-remise, ces courriels générés par le serveur pour informer l’expéditeur que son message a été rejeté. De nos jours, de moins en moins d’entreprises envoient des avis de non-remise, d’une part parce que les volumes sont énormes — ces envois par millions représentent un coût consi-dérable — et, d’autre part, parce que ces avis divulguent des renseignements que les polluposteurs peuvent ensuite utiliser.

Par conséquent, un expéditeur de courriels peut, par exemple, envoyer un bulletin d’information à ses clients, mais il ne peut déterminer combien d’entre eux l’ont bien reçu. Pire encore, il se peut qu’un avis important destiné à un client soit rejeté par un filtre antipourriel sans que personne ne le sache. 

Même lorsque l’expéditeur sait que les messages sont rejetés, la cause du problème n’est pas évidente pour autant, car les filtres actuels effectuent leur tri d’après de multiples critères. « Ils fonctionnent tous au moyen d’un système de pointage, explique Brian Bourne, de sorte qu’il faut faire tout ce que l’on peut pour que le pointage des communications reste bas. »

Des obstacles pour les deux parties

Le fait qu’un courriel légitime puisse être rejeté constitue un problème non seulement pour l’expéditeur, mais aussi pour son destinataire. Selon Doug Bowers, directeur principal de l’ingénierie anti-abus chez Symantec Corporation : « Cette question fait l’objet d’un dialogue constant entre la communauté des utilisateurs du courriel et les spécialistes des communications sécurisées; on essaie de déterminer quelle est la meilleure façon de s’assurer que les expéditeurs légitimes, qui se conforment à toutes les règles voulues, puissent acheminer leurs envois à destination sans que ceux-ci ne soient interceptés par les filtres qui bloquent les véritables polluposteurs. »

Doug Bowers affirme que l’un des principaux participants à ce dialogue est le groupe MAAWG (Messaging Anti-Abuse Working Group), une association mondiale commanditée par l’industrie et qui a pour mandat de prévenir les pratiques abusives en matière de messagerie. Dans un rapport intitulé MAAWG Sender Best Communications Practices, l’association formule des recommandations clés à l’intention des expéditeurs de courriel, lesquelles peuvent s’avérer profitables à deux niveaux : elles peuvent prévenir les pratiques condamnables et inciter les expéditeurs de courriel légitime à agir de manière à se distinguer des polluposteurs. Le rapport est publié sur le site de l’organisme au www.Maawg.org.

Bon nombre de ces recommandations invitent fermement les expéditeurs à éviter systématiquement les pratiques qui pourraient être interprétées comme des démarches intrusives, coercitives ou trompeuses. Au cœur de la problématique se trouve la notion de permission : tout bulletin d’information ou autre objet de communication de masse ne devrait être envoyé qu’aux personnes qui ont expressément demandé d’être incluses dans la liste d’envoi. Le processus d’inscription à la liste d’inclusion doit préciser clairement ce que le destinataire recevra et à quelle fréquence.  Il n’y a pas de place ici pour la duperie ou la ruse. Si l’adresse du destinataire doit être utilisée à d’autres fins, il faut le préciser clairement.

Il faut aussi que la notion de permission soit doublée d’une option par laquelle le destinataire peut facilement et instantanément s’exclure d’une liste d’envoi de messages sur une base régulière. D’emblée, tout bulletin d’information doit afficher un bouton sur lequel il suffit de cliquer pour se désabonner. Pour rendre la démarche encore plus facile, il convient d’offrir au destinataire différentes façons de se désabonner et plusieurs voies d’acheminement des plaintes, soit par courriel, par Internet et hors ligne. On recommande également aux entreprises de se conformer aux normes mises de l’avant par l’industrie dans le domaine des avis d’annulation d’abonnement.

La notion de transparence est également omniprésente dans le rapport : dans toute communication, il faut énoncer clairement non seulement la nature de son contenu, mais aussi qui en sont les expéditeurs. Par exemple, dans un courriel, l’adresse émettrice et l’adresse de réponse doivent être identiques. On recommande aussi que les courriels soient émis depuis une adresse IP fixe, une mesure que certaines petites entreprises ont parfois tendance à négliger. Les PME devraient également abandonner une autre pratique : celle par laquelle un utilisateur du courriel envoie un message à sa propre adresse électronique et en transmet une copie muette à une liste de destinataires.

Suivre les règles

La transparence suppose aussi que l’expéditeur acquière ce qu’il est convenu d’appeler une cyber-réputation, en se conformant à un certain nombre de pratiques qui confirment son appartenance à une communauté d’expéditeurs responsables. Pour y parvenir, les entreprises doivent apprendre à observer un ensemble de règles qui régissent l’univers des serveurs de courriel. Elles doivent donc se familiariser avec les processus d’authentification qui ont cours non seulement chez leur fournisseur d’accès Internet (FAI), mais aussi chez tous les FAI par lesquels le message est susceptible de transiter. Il s’agit là d’un sujet très technique qui nécessite un savoir-faire que possèdent rarement les services internes de TI. C’est pourquoi les entreprises qui envoient un nombre considérable de bulletins ou d’annonces à leurs clients auront probablement besoin d’obtenir de l’assistance extérieure dans ce domaine.

En outre, le rapport conseille vivement aux expéditeurs de gérer leurs pratiques d’envoi de manière à réduire le plus possible le nombre de messages acheminés par mégarde ou à des destinataires qui n’existent pas. Il faut donc « épurer » régulièrement les listes d’envoi, afin d’en retirer les adresses d’employés qui ont quitté l’entreprise, qui se sont désabonnés ou dont l’adresse est erronée. Les entreprises doivent aussi instaurer des mesures permettant d’apporter sans délai les correctifs voulus lorsque surviennent des erreurs d’envoi. Tout comme lorsqu’elles doivent acquérir et maintenir une bonne cyber-réputation, il se peut que, pour ce faire, les entreprises aient à engager des ressources considérables.

Mais ce qui importe en définitive, c’est que la lutte au pollupostage s’inscrive dans un partenariat entre les expéditeurs et les destinataires légitimes des courriels. Face à l’escalade des guerres au pollupostage, qui semblent tout à fait probable, les expéditeurs auront de plus en plus besoin d’adhérer à cette forme de partenariat et de suivre les règles qui y prévalent. Les attitudes changent déjà : la preuve en est que même la pratique légèrement manipulatrice qui consistait à envoyer une invitation à recevoir un bulletin en y cochant par défaut la case « oui » est maintenant perçue comme inacceptable. En fait, les entreprises qui ne veulent pas être perçues comme des polluposteurs doivent dorénavant faire tout ce qu’elles peuvent pour éviter les comportements qui caractérisent ces indésirables.

Jacob Stoller (jacob@stollerstrategies.com) est un auteur et chercheur indépendant établi à Toronto.

Haut