Signal Spam : «les signalements sont des preuves numériques»
Issue d'un partenariat public-privé, l'association Signal Spam pilote la plateforme nationale de signalement des messages électroniques non sollicités. Dans cet entretien, Thomas Fontvielle, son secrétaire général, détaille les missions, le fonctionnement et les moyens de l'organisation fondée en 2005.
Silicon.fr - Quelle est la marge de manouvre de Signal Spam dans la lutte contre le courrier électronique non sollicité ?
Thomas Fontvielle - Signal Spam collecte les signalements de tout ce que l'internaute estime être une communication non-sollicitée. Toute latitude est laissée à l'internaute pour manifester sa perception de ce qu'est un spam. Il n'a pas à se poser la question de la nature du courrier qu'il reçoit et souhaite signaler, par exemple : s'agit-il d'une sollicitation commerciale, d'une arnaque, d'un phishing ? Me suis-je réellement inscrit à cette newsletter ou bien abuse-t-on de mon consentement ? Est-ce un courrier importun, ou contient-il une menace ?
À partir du moment où le courrier reçu est perçu comme une gêne, l'internaute peut légitimement nous le signaler. La mission de Signal Spam consiste donc : à qualifier ces signalements et à les transmettre à ses partenaires légalement autorisés à prendre connaissance de certaines informations contenues dans ces signalements, et les mieux à même de prendre l'action qui s'impose contre le spam spécifique.
Lire aussi : Cybersécurité : 8 personnalités qui ont marqué 2024
On peut dresser une brève typologie des actions autorisées par les signalements :
- La désinscription des listes de diffusion qui comprennent les adresses de l'internaute auprès des membres de l'association ;
- La réquisition judiciaire dans la base de données de Signal Spam pour produire des éléments à charge utilisables aux cours des enquêtes et des procédures judiciaires ;
- La transmission de la plainte aux autorités publiques, notamment la CNIL (nous distribuons chaque mois un Top 30 des plus gros spammeurs français à la Commission), lorsque les acteurs de la prospection par courrier électronique ne respectent pas ou abusent du consentement des internautes ;
- La veille sur les réseaux publics et/ou privés afin d'identifier le spam sortant et faire le lien avec l'infection d'un poste (botnet);
- La transmission des URL de phishing pour blocage ou la fermeture des sites qui hébergent ces arnaques visant à dérober des données personnelles et/ou bancaires ;
- La protection des noms de marques contre les usurpations d'image et les produits contrefaits.
Signal Spam dispose ainsi d'une très large marge de manouvre, grâce à la variété des membres qui composent l'association, pour couvrir le spectre du spam dans toutes ses nuances.
Entre plateforme nationale de signalement, prestataires techniques et autorités publiques, comment s'organise la lutte ?
Signal Spam recueille les plaintes des internautes et les enrichit à travers différents processus : géolocalisation des IP émettrices du spam, identification des prestataires et intermédiaires dans le circuit d'acheminement du message, qualification de la nature du spam.
En fonction du métier de ses membres et de la nature du partenariat, Signal Spam redirige les informations brutes pour que celui-ci puisse prendre l'action qui s'impose pour lutter contre le spam spécifique.
Ce qui fait la valeur de Signal Spam, c'est que les signalements ont la spécificité d'être des preuves numériques utilisables par les enquêteurs et la justice comme éléments à charge.
En outre, Signal Spam est un lieu d'échange pour des professions et des acteurs très différents. Ainsi, au conseil d'administration de l'association vous trouverez aussi bien des experts de la sécurité (ANSSI pour le public, Lexsi pour le privé), des fournisseurs d'accès Internet (Orange et SFR), des expéditeurs de messages professionnels et responsables des autorités publiques (police, gendarmerie, OCLCTIC.).
Comment mesurer l'efficacité du « réseau de confiance » ainsi mis en ouvre ?
C'est une question large à laquelle on peut apporter plusieurs éléments de réponse en termes de :
Notoriété : Signal Spam peut et doit mesurer son succès au nombre d'internautes inscrits et au nombre de signalements effectués (en moyenne 300 000 par mois, en progression stable).
Efficacité : l'indicateur premier serait évidemment la baisse du spam, mais l'action de l'association ne se situe pas à court terme, car Signal Spam n'est pas un filtre ou un anti-spam : il s'agit véritablement d'identifier les canaux et les individus responsables, et de mettre un terme à leur activité, ou tout du moins de rendre son exercice toujours plus complexe et contraignant, ce qui ne s'observe pas du jour au lendemain. Dès lors, nous mesurons les résultats de l'association au nombre de flux de données remontant des informations diverses ouverts à destination de partenaires dûment autorisés - 27 à l'heure actuelle, dont 4 flux vers des autorités européennes.
Réalisations publiques : on pense ici à la charte de déontologie qui est un texte proposant des règles techniques et des bonnes pratiques pour les membres de l'association au-delà du cadre légal. Tous les membres doivent produire une déclaration de conformité à la charte, ce qui est un moyen de tirer vers le haut le marché de l'e-mailing ou de sensibiliser les acteurs à certaines pratiques.
Quels sont les moyens humains et matériels de Signal Spam ?
Signal Spam dispose d'un secrétaire général, unique permanent. Nous faisons régulièrement appel à des stagiaires pour certaines missions techniques précises, dans le cadre de notre partenariat avec l'école d'ingénieur Epita, ainsi qu'à un prestataire technique expert de l'e-mail - DeliverNow. Mais surtout, Signal Spam s'appuie sur la réserve de talents humains que ses membres mettent bénévolement à disposition.
Il suffit de regarder la composition du Bureau de l'association, entièrement bénévole, pour se rendre compte de la nature si particulière de ce partenariat public-privé et de l'importance qu'il revêt dans le dispositif de la lutte contre le spam et le cybercrime :
- Président depuis 2013 : Jean-Philippe Baert, directeur général de la société ExactTarget France ;
- Vice-président depuis 2011 : Eric Freyssinet, colonel de Gendarmerie, chef de l'unité de lutte contre le cybercrime ;
- Vice-président en charge des services et développements depuis 2011 : Philippe Antuoro, expert anti-spam chez SFR ;
- Trésorière depuis 2012 : Nathalie Phan Place, secrétaire générale du SNCD.
L'association est exclusivement financée par les cotisations des entreprises membres et ne bénéficie d'aucune subvention publique.
Voir aussi
Sur le même thème
Voir tous les articles Business