Actu
Le mass mailing en toute sécurité
mars 2017 par Marc Jacob
Chaque jour, plus de 200 milliards d’emails sont envoyés dans le monde. Un total énorme, mais sur lequel beaucoup ne seront jamais reçus : identifiés par le fournisseur d’accès à Internet comme spam ou phishing, ils ne sont pas distribués. Et pendant ce temps, d’autres emails se faufilent à travers les mailles des filtres du FAI et de l’utilisateur. Des emails qui demandent des informations personnelles et de paiement. Autrement dit, du vrai phishing. Au troisième trimestre 2016, le nombre de spams avec une pièce jointe dangereuse a dépassé les 70 millions, selon les estimations de KSN1. Le problème n’est pas seulement que des emails légitimes ne parviennent jamais à leur destinataire ; pour les marques et entreprises imitées dans ces emails de phishing, ils sont également synonymes d’atteinte à leur image et de perte de confiance.
La coopération au service de la sécurité
Les expéditeurs d’emails groupés envoyés avec l’autorisation du destinataire (permission marketing) ont évidemment tout intérêt à ce qu’ils parviennent à tous leurs destinataires. Mais les règles de filtrage des FAI interceptent une grande partie de ces emails. Les expéditeurs cherchent donc à éviter ces filtres en se faisant ajouter sur la liste blanche des FAI. C’est un travail de longue haleine aussi bien pour les expéditeurs, qui doivent traiter avec chaque FAI, que pour les FAI, tenus de vérifier un à un que chaque expéditeur respecte ses critères. Afin de centraliser ces procédures et de faciliter la vie tant des expéditeurs que des destinataires, tout en garantissant un haut niveau de qualité, Eco e.V., l’organisation allemande du commerce électronique, et DDV, l’organisation allemande du marketing de dialogue, ont lancé conjointement la Certified Senders Alliance (CSA – voir encadré).
Toutes les marques sont une cible
En règle générale, pour leurs opérations de phishing, les cyber-criminels falsifient des emails pour qu’ils semblent légitimes. Leurs premières victimes sont les banques, les boutiques en ligne et les systèmes de paiement électronique, mais aussi les entreprises de distribution. « Outre ces secteurs particulièrement intéressants, toute marque qui jouit d’une bonne réputation et de la confiance de ses clients est une cible potentielle. Aujourd’hui, des entreprises qui ont investi dans leur image de marque ont un problème, car leurs clients reçoivent en toute confiance des emails leur demandant des données personnelles, voire des informations de paiement », explique Julia Janssen-Holldiek, responsable Business Development & ISP Relations de la CSA.
Lutter contre la fraude
Mais les emailers peuvent se protéger contre l’utilisation frauduleuse de leur adresse email. Le standard DMARC (Domain-based Message Authentication, Reporting and Conformance), lorsqu’il est utilisé par l’expéditeur et le destinataire, garantit le contrôle systématique de l’authenticité de l’expéditeur. En utilisant DMARC, les entreprises permettent aux fournisseurs d’accès de reconnaître clairement leurs emails. Ainsi, les emails de phishing sont reconnus par le FAI et supprimés en amont du destinataire.
Deux sécurités valent mieux qu’une
Les emails envoyés en masse sont ainsi doublement sécurisés. Tout d’abord, l’inscription sur la liste blanche du CSA garantit que l’emailer en respecte les conditions strictes et n’envoie que des emails souhaités et légitimes ; ensuite, la norme DMARC permet de vérifier que l’email émane bien de l’expéditeur apparent. L’expéditeur d’emails de masse se protège ainsi contre d’éventuels dommages à son image de marque, et les destinataires sont sûrs que l’email reçu n’est pas une tentative de phishing.
La parole aux FAI
C’est aussi l’avis des principaux fournisseurs d’accès à Internet, qui conseillent aux services marketing de mettre DMARC en place. « Le standard DMARC apporte davantage de sécurité face au problème délicat du phishing. Beaucoup d’emails de phishing, aujourd’hui encore, parviennent jusqu’à l’utilisateur. Avec DMARC et notamment la politique et le reporting associés, le nombre d’emails falsifiés peut être réduit à quasiment zéro », selon Marcel Becker, responsable de la gestion produit chez AOL Mail.
CSA Summit 2017
La protection anti-phishing et les autres méthodes pour assurer la sécurité des échanges par email font partie des thèmes traités lors du sommet de la CSA qui se tiendra du 10 au 12 mai à Cologne. Spécialistes marketing, managers et experts techniques y présenteront les aspects techniques et juridiques du marketing email. L’année dernière, les trois jours de séminaires, d’ateliers et d’évènements de networking ont rassemblé plus de 120 participants venus de 11 pays différents.
Pour en savoir plus sur le CSA Summit 2017, rendez vous sur https://de.certified-senders.eu/events/
La Certified Senders Alliance
La Certified Senders Alliance (CSA) est une initiative conjointe de l’Organisation du Commerce Électronique (Verband der Internetwirtschaft eco e.V), et de la l’Organisation du Marketing de Dialogue (Deutscher Dialogmarketing Verband). L’objectif de la CSA est de créer et de tenir à jour une liste blanche des emailers de masse, accompagnée d’une procédure d’inclusion standardisée, afin d’améliorer la qualité de ce mode de communication et de garantir que les emails d’expéditeurs légitimes atteignent sans problème les destinataires qui les attendent.
Les entreprises inscrites sur la liste blanche de la CSA ne sont généralement pas traitées comme du spam potentiel par les principaux FAI allemands et internationaux tels que Yahoo, GMX, freenet, web.de ou encore AOL, et sont directement distribués. La CSA se positionne à l’interface emailers-FAI. C’est aussi pour cette raison que la commission de la CSA en charge des plaintes et de l’inclusion des expéditeurs se compose de deux représentants des FAI et de deux représentants des emailers.
1 https://securelist.com/analysis/quarterly-spam-reports/76570/spam-and-phishing-in-q3-2016/
