Piratage de bases de données. Listes de clients, d’adresses de contact qui se retrouvent entre les mains de spammers ou livrées en pâture sur le Web. Des fuites dont on soupçonne l’origine sans pouvoir le prouver. Cauchemar de beaucoup et, plus particulièrement, de tous ceux qui s’adonnent à l’e-mail marketing.

“Les gens investissent de plus en plus dans des bases de données mais qu’arrive-t-il, quel est encore la valeur de cet investissement, de ces bases, lorsqu’elles sont piratées?” Cette interrogation, Alain Mbange, se l’est posée suite à diverses sollicitations de clients et a décidé d’en faire un filon exploitable.

Fondateur de la société d’e-mail marketing DeepBlueEyes, revendue entre-temps à emailvision, Alain Mbange s’est lancé, depuis quelques mois, dans l’aventure d’une nouvelle start-up: DataSafer.

A défaut de pouvoir réellement garantir l’intégrité et l’inviolabilité des bases de données- ce qui relève de la problématique de sécurisation-, au moins peut-on tenter de “pister” les vols, fuites, infractions et détournements de listings. D’où l’idée de mettre en oeuvre une solution d’“e-mails piège”. Le concept? insérer dans les bases de données des adresses-piège, ne correspondant pas (ou pas forcément) à une personne physique ou morale mais qui servent donc de révélateurs de piratage. En envoyant ses propres mails à ces fausses adresses, un spammer tombe dans le piège qui lui est tendu et devient identifiable.

Simple comme chou. DataSafer veut tout simplement systématiser le processus en proposant une plate-forme qui gère automatiquement l’insertion d’adresses-pièges dans des listings et bases de données et assure le suivi de chaque campagne de mailing. En ce compris, le signalement d’utilisateurs non autorisés et l’envoi d’alertes aux propriétaires ou responsables de la base de données.

La main dans le sac…

Pour mettre en oeuvre cette solution de “mail traps” (aussi appelée “seed list management” dans le jargon), DataSafer mobilise une centaine de domaines qui lui permettent de créer des centaines de boîtes mail opérationnelles mais fictives, qu’elle peut en outre générer de manière aléatoire, pour éviter tout repérage par les spammers. La plate-forme enregistre tous les mails reçus sur ces boîtes fictives. Comme le seul moyen pour un spammer ou hacker de s’être procuré ces adresses est d’avoir piraté la liste d’envois, il sera immédiatement repéré.

Alain Mbange: “Pourquoi payer cher une adresse si elle peut être captée par des hackers et revendue?”

“Dès cet instant, nous produisons un rapport de sécurité, avec toutes les informations techniques, la liste des adresses mail qui ont reçu le mail litigieux, le contenu de ce dernier. Ce rapport est fourni au responsable de la base de données ou à un responsable légal à qui le conseil est donné d’intervenir lui-même auprès de la source litigieuse. Il aura beau demander à celle-ci de prouver qu’il s’est légalement inscrit dans la liste de diffusion d’origine, il ne recevra évidemment jamais la réponse. Dès cet instant, le propriétaire de la base de données peut engager une action via un cabinet spécialisé, en lui fournissant tous les identifiants techniques de la source litigieuse. Dès cet instant, une action en référé contre l’“indélicat” peut être engagée”. Avec menace d’astreinte, par exemple.

Le service mis en oeuvre par DataSafer propose trois tarifs: 39 euros pour 20 adresses-pièges, 99 euros pour 50, 149 euros pour 80. Il est toutefois possible de réserver davantage d’adresses. “Un client bancaire nous demande par exemple d’insérer une adresse-piège par lot de 100 adresses, sur un fichier qui en compte plusieurs de dizaines de milliers. D’autres, tels des sociétés de marketing, en placeront sans doute une toutes les 1.000 adresses.”

Le principe de l’adresse-piège peut bien entendu être mis en oeuvre par quiconque envoie plus ou moins massivement des mails. Mais la procédure demeure compliquée et lourde lorsqu’on le fait soi-même. “le nombre de boîtes fictives générées demeure limité et, souvent, on oublie, après un certain temps, de vérifier si quelqu’un est tombé dans le piège en les utilisant”, déclare Alain Mbange. “Notre solution SaaS présente divers avantages: nous centralisons tous les pièges, nous générons les alertes et produisons les rapports de sécurité. Avec même les conseils nécessaires pour recourir à une cabinet conseil” (DataSafer a plus spécifiquement “embrigadé” le cabinet Ulys).

Le “cas” SNCB

La “fuite” a fait les gros titres de la presse récemment. Un fichier de clients de la SNCB s’est retrouvé sur le Net. “Un fichier mis en ligne, à la suite d’une erreur humaine. Simplement parce qu’un collaborateur a mis le fichier sur un serveur non sécurisé”, rappelle Alain Mbange. Au-delà du fait-même que ces noms et coordonnées soient divulguées, il souligne surtout le fait que l’incident s’est produit “il y a plus de six mois que qu’on n’en a eu conscience que tout récemment parce qu’un blogger l’a signalé. Six mois de perdu! Une adresse-piège, glissée dans la base de données, aurait permis d’identifier immédiatement le problème et d’adresser un avertissement au propriétaire de la base de données afin qu’il rectifie la brèche. Combien de personnes ont copié et utilisé cette base, entre-temps? On ne le saurait sans doute jamais.”

Et la SNCB n’est qu’un exemple parmi des centaines ou milliers d’autres, qu’on ignore pour la plupart. “Mais, en l’espace d’un seul mois, on sait que Google, Facebook, Twitter ont été hackés!” Soit une myriade d’adresses désormais librement exploitables.

Une obligation légale

Les solutions de traçabilité de fuite et vol de données vont sans doute connaître un succès nouveau à court terme. Une directive européenne devrait en effet bientôt faire son apparition qui rendra obligatoire l’avertissement, par les propriétaires de bases de données, de toute fuite ou détournement de données. “Avec, qui plus, obligation pour eux de documenter ce qu’ils ont mis en oeuvre comme moyens de protection”, souligne Alain Mbange. “En cas de piratage, ils devront en communiquer les détails à la Commission Vie Privée et avertir toutes les personnes dont les données personnes pourraient ainsi être copiées et utilisées.”

Coeur de cible

La clientèle potentielle que vise DataSafer se compose aussi bien de loueurs de fichiers, de sociétés d’e-mail marketing que d’organismes en tous genres qui pratiquent du démarchage commercial par e-mailing (banques, assurances, grande distribution, organisateurs de concours en tous genres…). Tous les acteurs, en fait, pour qui une adresse a une valeur marchande, concurrentielle, à préserver. “Pourquoi payer cher une adresse si elle peut être captée par des hackers et revendue?”, raisonne Alain Mbange.

Veille concurrentielle

DataSafer a ajouté un autre service à son catalogue. A savoir: une solution de veille qui permet à un client (typiquement un e-marketer) de surveiller les activités d’e-mailing de ses concurrents. Là encore, le principe est celui de la création d’une adresse fictive. Non plus pour piéger les pirates mais pour documenter la stratégie commerciale. Et ici encore, la chose est simple comme bonjour. DataSafer automatise et propose en mode service une pratique déjà bien implantée qui consiste pour une société ou une personne à s’inscrire via une adresse fictive dans les listes de diffusion de ses concurrents et de surveiller ainsi la manière dont il procède (type de contenus envoyés, fréquence, date et heure d’expédition…). “Les e-marketers le faisaient jusqu’ici manuellement, en créant par exemple des adresses gmail ou autres. Mais ils n’avaient pas la possibilité d’avoir une vision synthétique de tous les envois. Nous leur proposons le service de manière centralisée, avec dashboard d’analyse à l’appui.