Connaissez-vous Signal Spam ? Une partie du lectorat de Badsender connaît sans doute cette association qui lutte contre le spam. Malheureusement, Signal Spam est surtout connu par les solutions d’envoi d’e-mail et moins par les expéditeurs.
Pourtant, en regroupant tous les acteurs de l’envoi d’email (mais pas que), Signal Spam est un précieux partenaire pour les entreprises. À la fois pour améliorer leur sécurité et réduire les risques de phishing, mais aussi pour améliorer leurs pratiques de délivrabilité.
Pour vous éclairer sur Signal Spam, nous avons invité sa présidente Carmen Piciorus à venir discuter avec Badsender.
Carmen a rejoint La Poste en 2016 en tant qu’experte technique dans l’équipe Laposte.net. Au sein du webmail de La Poste, elle a été en charge de l’activité anti-abus, de l’implémentation de DMARC, de la supervision du flux sortant, de l’amélioration de la satisfaction utilisateur par la diminution du nombre de plaintes et de l’implémentation d’outils pour lutter contre le spam, le phishing et tout autre type d’abus. Carmen fait maintenant partie de l’équipe cybersécurité de la DSI Branche Services Courrier – Colis de La Poste. Elle est présidente de l’association Signal Spam depuis 4 ans.
Le site de Signal Spam : https://www.signal-spam.fr/
Pourquoi Signal Spam est si peu connu dans le milieu de l’email marketing ?
Jonathan Loriaux – Ma première question concerne les nombreuses entreprises qui envoient des campagnes emails mais ne connaissent toujours pas Signal Spam. Comment expliquez-vous cela ?
Carmen Piciorus – En effet, certaines entreprises, notamment des émetteurs de mails depuis l’étranger, ne sont pas familières avec Signal Spam. Les petites et moyennes entreprises, en particulier, ne sont pas toujours au courant des outils disponibles pour lutter contre le spam, y compris ceux que Signal Spam met à leur disposition. C’est pourquoi nous menons des actions de sensibilisation à travers nos membres et participons à diverses conférences, comme le M3AAWG par exemple, pour attirer ces entreprises qui ne nous connaissent pas encore.
Certains évènements auxquels nous avons participé ont été retransmis en direct, permettant au grand public de les suivre. Cependant, le défi avec ces conférences et évènements est qu’ils sont parfois assez fermés en raison de la confidentialité des données échangées. Nos membres restent nos meilleurs ambassadeurs, et nous restons actifs en participant à divers évènements traitant du spam, du phishing et des cyberattaques en général. Nous avons également un volet sécurité que je détaillerai par la suite.
Quel est l’intérêt de devenir membre de Signal Spam pour les annonceurs ?
Jonathan Loriaux – Pour les entreprises qui envoient des campagnes et pour les annonceurs, quels sont les principaux avantages de vous suivre ou même de devenir membre ? Signal Spam est aussi une communauté, n’est-ce pas ?
Carmen Piciorus – En effet, Signal Spam offre plusieurs avantages. Tout d’abord, cela nous permet de faire des échanges en toute sécurité. Il y a également un volet éducatif important, avec le partage des bonnes pratiques. De plus, nous facilitons la mise en relation avec les messageries et les routeurs. Bien que nous n’ayons pas encore d’outils spécifiques pour les annonceurs, nous proposons des ressources qui peuvent les intéresser. Nous travaillons actuellement sur une gamme d’outils ciblés en fonction des différents métiers. Les besoins peuvent varier selon qu’il s’agisse d’annonceurs, de marques ou d’autres types d’entreprises.
Jonathan Loriaux – Concernant les annonceurs, il y a tout de même la feedback loop pour les plus importants qui disposent de leur propre adresse IP. Votre objectif est-il de motiver ces grands annonceurs, qui possèdent leur propre adresse IP pour l’envoi de leurs campagnes, à vous rejoindre ?
Carmen Piciorus – Oui, absolument. Concernant la feedback loop, nous devrions probablement en faire davantage la promotion. Il y a deux aspects à considérer. Premièrement, il y a la feedback loop liée aux signalements reçus par notre module. Les membres y ont accès. Deuxièmement, il y a la feedback loop des opérateurs. Nous n’avons peut-être pas suffisamment communiqué à ce sujet. Actuellement, nous disposons de la feedback loop de La Poste, d’Orange, de SFR, et bientôt de Gandi, si tout est prêt. Les annonceurs peuvent en bénéficier, mais cela nécessite l’approbation des responsables anti-abus. C’est au cas par cas que les responsables anti-abus de chaque messagerie valident l’accès à leur FBL, après une analyse préalable pour s’assurer que les bonnes pratiques sont bien respectées.
Quelle est l’éfficacité de Signal Spam dans la lutte contre le spam ?
Jonathan Loriaux – Est-ce que signaler des spams est vraiment efficace ? Y a-t-il beaucoup d’internautes qui dénoncent des emails sur votre plateforme ? Si oui, quel est l’impact ? Que se passe-t-il concrètement lorsque des internautes signalent des spams ?
Carmen Piciorus – Signal Spam a été créé essentiellement pour signaler le spam. Après 20 ans d’existence, l’association a élargi ses objectifs et son périmètre au-delà du spam pour répondre aux nouveaux besoins de ses utilisateurs et de ses membres, notamment dans le domaine de la cybersécurité. Nous nous concentrons particulièrement sur la lutte contre le phishing. Il faut savoir que le mail est le principal canal, et d’ailleurs le moins couteux, que les attaquants utilisent aujourd’hui pour voler des accès ou pénétrer un réseau d’entreprises.
Effectivement, de nombreux internautes dénoncent des emails sur notre plateforme. Nous comptons 160 000 utilisateurs qui ont signalé plus de 7 millions de mails au dernier trimestre 2024. Cependant, il est important de préciser que Signal Spam n’est pas un filtre anti-spam ni une solution antivirus, mais une plateforme de collecte, d’analyse et de partage des signalements. Nous partageons ces informations avec les autorités compétentes qui prennent ensuite des actions.
L’effet peut sembler peu visible pour l’utilisateur, ce qui peut être frustrant. Mais il faut comprendre que les signalements servent de preuves numériques aux enquêteurs et aux autorités. Cela permet de prendre des mesures contre les entreprises abusives et de poursuivre les cybercriminels.
Carmen Piciorus – Pour illustrer un effet plus immédiat, prenons l’exemple du phishing. Lorsque les utilisateurs signalent du phishing, cela contribue à l’amélioration des filtres anti-spam et à la détection des URL qui usurpent des marques. Cela permet une protection concrète. Par exemple, nous avons protégé plus de 200 000 utilisateurs qui ont cliqué sur un lien de phishing grâce à notre module.
Nous avons constaté que certains utilisateurs sont plus avertis, mieux formés et plus sensibles au phishing. Ils signalent très rapidement, ce qui permet d’améliorer immédiatement les filtres. Il faut comprendre qu’en signalant, vous protégez les utilisateurs qui sont peut-être moins vigilants. Lorsqu’ils cliqueront sur un lien suspect, une page d’avertissement s’affichera pour les prévenir du danger potentiel.
Nous nous efforçons de sensibiliser les différents acteurs, que ce soient les agences, les routeurs, les éditeurs, mais aussi les marques, les CERT et les banques.
Besoin d'aide ?
Lire du contenu ne fait pas tout. Le mieux, c’est d’en parler avec nous.
Carmen Piciorus – Il est important de noter que certaines entreprises, bien qu’elles n’envoient pas directement de mails, peuvent voir leur identité usurpée par des campagnes de phishing. Souvent, elles ne sont pas au courant car ce ne sont pas elles qui envoient ces campagnes, ni elles qui les reçoivent. Ce sont les utilisateurs finaux qui sont les plus impactés. Par ailleurs, certaines entreprises, par manque de formation, ne se rendent pas compte qu’elles peuvent parfois vendre ou acheter des campagnes de marketing qui ne respectent pas les bonnes pratiques. Le résultat est malheureusement un bombardement de la boîte mail de l’utilisateur.
Qui sont les membres et partenaires de Signal Spam ?
Jonathan Loriaux – Pouvez-vous nous rappeler quels sont les partenaires de Signal Spam du côté des blocklists et des fournisseurs de messagerie ? Dans le milieu de l’email marketing, on sait qu’Orange, SFR et LaPoste.net sont membres, mais il y a peut-être d’autres partenaires moins connus au sein de Signal Spam.
Carmen Piciorus – Effectivement, parmi nos membres, nous avons les principales messageries françaises : Orange.fr, SFR.fr, et LaPoste.fr. Nous comptons également de nombreux émetteurs de mails, que l’on appelle routeurs, tels que Splio, Brevo, Mailchimp, NP6, et bien d’autres encore. Nous collaborons avec des hébergeurs cloud comme OVH, Scaleway ou Gandi. Nous avons aussi des entreprises spécialisées dans le filtrage et la sécurité, comme Vade, Worldline, Caisse des Dépôts, et OpSec Security.
Du côté des autorités et organismes publics, nous travaillons avec la Gendarmerie nationale, la Police, la CNIL, la CNAM, le CNRS, et Cybermalveillance.gouv.fr, qui est un excellent partenaire. Nous avons également des annonceurs comme SeLoger, CCM Benchmark, Groupon, et Leboncoin.
Nous collaborons aussi avec des associations interprofessionnelles telles que DMA France, ECO en Allemagne, et le M3AAWG aux États-Unis. Nous avons également des partenariats avec l’AMF (Autorité des marchés financiers), la DGCCRF (Direction générale de la Concurrence, de la Consommation et de la Répression des fraudes), et bien d’autres encore. Un nouveau partenariat avec le 33700, la plateforme de signalement du smishing (spam ou phishing reçu par SMS) est aussi en cours de développement. La liste complète est disponible sur notre site web.
Quels objectifs pour Signal Spam dans les prochains mois ?
Jonathan Loriaux – Quels sont les objectifs pour Signal Spam dans les prochains mois ?
Carmen Piciorus – Nous avons des objectifs internes et techniques, mais en termes de communication et de résultats visibles, notre principal objectif est d’élargir la catégorie de nos membres. Nous cherchons à nous étendre vers différents secteurs d’activité, car les besoins varient selon les métiers. Nous allons cibler davantage les agences, les marques, les CERT, les banques et les entreprises qui sont peut-être moins sensibilisées au phénomène du spam et de l’usurpation de marques.
Notre focus sera particulièrement sur le phishing. Nous voulons mettre en avant les flux d’information dont nous disposons et qui peuvent être bénéfiques, notamment pour le takedown. Grâce à nos partenariats avec les hébergeurs cloud, nous avons des accords privilégiés pour effectuer le takedown, c’est-à-dire supprimer l’URL ou le domaine qui usurpe une marque.
Nous allons également essayer d’atteindre plus d’utilisateurs en passant par les organisations représentatives des utilisateurs finaux. Un de nos objectifs majeurs est d’obtenir la reconnaissance de Signal Spam comme association d’utilité publique. Ce statut renforcera notre légitimité dans la lutte contre le spam et le phishing, ainsi que dans le partage des bonnes pratiques.
Je pense que c’est un point vraiment important sur lequel nous allons travailler cette année et l’année prochaine.
Les conditions d’accès à la feedback loop de Signal Spam
Jonathan Loriaux – J’ai une autre question concernant les annonceurs qui font de l’email marketing. Lorsque leur routeur est membre de Signal Spam, peuvent-ils espérer avoir accès aux données de la feedback loop ? Ou est-ce que c’est entièrement à la discrétion du routeur, qui décide s’il partage ou non les données de volume de plainte par adresse IP avec ses clients ?
Carmen Piciorus – C’est une excellente question. Le routeur a principalement un rôle éducatif. En tant que membre, il reçoit les statistiques et peut les analyser en fonction de ses clients. Il peut les partager, notamment lorsqu’il y a des problèmes. Les statistiques sont particulièrement utiles pour identifier les pics, les problèmes de plainte, etc. Cependant, le partage des données est une question sensible. Il nécessite généralement un partenariat spécifique avec l’entreprise.
Cependant, le routeur peut utiliser ces données pour éduquer et donner plus de poids à ses arguments. Ainsi, s’il rencontre un client qui a des difficultés, il peut présenter les statistiques. De plus, il peut nous faire intervenir, ce que nous faisons régulièrement.
Pour conclure
Jonathan Loriaux – Est-ce que tu as d’autres choses à ajouter ?
Carmen Piciorus – J’aimerais faire un petit rappel sur le fonctionnement de Signal Spam. Nous proposons des modules disponibles sur les navigateurs et les clients de messagerie, qui permettent de récupérer les signalements. Plus il y a de signalements, plus nous pouvons demander aux autorités compétentes d’agir contre ces campagnes malveillantes et plus les filtres s’enrichissent.
Nous avons souvent la question : « Pourquoi faut-il signaler alors que ma boîte de réception est toujours bombardée de mails indésirables ? » C’est un geste citoyen qui va protéger d’autres utilisateurs. En même temps, en ce qui concerne le phishing, cela nous permet de protéger les marques.
Les entreprises qui sont peut-être moins au courant des outils que nous mettons à disposition peuvent rejoindre Signal Spam, non seulement pour les outils que nous proposons, mais aussi pour la communauté que nous essayons de créer. C’est une communauté qui reste confidentielle, où les échanges sont sécurisés. Parfois, nous partageons des menaces que certaines entreprises ou certains membres expérimentent et nous essayons de trouver des solutions ensemble. C’est aussi un espace de partage sécurisé pour discuter des différentes menaces et problématiques.
De plus, cela permet également de partager des outils. Nous avons une communauté autour des outils que nos membres peuvent partager entre eux, ce qui est très intéressant.
