Ce dimanche 4 septembre, je découvrais dans Boing Boing un post intitulé "Quechup is rotten : don't accept invites". Quechup, réseau social de plus sans intérêt fondamental, y était signalé comme utilisant le carnet d'adresses de ses membres pour recruter : en gros, si vous êtes inscrit, envoi d'invitations à tous vos contacts, sans vous en avertir, mais en faisant comme si vous étiez l'émetteur de chaque invitation. En fait, au vu du nombre de témoignages et de protestations émises par des internautes bernés, depuis début septembre, ce cas de social spamming pourrait bien faire école et mériter un nom à lui tout seul, disons le "quechumming" par exemple, façon un peu spéciale de recruter des potes (chums). Et comme cette nuit, est arrivée dans ma boîte mail une invitation Quechup, voilà ce que ça donne :
Le petit quechumming illustré :
Sous la forme d'une invitation classique (si ce n'est qu'une invitation même classique à rejoindre un réseau connaît parfois la personnalisation par le membre qui en prend l'initiative) la rhétorique est simple dans la tromperie :
- angle d'attaque = attribution immédiate à une personne de votre connaissance : objet du mail, signal de provenance en tête ("XXX" to me), puis attribution de l'acte à cette personne ("XXX" has invited you..."), Quechup apparaissant à ce stade comme le transmetteur. Le nom de la personne attribuée apparaît au total pas moins de 11 fois dans le mail, ce qui est une occurrence dont la fréquence n'est pas "naturelle". Le récipiendaire a tout pour penser que l'invitation est émise volontairement et sélectivement par XXX depuis un formulaire dans Quechup. Ce que semble confirmer le détail du mail :
Si vous êtes dans outlook ou tout client de messagerie sur OS, vous
aurez peut-être jeté un coup d'oeil aux propriétés du message : via
Orange, elles mentionneront dans leur détail "X-me-spamlevel: not-spam".
- à ce stade, l'attribution est un tour de passe-passe : vous connaissez cette personne parce que vous avez correspondu avec elle par mail et que vous êtes dans ses contacts, vous ne savez pas que la liste de ses contacts a été aspirée par Quechup.
- enchaînement : brève identification et réassurance sur Quechup et sa notoriété affirmée ("the social networking platform sweeping the globe", l'étendue et la puissance affirmées du réseau visant un effet de crédibilité et d'attirance), avec réinsertion, dans une incitation, de l'attribution à votre contact ("click here to accept XXX's invite") avant un discours sur les bénéfices. On est ici dans une ergonomie incitative trompeuse car reposant sur une fausse attribution/recommandation. Ce qui peut toutefois mettre la puce à l'oreille à ce stade : l'absence de personnalisation du contenu et le discours surgonflé.
- renforcement et justification : retour argumentatif à l'attribution, avec une couche de plus sur la crédibilité du mail : "you received this because XXX (adresse mail) knows and agreed to invite you". Pourquoi le passage du présent ("knows") au passé ("agreed") ? C'est là que c'est très habile : il y eu à un moment donné un agrément donné par le membre à qui l'invitation est attribuée. Mais cet agrément (énoncé par pétition de principe) ne porte pas exactement sur l'envoi d'une telle invitation... on va le voir. Quant à la connaissance présente de l'envoi ("knows"), associée dans la syntaxe à "l'agrément" à un process, elle est tout bonnement mensongère. Il suffit de poser la question à la personne concernée pour découvrir qu'elle n'a pas personnellement généré cette invitation-là. Mais un agrément donné dans le passé présuppose qu'on a maintenant connaissance et conscience de ce qui est accepté, n'est-ce pas ? Comme cela est bien formulé.
A la soure du quechumming : une option qui vous veut du bien.
Passons de l'autre côté du miroir : vous êtes membre Quechup. Remontons à votre inscription. Cette option qui vous veut du bien, c'est tout simplement une proposition de chercher parmi vos contacts sur un webmail si certains sont déjà membres : avec pour bénéfice induit l'opportunité d'y retrouver des amis et de réseauter. Cette option existe ailleurs (par exemple sur Twitter). Sur Quechup, elle vous est proposée en étape 2 de l'inscription :
Il n'est question que de faire un croisement entre vos contacts et la base Quechup. Il n'est pas dit par quel moyen. Il est explicitement dit que votre nom d'utilisateur email et votre mot de passe ne seront pas conservés (promesse étrange en ce qui concerne votre nom d'utilisateur mail, il fait partie des données que vous avez fournies pour vous inscrire, sans mail valide il n'y a tout simplement pas d'inscription...). Il n'est pas dit du tout que la liste de vos contacts ne sera ni conservée ni utilisée à des fins par ailleurs même pas évoquées. Si vous entrez le mot de passe de votre compte webmail et cliquez sur "continue", que se passe-t-il ?
Vlan : votre liste de contacts est aspirée, puis stockée, ce qui permettra de générer des leads en faisant un faux viral. Une seconde après avoir cliqué sur "continue", vous apercevez un message qui vous fait comprendre que l'aspiration de la liste de vos contacts peut prendre quelques instants : eh oui, c'est maintenant qu'on vous le dit (rapido et pas avec une clarté excessive tout de même)... et c'est là que vous avez donné un agrément -enfin, si on peut appeler ça un agrément. La suite : envoi d'invitations à votre nom (c'est le mail que vous avez vu ci-dessus), à votre insu, et à vos risques et périls.
Les risques du quechumming : pour votre pomme, bien sûr.
- Vos contacts spammés en votre nom = risque d'atteinte à votre image personnelle.
- Des contacts étonnés qui vous posent la question = situation anxiogène pour vous et incertitude sur ce qui peut être fait avec des données qui ont cessé d'être personnelles.
- Des données personnelles stockées à votre insu pour une durée et un usage indéterminés = incertitude accrue.
- Un envoi en masse d'email non sollicités par le chemin de votre adresse mail = risque d'être identifié comme spammeur.
- Des contacts qui s'inscrivent sans se méfier = des contacts qui risquent de servir à leur tour de vecteur viral malgré eux.
- Si vous êtes identifié comme spammeur, vous pouvez être listé comme tel, votre compte gmail (ou autre) peut être suspendu. C'est ce qui est arrivé à un blogueur avec son compte gmail. Et là, le recours est difficile : n'oubliez pas que Google, Yahoo et consorts, ce sont des services gratuits et super-géniaux mais sans interlocuteur humain à qui expliquer ce qui se passe derrière les faits informatiques. Même une hotline surtaxée aurait été appréciée par tous les quechummés.
Voyons maintenant le bon côté des choses :
- Vous avez été trompé par Quechup ? Désinscrivez-vous immédiatement : il semble que la désactivation du compte associé à une adresse mail entraîne l'arrêt du spam en votre nom vers les contacts ; exigez auprès du service l'assurance écrite que vos contacts ont été retirés de leur base (wishful thinking ?). Pour communiquer et lever le risque en termes d'image personnelle, inspirez-vous du billet de Fred Cavazza, par exemple...;). Demandez à quelques-uns de vos contacts de vous signaler tout autre envoi par Quechup.
- Ne répondez pas à une invitation Quechup. Si vous avez répondu, désinscrivez-vous, maintenant.
- Pas de paranoïa superflue : rien ne permet de supposer jusqu'ici que Quechup vende ou communique les adresses ainsi collectées à des tiers, ni ne leur permette une pratique pseudo virale similaire. Pourvu que ça dure.
- En général, envisagez de vérifier avant de répondre à une invitation liée à un site. Faites attention à la rhétorique du mail, décryptez-là. Degré de précision du discours, factualité versus induction, personnalisation de forme ou de contenu, occurrence/fréquence des termes, par exemple. vous pouvez aussi googler un coup (faites l'essai tout de suite avec Quechup, ça vaut 10).
- Inscrivez-vous sur un site de SNW (surtout un émergent) avec une adresse mail "faite pour ça", au carnet de contacts vide. Surtout si vous n'y allez que pour tester. Quitte à la modifier ensuite si vous y restez.
- Vous laissez un double de vos clés sur le comptoir de votre club de gym ? Non ? Alors pourquoi refiler le mot de passe de votre compte webmail (ou de tout autre compte d'ailleurs) à un tiers ?
Mais pas de panique : finalement, c'est moins angoissant que le premier BSOD, non ?
edit 10.09.07 :
Les contacts de votre carnet d'adresse sont-il exploités ou pas après désactivation du mail utilisé lors de votre inscription (soit que vous vous soyez désinscrit, soit que vous ayez modifié votre mail dans votre compte Quechup) ? Testez :
- Contacts existants à date d'inscription : demandez à quelques contacts de vous informer d'un éventuel nouveau mail Quechup.
- Nouveau contacts : ajoutez une adresse test dédiée à vos contacts mail, et voyez si un mail émis par Quechup y parvient. Cela sans changement de mot de passe.
- Si vous avez changé votre mot de passe, ajoutez tout de même une adresse test. Histoire de voir si un process de synchronisation ne nécessitant pas de mot de passe est une hypothèse plausible.
hi5 fonctionne sur le même type. Ca n'est "pas vraiment du spam", puisqu'il demande s'il peut spammer tout votre carnet d'adresses ;) Les petits réseaux sociaux ne savent pas vraiment comment concurrencer myspace ou facebook ;)
Rédigé par : Lars | 10.09.2007 à 15:21
Je ne suis pas allée voir hi5 : s'il est explicitement dit que des mails seront envoyés à tes contacts, en effet ce n'est pas à 100% du spam. Mais si hi5 envoie des invitation à ton nom de façon à ce que tes contacts croient que tu as déclenché l'envoi toi-même, ce n'est pas très honnête... Pour Quechup, cela n'est pas dit du tout, l'action annoncée est juste "vérifier si parmi les contacts de l'adresse mail certains sont membres de Quechup".
Rédigé par : flo | 10.09.2007 à 18:27