Expert | Comment protéger votre réputation d’expéditeur d’une attaque de mailbombing ?

Publié par Mathieu Bourdin dans Délivrabilité & Réputation 16 mars 2021 Temps de lecture : 3 min

Dolist, précurseur en matière de délivrabilité, ne cessera d’insister sur l’importance capitale de disposer d’une base de données de qualité pour assurer votre réputation d’expéditeur. La clé bien sûr est la mise en place d’une collecte la plus qualitative possible, respectueuse des obligations légales comme des bonnes pratiques.

Malheureusement depuis plusieurs années, les points de collecte et formulaires se voient victimes d’un type d’attaque insidieux et potentiellement très dommageable : le subscription bombing, connu également sous d’autres appellations comme le mailbombing, le listbombing ou encore le form abuse.

Le subscription bombing ou comment saturer les boîtes de messagerie des utilisateurs

Avec nos vies de plus en plus numériques, la boite email d’un internaute est devenue le point de convergence d’un grand nombre d’informations critiques. Au-delà de nos communications privées, nos accès bancaires, nos abonnements divers, nos procédures administratives, tous ont pour point commun d’être associés à un ou plusieurs comptes de messagerie email.

Lorsqu’une anomalie apparait, par exemple relative à votre banque, c’est souvent via ce canal que vous serez prévenu en priorité et que vous pourrez donc réagir pour confirmer (ou non) être victime d’une tentative de piratage informatique.

Pour gagner du temps dans le déploiement de leurs attaques, les acteurs malveillants se sont mis à cibler les comptes emails de leurs victimes pour les rendre inopérants. Pour cela, ils utilisent la technique du flood (inondation en argot internet).

Avec l’aide de robots, ils inscrivent l’adresse email sur de multiples points de collecte, tels que les formulaires, et ce, de façon très rapprochée. Résultat : les courriers légitimes avertissant de l’incident sont noyés parmi un paquet de données inutiles et ne peuvent plus être traités. Le compte peut même être fermé ou suspendu par le fournisseur de messagerie.

À quels risques de cyberattaque êtes-vous exposés ?

Si votre formulaire de collecte est utilisé ainsi, vous risquez de devenir à votre tour victime de cette pratique. Pire, si vous n’avez pas mis en place de procédure de double optin, ou au moins un welcome process écartant les inactifs, vous allez alimenter votre base de données avec des contacts qui n’ont pas réellement demandé à recevoir vos messages. De multiples problèmes peuvent alors survenir :

  • L’utilisateur pourra arguer d’un non-respect des dispositions du RGPD, il vous reviendra alors de prouver que l’inscription était conforme.
  • Si le contact continue d’être sollicité alors qu’il n’a pas d’intérêt pour vos communications, il sera peut-être amené à les signaler comme spam, impactant votre réputation d’expéditeur.
  • Si le nombre d’adresses sollicitées ainsi sur un même opérateur est important, vous pouvez être considéré comme une source de risque pour leurs utilisateurs, et vos communications peuvent alors se retrouver bloquées pour une période indéterminée.
  • L’illusion d’une croissance : vous verrez votre volume de base de données (et les coûts associés) augmenter, sans espoir de voir votre chiffre d’affaires suivre la même progression puisque les utilisateurs visés sont souvent sur des marchés complétement éloignés (géographiquement comme démographiquement) de vos offres.
  • Enfin, et c’est un des points les plus critiques, certaines des adresses entrées de force de cette manière peuvent être des adresses pièges utilisées par des organismes de filtrage pour repérer les expéditeurs dérogeant aux bonnes pratiques. La sollicitation de ce type d’adresses peut gravement et rapidement impacter votre délivrabilité email sur les domaines utilisant ces filtres.

Comment vous protéger d’une attaque de mailbombing ?

Tout d’abord, il vous faut recenser l’intégralité de vos sources et points de collecte pour savoir lesquels peuvent être concernés par ce risque. Il s’agit en priorité des formulaires d’inscription, des formulaires de demande de devis ou de contact.

Il ne faut pas également oublier les points de collecte gérés par des entités extérieures (prestataires, partenaires) mais qui alimentent tout de même votre base de données de contacts.

Une fois l’inventaire établit, voici les protections qui devraient être mises en place pour limiter l’impact des robots utilisés pour inscrire ces adresses :

  • Mettez en place un captcha: c’est la parade la plus directe, puisque le rôle d’un captcha est d’identifier les robots pour les empêcher d’agir. Afin de limiter les nuisances pour les utilisateurs réels, l’idéal est d’utiliser un système comme le recaptcha de Google qui ne va demander une intervention utilisateur que dans certains cas, et rester invisible la majorité du temps.
  • N’utilisez pas des noms de champ « évidents » dans le code de votre formulaire (comme « firstname » « address » « phonenumber » etc…) afin que certains robots assez basiques soient incapables de remplir le formulaire efficacement.
  • Intégrez la double saisie de l’adresse email, qui peut ne pas être gérée par certains robots
  • Intégrez un champ caché piège dans votre formulaire pour tromper le robot
  • Plus technique, mais très efficace : si vous êtes en mesure d’associer une inscription à une adresse IP de connexion, vous pouvez mettre en place des limitations sur ce critère. Rejetez les inscriptions en provenance de services de type « cloud computing » ou d’infrastructures étrangères à votre marché (Russie, Asie…). Limitez le nombre de contacts autorisés à 2 ou 3 par adresse IP et par heure (la plupart des robots ne vont pas s’y retenter s’ils sont repoussés la 1ère fois).
  • Mettez en place un double optin: même si cela n’empêchera pas l’envoi du 1er message, cela évitera au moins de laisser entrer dans votre base de contact des adresses qui pourraient causer des problèmes de délivrabilité dans le futur. De plus, la qualité globale de votre base de contacts ne pourra que s’améliorer avec ce dispositif (réduction des taux d’adresses inutilisables, meilleure conformité aux bonnes pratiques).

Nous le constatons, les attaques informatiques sont de plus en plus ingénieuses et omniprésentes. Vous faites de votre mieux pour limiter les risques, mais parfois par manque de temps ou simplement de connaissances, la vigilance s’amenuise. Chez Dolist, nous accompagnons nos clients depuis plusieurs années sur leurs problématiques de délivrabilité emailing, et notre tout dernier livre blanc sur le sujet devrait pouvoir vous intéresser et vous aider à y voir plus clair !

Livre blanc Délivrabilité E-mail Marketing & Réputation

Sur le même sujet...