Edition du 26/11/2003 - par Marc Olanié

La Chambre des Représentants vient de faire passer le projet de loi « Can Spam » ( Controlling the Assault of Non Solicited Pornography and Marketing Act), un texte destiné à « limiter et contrôler » les actions de marketing direct via courrier électronique. Sans entrer dans les détails, ce texte se positionne en net retrait par rapport à certaines dispositions d'Etat, notamment celles en projet en Californie. La loi Fédérale (qui doit encore recevoir une approbation du Sénat et de la Présidence) repose en effet sur « l'opt out », le désabonnement après coup, laissant aux hordes de marchands de soupe la possibilité de continuer de corrompre les réseaux de messagerie d'entreprises et de particuliers avant que leurs victimes aient la possibilité de se protéger. En muselant très partiellement les officines de pourriel et en en définissant légalement le fonctionnement, le gouvernement américain officialise l'usage abusif des envois de courrier non sollicité. L'administration Bush donne ainsi un coup d'arrêt à toute tentative de défense ou de contre-attaque de la part des usagers du courrier électronique.

Microsoft en tête ne pouvait qu'officiellement approuver une telle disposition, étant à la fois prestataire de service de « marketing direct à investissements déportés » via MSN, et fournisseur de logiciels bureautiques intégrant des outils de filtrages. L'augmentation du crime profite avant tout aux marchands d'armes, et les 17 milliards de dollars de « perte » estimée provoqués par cette plaie publicitaire ne se subliment pas nécessairement. Il faut bien que les dépenses de R&D nécessaires au développement de SmartScreen puissent un jour être amorties.

Dans l'ensemble, la dialectique du texte de loi utilisé a été étudiée afin de laisser les coudées franches aux entreprises et aux organismes souhaitant s'engraisser sur le dos des usagers d'Internet :

- La réclame devra nécessairement pointer vers une adresse de courrier ou une URL permettant de se désabonner ... mécanisme opt out, contraire aux décisions de la Commission Européennes... on est manifestement au coeur d'une bataille aussi économique que politique internationale.

- L'adresse d'origine de devra pas être falsifiée et il sera interdit, pour l'émetteur, d'utiliser plus de 5 alias différents ou plus de deux noms de domaine différents obtenus en délivrant de fausses informations au registrar (sic). Rien n'est spécifié à propos de société holding américaines supervisant des satellites opérationnels depuis les pays d'Afrique, comme cela se pratique de plus en plus. Nulle précision n'est apportée sur les moyens de rétorsion utilisables à l'encontre des contrevenants à « domiciliation mouvante » qui n'ont cure de ce genre d'interdit.

- La « moisson d'adresse » -le pillage des alias situés sur le Web, les automates de détermination de nom etc- est légalement punie. Nulle allusion n'et faite quant à un éventuel contrôle portant sur l'achat de fichiers de contacts commerciaux, tels que ceux d'origine chinoise (fichiers qui sont, doit-on le préciser, le fruit d'un pillage électronique permanent)

- Bien entendu, les courriers de « retape » à caractère pornographique devront s'identifier comme tel... déclaration faussement courageuse, aussi fumeuse que fumiste : les spammeurs savent fort bien, et depuis longtemps, « identifier » un courrier clairement et faire en sorte qu'il parvienne tout de même à passer les filtrages les plus performants ou semer le doute des meilleurs algorithmes bayesiens.

- Enfin -jamais texte ne fus plus favorable à interprétation-, il est interdit de faire appel à des intitulés de message pouvant prêter à confusion. Une définition qui risque d'enrichir des générations d'avocats pour les siècles à venir

L'ensemble de la presse US, de C-Net à eWeek, s'accorde à penser que les règlementations d'Etat seront oblitérées par ce texte fédéral. Plus grave encore, cette officialisation de l'opt-out et ce pseudo épouvantail qui ne peut inquiéter les entreprises « off shore » vient battre en brèche tout le travail effectué jusqu'à présent pas la Commission Européenne. Vérité en deçà des Pyrénées, mensonge au-delà... reste qu'en matière de trafic réseau, ces Pyrénées ne sont que virtuelles et que rien ne vient protéger nos boites de réception de l'invasion des vendeurs de viagra de la « cote ouest ». Le projet Can Spam mérite bien son nom, texte ambivalent dont tout, jusqu'à l'intitulé, est étudié pour prêter à confusion. Le terme « can », en américain, signifie aussi bien « coller en prison », « mettre en conserve », « enfermer dans une boîte métallique » que « permettre », « autoriser » ou « être capable de ».


Combats de crapules

Face à ce blanc seing offert aux faisans du commerce en ligne, commence à se monter des mouvements radicaux, qui n'hésitent pas à sombrer dans la guérilla et l'action directe. C'est ce que relate Jan Libbenga du Register : un groupe de « bloggers » hollandais s'est mis à piloter une succession d'attaques en déni de service à l'encontre d'un spammer réputé, lequel à son tour n'a eu de cesse de vouloir « tuer » ces trublions empêcheurs d'escroquer en rond. C'est une sorte de règlement de compte à OK Coral, peu élégant et certainement vain. Ne perdons pas de vue que, même sans tromperie sur la marchandise, la retape publicitaire via smtp repose essentiellement sur l'argent du destinataire, lequel « achète » un droit d'accès et une bande passante dont l'usage est usurpé par les « spammeurs » et autres « télémarketeurs ».

Sophos, l'éditeur d'anti-virus, relate même dans un communiqué la triste histoire d'un californien qui, excédé par les agissements d'un de ces harceleur professionnel d'origine canadienne, est soudainement sorti de ses gonds et s'est mis à proférer des menaces de mort à l'adresse de ses persécuteurs. Non content d'avoir littéralement brisé la quiétude d'un particulier, les canadiens l'on poursuivi en justice... Libéré sous caution de 75 000 dollars, la victime encoure une peine de 5 ans d'emprisonnement et 250 000 dollars d'amende. L'histoire aurait débuté avec un programme téléchargé « par erreur » et qui aurait miné la machine de l'intéressé, la transformant en un véritable aimant à pourriel. Tout ceci est un peu confus et doit être pris avec toute la prudence qui s'impose... la « victime » serait informaticien dans le civil, et l'on imagine mal une personne « du sérail » incapable de tuer un spyware avec un outil adéquat, voir en « mettant directement les doigts » dans la base de registre. Il est un détail encore plus étrange. Si l'on s'appuie sur un article de MSNBC relatant l'histoire en détail, l'on se rend compte que le persécuté, Charles Booher, est un homme de 44 ans résidant à Sunnyvale. Et il semblerait que ce soit également la même personne qui ait du s'expliquer avec la justice californienne en 1998 pour avoir utilisé un programme de cryptage 128 bits à une époque ou une telle longueur de clef était strictement interdite. L'équivalent d'un mandat d'amener/convocation au tribunal avait été émis à l'époque par l'USDC de Californie. ( Document en « cache Google » à l'heure ou nous rédigeons ces lignes). Déjà, à l'époque, les « crypto-gangers » de Santa Cruz militaient en faveur de mécanismes « forts » et ne passaient pas la nuit au bloc pour autant.

Sophos, dans un excès de pudeur, n'ose citer le nom de l'entreprise canadienne responsable de tant d'iniquité. MSNBC ne s'encombre pas de tant de précautions : il s'agit de Douglas Mackay, président de DM Contact Management, qui travaille pour le compte de Albion Medical, entreprise spécialisée dans la fabrication du « Only Reliable, Medically Approved Penis Enhancement. ». Si le « capital chance » de Booher peut être mis en doute, la partie adverse, en revanche, est véritablement aussi nauséabonde qu'elle semblait l'être au début de cette histoire.