Le spam du CNRS

Il y a des moments où la vie est tellement noire qu'il suffit d'un rien pour l'éclairer, par exemple le simple fait d'arriver à la même conclusion qu'un programme. C'est ce qu'il m'est arrivé aujourd'hui.

En relevant mes mails professionnels, je vois la ligne suivante :

Subject: *****SPAM***** Agence de r�servation h�teli�re du CNRS

Le symbole abscons (ou U+FFFD pour ceux qui ne le trouveraient pas abscons) à la place de chaque lettre accentuée est d'origine, j'y reviendrai plus tard. En attendant je m'en vais vous expliquer pourquoi cette ligne fut un rayon de soleil dans ma journée.

Mais d'abord un peu de contexte. Je travaille dans un laboratoire de recherche sous tutelle du CNRS (entre autres), qui a déjà à son actif une charte graphique débile imposée avec un CMS qui n'est pas du tout adapté aux sites web des entités de recherche, à savoir SPIP (mais si le site du journal Le Monde est fait avec ce CMS, il faut que nous aussi nous l'utilisions).

Mais les inepties graphiques du CNRS ne sont pas le sujet de cet article. Récemment l'agence de voyage FRAM a « obtenu le maché » du CNRS. Je ne sais pace que l'expresion « obtenir un marché » voulait dire à l'origine, mais elle semble avoir évolué pour signifier aujourd'hui « être incompétent, sous-dimensionné et incompétent mais devenir le passage obligé des gens en face ». En clair, quelque soit le déplacement professionnel on est obligés de passer par eux pour le transport et le logement.

Et donc, pour essayer d'avaler ce morceau manifestement trop gros pour eux, ils sont mis en place un système informatisé, ou chacun se retrouve avec un compte et un mot de passe personnel. Et bien sûr, ils envoient à chacun ses identifiant par e-mail. Sauf que voilà, ils ont fait ça comme des truies, avec un mépris des standards (dont la RFC 2821) encore plus grand que celui de Microsoft, et c'est pas peu dire. Ils ont donc, sans crier gare, procédé à un envoi en masse d'e-mails non sollicités. Moi j'appelle ça du spam, ou à la limite du pourriel.

Et ils ont récidivé, pour une raison que j'ignore (parce que je ne lis pas le contenu des spams), mais cette fois-ci SpamAssassin ne s'est pas fait avoir, d'où l'ajout de « *****SPAM***** » au sujet. Alors j'ai regardé le détail, et je partage complètement les griefs de SpamAssassin :

  • NO_REAL_NAME : la ligne From: ne contient qu'une adresse, mais pas de nom. Déjà ça, ça fait sale, mais s'il n'y avait que ça, j'aurais pu fermer les yeux dessus.
  • SUBJ_ILLEGAL_CHARS : il y a des caractères non-conformes dans le sujet. Vous vous souvenez de ces caractères abscons dans la ligne que j'ai citée au début de cet article ? Le standard nous vient des États-Unis, et n'autorise que les caractères non-accentués pour des raisons historiques. Mais malgré l'obsolescence et malgré le chauvinisme, je trouve ça plutôt gonflé que des gens qui ne respectent pas un standard veuillent nous imposer de respecter leur procédure. Il y a des standards pour faire passer des caractères accentués dans les sujets dans mails, notamment le Quoted printable.
  • MIME_HTML_ONLY : le message ne contient que du HTML, et pas de version texte. C'est vrai, le HTML c'est super-beau, et en plus ça permet d'insérer des bandeaux publicitaires, comment imaginer que quelqu'un puisse s'en passer ? Ben moi je m'en passe très bien, merci. Je suis un dinosaure qui préfère le mode texte, et les rares fois où je suis d'assez bonne humeur pour lire un mail HTML, c'est le source que je lis, en mode texte. Alors quand c'est du HTML qui n'apporte rien au message en lui-même, même pas de mise en forme, et qu'en plus le source est complètement illisible, et si ça se trouve il n'est pas valide (il faudra que je vérifie) ça refroidit vraiment.
  • HTML_MIME_NO_HTML_TAG : il s'agit d'un message en HTML qui n'a pas de tag html. Pour information, ce tag html est supposé être l'indicateur qu'on fait face à du HTML, donc concrètement ils crachent du HTML sans même prévenir que ce n'est pas du texte normal.
  • Le « sujet » n'est pas un sujet : évidemment SpamAssassin ne réagit pas à ça, faut de comprendre le français. Le « sujet » d'un e-mail, c'est la même chose que l'« objet » dans un courrier papier. Il suffit de regarder de temps en temps ses mails pour en comprendre l'intérêt : c'est un résumé du message, qui permet de se faire une idée du contenu lorsqu'on parcourt la liste des messages qui sont arrivé. « Agence de réservation hôtelière du CNRS », on peut le prendre comme on veut, ça ne décrit aucun message sensé. Donc il faudrait déjà pousser le sens du sujet d'un mail pour comprendre cette ligne, mais alors elle serait comprise comme du contenu qui a un rapport avec cette agence, peut-être pour me demander de faire quelque chose avec ladite agence. Le contenu de ce message ne correspond bien sûr pas du tout ça.

Donc c'est envoyé comme du spam, ça ressemble à du spam, ça a l'odeur du spam, et ça énerve autant que le spam. Bref, c'est du spam. Même quelque chose d'aussi stupide qu'un programme s'en rend compte. Ça me plairait bien que ce message contienne une information « importante » et qu'une bonne proportion des destinataires ignore son existence.

J'ai presque envie de chercher quelle entité est à l'origine de ces messages, et si elle dépend du CNRS ou de FRAM ; et ensuite de porter plainte. Il y a là un envoi massif d'e-mail non-sollicités, et aucun lien ni aucune option pour se désinscrire de leur base de données. Sans compter le fait que je me suis retrouvée sur cette base de données sans mon consentement, donc y a peut-être aussi moyen d'embêter le CNRS avec ça.

Voilà donc un article complètement inutile, qui ne va sans doute rien changer, et qui ne sera probablement lu par personne qui a un rapport de près ou de loin avec cette situation. Ça fait encore baisser le CNRS dans mon estime (il entame la roche), mais je n'avais pas besoin de ça pour vouloir me barrer ASAP. Enfin, parfois ça fait du bien de gueuler un peu, fût-ce par l'intermédiaire d'un clavier.

Publié le lundi 18 juin 2007 à 17:35.

Catégorie(s) : Boulot Diatribes

Commentaires

1. Le mardi 19 juin 2007 à 1:56, par Martin :

Je ne suis pas tout à fait d'accord avec toi sur cette analyse. Bon, certes, SPIP est sans nul doute l'un des CMS les moins adaptés à la publication de sites web sur le web. Enfin, c'est le côté "je date de Mathusalem et pour ainsi dire personne ne me maintient, bref, je suis un projet mort quelques semaines après ma naissance" qui me fait dire ça, n'ayant jamais réussi à l'installer. Oui, bon, sans doute suis-je jaloux, utilisant plutôt WordPress ou encore b2evolution sur mes sites, et qu'au lieu de me remettre en question (bref, je suis un informaticien totalement incompétent), je préfère rejeter la faute sur les autres (surtout s'ils ne sont pas là pour me tenir tête, c'est d'autant plus facile).

Néanmoins, là où je ne suis pas d'accord avec toi, c'est l'analyse qui t'a conduit à vouloir "dénoncer" l'agence de voyages du CNRS comme spammeur. En effet, sachant qu'un contrat a été passé entre le CNRS et cette agence de voyages, et que c'est ton adresse email professionnelle qui a été utilisée dans un cadre relatif à tes fonctions, la loi française ne le considère plus comme spam.

Maintenant, que leurs pratiques commerciales et leurs compétence technique soit douteuse, c'est un autre problème.

Pour ma part, je préfère autant que possible ne pas avoir à m'amuser avec les emails : c'est l'un des domaines les plus complexes à gérer qui soit. En effet, pour des raisons historiques, le protocole mail ne certifie absolument pas l'expéditeur, ni l'intégrité du message. Ce sont des solutions additionnelles, des pseudo-patches plus ou moins reconnus, qui définissent la qualité de spam ou non d'un message, et les résultats sont plus ou moins heureux...

2. Le mardi 19 juin 2007 à 10:25, par Natacha :

Ah tiens, l'autodévalorisation qui hante ce site a même contaminé les commentaires ;-)

Je n'ai pas assez utilisé SPIP pour le juger, mais il est clairement conçu pour faire des sites de type « magazine », où tous les « articles » sont au même niveau hiérarchique, et les autres niveaux ne sont que des sommaires. Et ça, ce n'est pas du tout adapté à la création d'un site composé principalement de pages statiques (les sujets changent rarement) qui subissent de petites mises à jour de temps en temps, avec des créations de pages très rares, et le tout dans une structure très hiérarchisée (on ne peut pas mettre au même niveau la présentation du laboratoire, la présentation d'une équipe et la présentation d'un sujet de stage de deux mois). Les quelques défauts que j'ai constatés sont peut-être plus l'œuvre du design du CNRS que de SPIP, par exemple c'est bien gentil de proposer des structure qui float au sens CSS, mais sans aucun moyen de clear ça devient vite innommable.

Quant à la classification du spam, je dois avouer que je suis ne pas très au fait des lois. J'en étais restée à la définition basique du spam, simplement les e-mails non-sollicités envoyés en masse ; je ne savais pas que dans le domaine professionnel on pouvait utiliser la CNIL comme un paillasson. De même que jusqu'à il y a quelques jours, je ne savais pas que ma politique de conservation des logs Big Brother était en fait obligatoire d'après la loi.

Comme je l'ai dit sur un autre blog, j'ai des tendance « Grammar Nazi », et comme je l'ai plus ou moins dit ici, je ne me sens pas obligée d'écouter quelqu'un qui ne respecte pas le protocole de base. Le fait que ça laisse sur le carreau un paquet de spam n'est qu'un effet secondaire. Je veux ajouter une option « se souvenir de moi » dans les commentaires de ce blog, je lis la RFC 2109. Je veux ajouter un fil atom, je lis la RFC 4287. Encore si c'était des normes qui coûtaient les yeux des fesses à obtenir, je ne dis pas, mais les RFC sont accessible publiquement. Et dans le domaine du mail, il y a assez de MUA et de MTA de qualité pour ne pas avoir besoin de se soucier du standard, sauf lorsqu'on est un spammeur qui veut maximiser son débit de mails quitte à violer le standard.

Ce qu'il manque à ce monde, c'est un peu de rigueur.

3. Le mardi 19 juin 2007 à 12:04, par Martin :

On ne peut pas se servir de la CNIL comme d'un paillasson, dans le domaine professionnel. Mais on peut contacter un interlocuteur professionnel sans que celui-ci n'ait sollicité ce contact, par exemple contacter le responsable informatique sans connaître son nom, en envoyant un email à admin@example.com ou webmaster@example.com. On le fait déjà r courrier classique ou par téléphone pour tenter de vendre des services les plus divers aux professionnels ciblés. Tant que ces messages restent ciblés et visant des individus particuliers, du fait de leur fonction, le contact à titre professionnel est désormais autorisé. Cela ne permet pas pour autant de spammer tout le monde sous ce prétexte.

Pour ce qui est de la rigueur, en manque-t-on réellement dans ce monde ? Est-ce de la rigueur dont on manque ? En tant que perfectionniste (car tu donnes l'impression d'en être une), il est logique que tu exiges de toi-même, et par conséquent des autres ("ne fais pas à autrui ce que tu n'aimerais pas qu'on te fasse" peut être retourné dans tous les sens et doit être valable ; j'ai remarqué qu'un perfectionniste, en tant que tel, applique cet adage à lui-même et s'attend à ce que les autres en fasse de même), une rigueur exemplaire. Cependant, le risque est de devenir psycho-rigide et d'exiger l'application de normes dont seuls quelques uns (j'exagère, c'est voulu) connaissent l'existence, peu lisent et encore moins comprennent.

Récemment, j'avais reçu l'email d'un responsable marketing d'un service pour lequel je me suis inscrit au programme d'affiliation. Jusque-là, pas de souci, car cet email est tout à fait sollicité, du fait même de mon inscription au programme. Mais cette fois-là, le responsable avait fait une bourde : il avait mis dans le champ "To:" de l'email la liste de l'ensemble des affiliés. Bref, outre les risques de voir l'adresse de chaque affilié spammé par la suite (du fait de la propagation dans des boîtes aux lettres indéterminées de son adresse email, la laissant à la mercie des vers et autres virus), il donnait à ses concurrents potentiels la liste des apporteurs d'affaires de ce service, leur laissant le champ libre pour une éventuelle concurrence déloyale. Pire : une petite vérification rapide m'avait permis de voir un autre problème : le nom de domaine n'était pas protégé par un mécanisme d'authentification de type SPF/SenderID, ni Yahoo! Domain Keys, ni aucun autre mécanisme similaire. Bref, un concurrent déloyal pourrait alors utiliser la base des affiliés pour les contacter en prétendant être un responsable du site en signant de manière identique à ce dernier, sans que les destinataires aient la possibilité d'identifier aisément le problème.

Bref, outre exprimer poliement mon mécontentement, j'ai signalé ces quelques problèmes à l'expéditeur. Il s'était poliment excusé, me remerciant des quelques conseils prodigués. Peut-être qu'au lieu de râler ici sur un blog vaguement anonyme, pourrais-tu remonter le problème au responsable informatique de ton la, à la direction informatique du CNRS, ainsi qu'au prestataire diffusant la mailing, et encore à l'agence de voyages ? Ce serait certes moins défoulant, comme démarche, mais certainement beaucoup plus constructif ?

Car mine de rien, nous commettons tous des erreurs, que nous soyions perfectionnistes ou non. Bien sûr, on pourrait parler de la lecture des standards, de leur application. Cependant, malgré toute ta bonne volonté à ce faire, tu tapes régulièrement sur ce blog des espaces non séquables (" ") comportant des coquilles. Si toi, tu as droit de faire des erreurs, d'autres le peuvent aussi, non ? Il paraît que l'erreur est humaine. L'humilité, le pardon le sont sans doute tout autant... ;-)

4. Le mardi 19 juin 2007 à 15:38, par Natacha :

Qu'on puisse envoyer à un professionnel un e-mail non-sollicité ne me pose pas de problème, et d'ailleurs un e-mail personnel non-sollicité non plus. Mais jusqu'à présent je n'ai parlé que d'envoi d'e-mail non-sollicité en masse, et le côté massif me semble aussi nécessaire que le côté non-sollicité pour que je considère un e-mail comme du spam. Donc une mailing-list (envoi en masse) ou un e-mail professionnel non-sollicité mais « ciblé » ne relèvent pas à mon avis du spam. L'e-mail à l'origine de cet articile a été vraisemblablement envoyé à tous les « agents CNRS » ce qui constitue son caractère massif. Même si je donne l'impression de jouer sur les mots, il me semble que cette distinction est importante. Mais si la loi autorise l'envoi en masse d'e-mails non-sollicités à des professionnels, je m'incline.

Bon, c'est vrai que mon commentaire sur la rigueur était un peu exagéré. Le meilleur des mondes décrit bien les méfaits de l'excès de rigueur. Je suis consciente de mes tendances perfecetionnistes, et pourtant je suis copieusement plus tolérante envers les autres qu'envers moi-même, mais il y a des limites à tout, y compris à ma tolérance. C'est bien pour ça que j'ai fait une différence entre les standards faciles à suivre, comme le SMTP avec sa quantité d'implémentations existentes, et les normes exhorbitantes et dont on ne connaît pas toujours l'existence.

Je suis aussi consciente de la futilité d'une gueulante sur un blog dont je peux compter sur mes doigts le nombre de visiteurs. Comme dit, ça soulage, mais je m'en voudrais de ne pas au moins essayer de faire avancer les choses, même si je suis convaincue que ça ne servira à rien. J'ai fait remonter mes commentaires (polis) avec des propositions d'amélioration sur le design CNRS et le CMS au responsable informatique local. Autant dire que j'ai prêché un converti, et il m'a même lâché quelques anecdotes sur le CNRS et l'informatique. Il me semble qu'il a fait suivre mon mail, mais de toute façon pour ce que ça change... Le problème fondamental c'est que le CNRS a une structure féodale, et tout en haut de la hiérarchie il y a des gens qui n'ont aucune notion de l'informatique et qui sont encore pires que moi en webdesign (si si c'est possible), résultat ils prennent pour argent c que leur donnent leurs experts autoproclamés. Pour le problème de mail qui est l'objet de cet article, je n'ai encore rien arce que je n'ai pas encore réussi à déterminer à qui il faut s'adresser, car il peut s'agir du CNRS en général, ou d'une structure dédiée qui dépend du CNRS, ou de l'agence de voyages, ou d'un de ses sous-traitant, ou d'une entité tierce (cette dernière possibilité étant suggérées par un whois du domaine de l'adresse du "From:"). Mais comme tout ça, ça soulage beaucoup moins que quelques mots crus sur un blog, j'ai aussi posté ça ici, en annonçant clairement la couleur par la catégorie Diatribes (ok, ce n'est pas si clair, parce qu'il faut la trouver, la catégorie, mais c'est juste parce que le design est mauvais).

Je sais que je fais aussi des erreurs, et quelque part je préfère presque trouver une erreur qu'avoir l'impression que c'est parfait, parce que rien n'est parfais, mais corriger une erreur donne la satisfaction d'avoir progressé. D'ailleurs, merci d'avoir pointé le &nsbp;, et aussi d'avoir pointé l'oubli de l'échappement de l'esperluette dans le commentaire avec « N&B » (résultat cette fois-ci ça a fait «   »). Mais sérieusement, combien as-tu vu de   écorchés ? Probablement qu'un seul, alors que j'en ai publié (mais corrigé entretemps) des dizaines, et si je n'avais pas des doutes sur le support de U+00A0 par certains navigateurs, je ne troucherais plus à cette entité si pénible à taper. Et je n'ose même pas demander combien de balises mal-fermées et de href écorchés... Il faudrait que trouve un moyen de vérifier les textes avant leur publication.

L'humilité, je crois que j'ai explosé mon quota avec cette autodévalorisation systématique, mais il y aura inévitablement des tirs perdus en essayant de lutter contre cette dernière. Quant au pardon, là oui, j'ai du boulot, et je crois que l'exemple final de Voir sans regarder va dans ce sens...

Enfin merci pour tous tes commentaires de qualité, c'est tellement plus intéressant que la quantité.

5. Le mardi 19 juin 2007 à 21:25, par Martin :

Je crois que nous avons fait le tour des principaux sujets abordés. Aussi, en marge, pour ce qui est de l'éditeur texte, je t'invite à regarder du côté de TinyMCE, FCKEditor, RTE/tinyRTE qui te permettront de rédiger sans trop de mal la plupart de tes articles, voire d'y insérer aisément des éléments additionnels, dans quel cas mieux vaut protéger l'accès à ces éditeurs par un mot de passe (au niveau du serveur web, de préférence), de sorte à éviter qu'un petit malin s'amuse à télécharger ou à effacer ces documents additionnels en "tapant en dur" dans les scripts... (Cela m'est déjà arrivé sur un site...)

Pour ce qui est des espaces non sécables, j'ai l'impression qu'un filtre automatique à l'affichage de l'article, ou encore au moment de sa publication permettra d'éviter d'en oublier, tout en respectant les règles typographiques en rigueur en français...

6. Le dimanche 24 juin 2007 à 7:14, par Mishi (iZSH19C3tpKGsNwdjSf8) :

Tadaa ! Mishi arrive pour servir les aspirines o/ (juste pour dire que j'ai pas compris grand chose de manière humoristique et faire un pouet à Nat)

Copyright © 2007-2008 Natacha Kerensikova