Orange a lancé il y a 2 jours une campagne de communication sur internet ou le lecteur du site chaballeduel est invité par SMS à aider le joueur de rugby Chabal à décider de la zone dans laquelle il devrait tirer un penalty de foot.
Je vais essayer d'expliquer ici pourquoi, même si vous n'avez jamais entendu parler de ce site internet, il va être à l'origine d'une augmentation du SPAM par SMS en France dans les prochaines semaines.
Sur le principe, le buzz a sans doute bien fonctionné. Rien que chez wengo, au moins 70% des salariés ont joué le jeu pour savoir quel allait être le dénouement de ce tir au but !
Personnellement je n'aime pas que mon numéro de téléphone mobile circule, alors j'ai décidé de ne pas participer.
Quelle ne fût pas alors ma surprise aujourd'hui de recevoir 3 appels dudit Chabal me demandant où il fallait tirer, puis dans la foulée un SMS laissant croire que quelqu'un voulait contacter un certain enzo et que c'était urgent.
Si je n'avais reçu que les appels de Chabal, je me serais dit que quelqu'un avait renseigné mon numéro sur le site pour me faire une blague ou par erreur. Mais le SMS suivant est trop louche. Ce SMS est forcément lié à la réception des 3 appels précédents.
Il ne faut pas longtemps pour comprendre ce qui s'est passé et si j'avais été un spammeur SMS j'aurais fait la même chose !
La face visible du site :
- visionnage du teasing
- remplissage d'un formulaire avec son nom, son email et son numéro de portable
- réception d'un appel où Chabal nous demande d'appuyer sur un numéro pour savoir où tirer
- Chabal reçoit notre choix et tire là où on a choisi
La face cachée du site :
- un movie flash présente le teasing
- il présente le formulaire à l'utilisateur
- A partir là globablement, il s'agit visiblement d'une solution utilisant le produit estara de www.atg.com
- il vérifie sur un serveur checkPhone.php sans doute avec un vague algorithme que le numéro est syntaxiquement correct. Il vérifie peut être aussi que le numéro est dans une plage de numéro ouverte par un opérateur mobile à l'ARCEP
- il envoie sur un serveur toemail.php des données parmi lesquelles on retrouve email (email saisi) et phone (numéro de téléphone portable saisi). Cet étape sert probablement à envoyer un email de confirmation ou d'inscrire la personne dans la base d'email de l'opération
- il renvoie sur un serveur send.php notamment le numéro de téléphone, qui répond avec une URL permettant de connaître le status de l'appel. Il s'agit probablement du serveur click-to-call qui déclenche le démarrage de l'appel.
- puis il fait des lectures régulières du serveur de status pour savoir où en est l'appel (ringing, hold,..le suivi de l'appel est assez précis).
Donc si j'étais un spammeur SMS, je ferai quoi ? et bien j'irais sur le site de l'ARCEP pour connaître les plages de numéro alloués aux opérateurs mobiles.
Par exemple je prendrais cette décision qui attribue des ressources en numérotation à la société Orange Réunion, numéros de la forme 06 00 51 MC DU.
et potentiellement je peux avoir 10.000 numéros qui commencent par 06 00 51 ciblé sur la réunion (pour l'exemple).
Comment récupérer des numéros actifs parmi ces 10.000 ? et bien c'est simple, je fais un petit robot qui simule la participation à la pub Chabal pour le premier de ces 10.000 numéros et j'observe le suivi de l'appel via le serveur de status. (moins de quelques heures pour un développeur un peu fana de ce genre de choses). Si il y a un décroché, jackpot ! je sais que le numéro est bon !
Avec ce petit robot et une utilisation via des proxies anonymes sur internet pour ne pas trop se faire repérer, les 10.000 numéros sont traités en moins d' 1/2 heure. Et par dessus le tout si les gens ne décrochent pas, mais que les status indique qu'il y a probablement quelqu'un derrière le numéro, j'envoie un SMS pour au moins savoir si le SMS a été lu (on peut savoir çà avec les plateformes d'envoi de SMS).
Conclusion 1: une belle petite base de numéros de téléphone portables actifs pour les spammeurs !
Conclusion 2: mon numéro de portable s'est retrouvé cet après midi dans la base d'un spammeur ! merci Orange !
ps : ce post est écrit dans un but d'information pour alerter sur les risques associés à certaines opération de marketing click-to-call sur internet. Certaines informations ont été volontairement altérées et aucun exemple de code n'est téléchargeable pour mener à bien ce détournement. Même si les données échangées entre les serveurs sont en clair, il est possible que mon analyse rapide ait laissé de côté certains mécanismes de protection qui rendent l'opération légèrement plus complexe que ce qui paraît dans la description que j'en donne.
Comments