Le parcours du combattant Signal-spam

J’ai évoqué récemment sur Twitter les méthodes très douteuses de Photoweb, qui envoie (entre autre) des newsletters à ses clients alors qu’ils ont bien précisé ne pas vouloir en recevoir (et qui l’explique tranquillement dans sa réponse). On me demande s’il existe un moyen de dénoncer ce genre de démarche ; je me dis que ça vaut le coup de jeter un œil.

Une recherche rapide sur Google me renvoie vers le site de la CNIL. Après une succession de pages plutôt bien conçues, un message m’indique que la commission ne s’occupe plus de ce genre de choses et me renvoie vers le site de l’association signal spam. Je me rend sur leur site.

Je clique sur le gros bouton rouge de la homepage Signaler un spam et je suis redirigé sur cette page :

Il faut créer un compte pour pouvoir signaler un spam. Disons-le clairement, ça commence très mal : pourquoi doit-on impérativement créer un compte ? Pourquoi ne peut-on pas par exemple transférer le spam reçu directement à une adresse e-mail dédiée ? La réponse cette question est dans la FAQ :

Pour signaler un spam, un simple transfert d’e-mail ne suffit pas car il devient impossible de récupérer les informations techniques nécessaires à l’identification du spammeur.

Le moins que l’on puisse dire est que cette réponse n’est ni claire ni satisfaisante. Selon la FAQ toujours, voici la raison pour laquelle la création d’un compte est obligatoire :

Comme la grande majorité des services en ligne, Signal Spam demande aux utilisateurs de s’inscrire afin d’éviter les signalements anonymes en masse, pour des questions évidentes de sécurité et de fiabilité du système. Par ailleurs, l’inscription permet également à l’utilisateur de garder un historique des signalements effectués, à travers son espace personnel en ligne.

Décortiquons ce paragraphe :

Comme la majorité des services en ligne : comme ma maman disait, “si tout le monde se jetait d’un pont tu en ferais autant ?”

Afin d’éviter les signalements anonymes en masse : vos utilisateurs n’ont pas à subir les conséquences de vos problèmes.

Pour des questions évidentes de sécurité et de fiabilité du système : en quoi ces raisons seraient-elles évidentes ?

Garder un historique des signalements : ce n’est pas une raison valable pour imposer la création d’un compte client.

Je le dis clairement : si je n’avais pas eu l’intention d’écrire une note au sujet de ce site, j’aurais abandonné là.
J’ai déjà perdu pas mal de temps à chercher comment signaler un spam, je n’allais pas en perdre davantage en m’infligeant la création d’un énième compte client.

J’ajoute que le lien Créer un nouveau compte gris clair sur fond blanc est quasiment invisible : pourquoi ne pas l’avoir mis en valeur ? Pourquoi ne pas avoir ajouté un lien sur le texte vous inscrire pour continuer qui se trouve dans l’espèce de message d’erreur au dessus ? Bref, je fais court, il y a encore tellement à dire.

Je clique sur le lien Créer un nouveau compte et l’amusement continue. Voici le formulaire que l’on me demande de remplir.



Rien de tel qu’un formulaire interminable pour donner envie de s’inscrire !
 D’autant que son contenu mériterait lui aussi une révision :

• On me demande un “nom d’utilisateur” : pourquoi ne pas utiliser mon adresse e-mail comme identifiant ? Si demander un nom d’utilisateur dans le cadre d’une démarche de pseudonymat (par exemple) a du sens, je ne vois vraiment pas l’intérêt ici.

• Il faut saisir l’adresse e-mail deux fois, il faut saisir le mot de passe deux fois… Ce n’est pas trop grave mais en 2018 on est en droit d’attendre des formulaires un peu mieux conçus.

• Le gros morceau : je dois fournir mes coordonnées complètes… sauf si je coche la case inscription simple (ndlr : lol) et anonyme. Deux remarques aux concepteurs du site : 1. vous ne trouvez pas que la démarche est assez compliquée comme ça ? 2. Y a-t-il un intérêt à fournir ses coordonnées complètes ? Vous ne l’indiquez même pas ! (Une fois encore il faudra aller lire la FAQ pour en savoir plus.)

J’en profite au passage : pour un service de ce genre, j’aurais aimé que les conditions d’utilisation (que l’on doit valider pour créer le compte) soient plus courtes ou bien résumées, parce qu’encore une fois personne ne va lire les X pages de texte de la fenêtre modale.

Bref, je remplis le formulaire et je valide. Vais-je pouvoir signaler mon spam ? Sûrement pas : le compte est créé mais il n’est pas encore activé. Dans le cadre d’une démarche anti-spam j’imagine (ndlr : lol, bis), je dois donc attendre la réception d’un e-mail de confirmation pour pouvoir poursuivre la procédure.

Je repasse ainsi par mon client mail, clique sur un lien de validation pour confirmer mon inscription et saisis mon nom d’utilisateur puis mon mot de passe pour accéder à mon “espace signalant”.

Une page dédiée à mon activité de signalant donc, qui récapitule mes dernières démarches auprès de l’association. Il aurait été intéressant de créer une landing page plus appropriée pour les nouveaux inscrits (qui n’ont par définition aucune activité connue)… ou tout simplement de les renvoyer directement vers la page de signalement. Je m’y rends.

Un petit texte d’introduction m’indique comment procéder (ça commence mal) : soit j’utilise un module signal spam sur mon navigateur, soit je copie-colle le code source de mon spam dans le “formulaire” (une zone de texte en réalité, mais peu importe.) Pourquoi faire simple ? En d’autres termes, s’il restait encore des gens qui cherchaient à signaler un spam après tous ces efforts, on peut être certain qu’on les perdra ici.

Poursuivons la blague. Je clique sur le lien Si vous avez besoin d’aide pour afficher les sources de votre message, découvrez comment le faire dans votre logiciel de messagerie. Je suis envoyé vers cette page :

… dont l’unique contenu est un énorme bouton rouge qui me renvoie sur la page précédente ! Si vous cherchez de l’aide pour afficher les sources d’un e-mail, allez voir ailleurs. (Ndlr : j’ai fini par tomber sur la bonne page en parcourant la FAQ. C’est la première fois que je passe autant de temps dans l’aide d’un site internet !)

Il est donc nécessaire d’installer un module externe pour signaler son spam. Un module pour son navigateur, un module pour son client mail, rien n’est expliqué, débrouillez-vous braves gens. Est-ce que quelqu’un parmi les concepteurs du site s’est demandé combien de gens seraient capables d’aller au bout de la démarche ? Sincèrement ? Je n’aime pas prendre cet exemple parce qu’il a beaucoup de limites, mais : pensez-vous vraiment que votre père sait installer un plugin Firefox ? Que votre sœur sur son smartphone (je n’ai pas parlé de mobile, mais il y a déjà tellement à dire…), que votre mère sur sa tablette va comprendre ce que vous racontez ? Non mais regardez le tutoriel qu’il faut suivre pour installer un module sur Thunderbird par exemple, vous pensez vraiment que beaucoup de gens sont capables de faire tout ça ? Vont s’amuser à faire tout ça ? Pour signaler un spam ?! Après tout le temps qu’ils ont déjà perdu ?!!

Au passage le tutoriel est erroné, à l’étape 3 il est question d’un bouton Installer qui n’est présent nulle part sur un Thunderbird à jour. On est plus à ça près je suppose.

Une fois l’extension installée j’essaie de signaler un spam à l’aide d’un bouton qui s’est ajouté à l’interface de mon client mail. Il me faudra encore remplir ce formulaire :

Notez le placeholder (le texte en gris clair) dans le champ Nom d’utilisateur : différent de l’adresse e-mail. Autrement dit Tout le monde se trompe et colle son adresse e-mail, alors on a ajouté un petit message d’avertissement plutôt que de cesser de demander un nom d’utilisateur à la création du compte.

Et c’est seulement maintenant que je peux signaler un spam. Après la recherche sur Google, après la consultation du site de la CNIL, après la création d’un compte sur un site tiers, après la validation par mail, après la connexion au compte, après l’ajout d’une extension, après la connexion au plugin. Oh et puis il ne faut pas imaginer un truc foufou quand on signale un spam dans Thunderbird : lorsque l’utilisateur appuie sur le bouton de signalement, le message disparaît. C’est tout. En réalité il a été déplacé dans le dossier spam de Thunderbird et transmis à mon espace signalant, mais les concepteurs n’ont pas jugé bon de l’indiquer à l’utilisateur.

Je suis désolé pour le ton assez acerbe de cette note, mais ce système est une telle déception… Quel peut bien être l’intérêt d’une telle plateforme ? J’ai l’impression que le site existe parce que la CNIL a demandé à un prestataire de le mettre en place mais que personne ne s’en est jamais réellement occupé. Je ne suis pas le premier à être déçu : en 2010 déjà l’auteur de cet article s’étonnait de l’absence de bilan de signal spam. Je crains que les choses ne se soient pas réellement améliorées depuis.