Tout a commencé par un "spam", comme des milliers d’autres.
Il se trouve que je regarde toujours les spams, d’abord par curiosité sur l’ingéniosité des escrocs [1], ensuite parce qu’il arrive que ce qui ressemble à un spam ne soit pas un spam.

Celui-ci était adressé au propriétaire d’une liste -moi-, très peu utilisée, à vrai dire plus du tout.

PNG - 67.9 ko
Le mail qui ressemble à un spam, mais qui n’ést pas un spam

Intriguée, je le soupèse, car il semble vraiment vrai ce mail, bien sûr sans aucun rapport avec la liste. Le domaine de l’envoyeur est bien un cabinet d’expertise comptable.

Comme nombre de spams, il est accompagné d’un fichier, .doc en plus, donc potentiel porteur de virus, que je n’ouvre évidemment pas.

Il est adressé à un monsieur G. [2], Je vais donc chercher sur Internet ledit monsieur, dont la TVA pour mi-août est 2163 €.

PNG - 70.7 ko
En résultat de la recherche par nom du designer, le quatrième réponse est la TVA de août 2015

Et je tombe, en quatrième réponse, sur un blog de Skyrock !

PNG - 627.9 ko
Par les joies du pillage et du non-contrôle, Skyrock se retrouve à publier le mail indiquant la déclaration de TVA d’un entrepreneur

Publication intégrale, avec le nom et l’IBAN du compte bancaire.

Là je comprends que le mail est un vrai, qu’Hélène [3] existe bien et que monsieur G. est bien dans la merde, peut-être sans le savoir.

J’ouvre le fichier .doc attaché [4], c’est un vrai.

Comme la mode c’est, par peur du spam (gag !), de ne pas laisser son mail sur le web, impossible d’en trouver un le concernant.
J’ai tenté de lui écrire, en faisant suivre le mail initial, par des formulaires, trouvés ça et là, societé.com, une agence de design que je suppose être la sienne (celle qui a payé 2163 € le 16 août ?), facebook (qu’il n’utilise plus depuis 2011)...


Bonjour xxx Gxxx,
Ta déclaration de TVA tombe chez le propriétaire de la liste xxx (moi), se retrouve sur la terre entière
(http://xxxxxxxxxxx-Declaration-de-TVA-de-07-2015-de-Gxxxxxxxxxxx.html), et en 4è ligne dans la recherche de ton nom sur google.

Bravo le cabinet d’audit :(

Ouais, c’est exactement ça

Bravo le cabinet d’audit :(

Mais ce n’est pas fini.

En y regardant de plus près, ledit blog de Skyrock est familier de la publication de courriers privés, à l’évidence de sociétés, de relances de factures, de non-paiement, etc.

PNG - 23.2 ko
Un familier de la publication de données personnelles sur Skyrock

J’ai signalé en abus à Skyrock ce scandale, en quelques heures ils l’ont supprimé.

Des questions restent posées :
- Voyant que, à l’évidence, ce blog est alimenté automatiquement par des emails personnels qui ont fui, quelle est la source ?
- Combien d’autres diffusent automatiquement des mails récupérés avec des données personnelles ?

Questions sans réponses.


[1Ce qui fait que je suis en temps réel toute l’évolution des techniques de spam, je suis une spécialiste sans le vouloir !

[2Le nom est évidemment en clair, mais je garde, évidemment, l’anonymat du malheureux lésé.

[3Dont j’ai retiré le nom, évidemment.

[4En plus, sous Ubuntu, le risque est très limité.

Voir en ligne : Sur le site de Politis