Prospective emailing 2022 et plus

C’est la fin le début de l’année, traditionnellement nous faisons des projections sur ce que seront les prochaines tendances. Que ce soit sur la technique ou sur une approche plus éthique, l’emailing va vivre certains bouleversement rapidement. Comme d’habitude sur Snipemail, accroches-toi à tes bretelles car ce que tu vas lire va forcément te secouer.

L’Intelligence Artificielle

L’Intelligence Artificielle, comme tous les outils, voit son impact conditionné à la manière de l’utiliser.
Elle est déjà intégrée dans certains programmes et outils marketing. Parfois c’est juste un gadget, une remballe d’un simple outil technique qu’on a un peu repimpé pour pouvoir le cataloguer en buzzword jackpot pognon, parfois c’est vraiment une vraie IA qui fait alors des choses « magiques » dont rêvaient les marketeurs depuis des années. L’optimisation de l’heure d’envoi pour la cible, je ne classe pas vraiment cela comme de L’IA. Nous faisons cela depuis des années sans pour autant avoir besoin de neurones IAtesques. A part si t’es John Conway, c’est pas parce que tu utilises quelques boucles et conditions que t’as créé la vie artificielle ? Ajouter à ton email des blocs de code qui intègrent les best sales de ta boutique, là non plus c’est pas une révolution et cela ne te donnera pas le statut de demiurge informatique. Restons un peu les pieds sur terre. Le marketeur est comme un magicien, il emploie diverses techniques pour apporter de la magie et du rêve à ses prospects, ses clients et son auditoire. Une fois que tu connais le truc, y’a plus de magie, plus de rêve, juste un « ok je vois ».

Là où l’IA est vraiment de l’Intelligence, c’est quand elle va créer le contenu du mail. Elle va, en fonction de la cible, définir et utiliser les sujets et les champs lexicaux qui font levier, quand elle va choisir quels sont les articles, à lire ou à acheter, qui feront mouche. Là nous nous rapprochons de l’intelligence et pas simplement de l’automation. Là où l’IA apporte de la pertinence, c’est quand elle va déduire et faire des liens entre des comportements, des signaux faibles, quand elle va réagréger notre numeric dust, cette poussière numérique que l’on sème partout sur le net par nos dire et par nos actes, et qu’elle produira un contenu qui nous est propre, empreint de notre ADN personnel. C’est l’essence même de ce qui sera fourni par les metavers. Ce MyMe, essence numérique de notre moi physique et mental, agrégat de nos intérêts, est la clé de notre future prison numérique. Là où l’IA est merveilleuse ET diabolique, c’est dans sa capacité à faire plus que le cerveau humain : computer plus d’informations, faire plus de liens, pondérer chaque élément distinctement, rapidement, froidement, inlassablement. Ne perdons pas de vue que l’IA ne doit être qu’un outil, et comme chaque outil, c’est son utilisation qui définira la teneur de son effet, positif ou négatif.

Le contrôle de l’information

Les consciences sont actuellement en train de s’ouvrir et j’avoue que j’ai beaucoup tardé à publier ce billet, que je repoussais depuis des mois (Depuis le dernier EMDay en fait), car je suis bien conscient que le contexte actuel n’était pas compatible avec cette prise de position.

Le second point que je voulais aborder avec vous dans cette prospective est nettement plus dramatique. J’ai observé ces dernières années un glissement lent mais inexorable de la prise de contrôle de l’information et de sa diffusion. J’ai le sentiment que ce glissement pourrait avoir lieux également dans le domaine de l’emailing, privé comme professionnel.

Pour « protéger » leurs utilisateurs, les grandes plateformes ont censuré des informations qui, après coup, se sont trouvé être vraies. Pour asseoir une vision qu’elles estimaient être « la vérité », les autres messages ont été bloqués, déplacés loin des yeux voire même censurés. Un tel comportement n’est possible que lorsque le contrôle est total sur l’environnement. Où a-t-on également un environnement totalement contrôlé ? Dans l’emailing ! Généralement la boîte est liée à un serveur, un domaine, un environnement. Que contrôlez-vous sur ce qui va s’appliquer à votre correspondance ? Dans la plupart des cas, vous ne contrôlez rien.

Je conseille donc aujourd’hui aux utilisateurs privés d’avoir au moins une boîte mail sur un domaine externe et indépendant, qui ne soit pas aux mains de grands groupes et qui n’utilise pas d’outil incontrôlé de filtrage des emails.

Plouf, le pavé est lancé ! Pourquoi ce conseil aujourd’hui ? Nous savons que le contenu des emails est analysé sur les grosses plateformes pour vous proposer de la publicité contextuelle et ciblée. Cette technologie peut être dévoyée pour qu’à la place de déclencher une action qui vous affichera de la publicité, elle puisse classer votre mail en indésirable, ne pas le délivrer ou le supprimer. Si le contenu d’un mail ne « plait » pas à la plateforme et à ses gestionnaire, ils peuvent très bien le faire disparaître, en toute simplicité. Ce filtrage s’appliquerait au contenu du mail, mais, comme nous le faisons déjà aujourd’hui pour lutter contre le spam, de nombreux autres paramètres peuvent être pris en compte, dont l’IP, l’expéditeur et la note qui lui serait accordée suite au raffinage de son Numeric Dust.
Vous n’êtes pas un bon E-citoyen ? Alors vous ne pourrez plus communiquer par email sur les grands réseaux.

Quand on fait de la prospective, on n’est pas là pour dire des choses qui (nous) plaisent, mais de ce qui est de l’ordre du réalisable. Le monde que nous connaissons aujourd’hui est totalement différent de celui d’il y a 3 ans, or ce qui était impossible alors est devenu notre réalité. Certains réseaux ont une telle mainmise sur tout le système que ce filtrage est possible, et va dans le sens de ce qu’ils ont récemment appliqué. Et ce sera encore plus vrai lorsque ce système aura totalement intégré l’intégralité de l’environnement, comme ce sera le cas avec les metavers. Je ne dis pas de ne plus communiquer par email, l’outil reste formidable ? mais ayez des boîtes de secours qui seront loin des systèmes hégémoniques et concentrationnaires. Ces boîtes vous permettront peut-être un jour de continuer à communiquer quand le reste du système vous aura débranché.

Voila pour la prospective que vous ne lirez sans doute pas ailleurs. D’autres sujets auraient été pertinents : la mort des métriques traditionnels, le contenu généré par les utilisateurs, l’impact techniques de l’arrivée de nouveaux OS, l’impact du télétravail et de cet externalisation de l’environnement informatique, les nouveauté en terme de design, etc. mais d’autres en auront sans doute parlé mieux que moi.
Je vous souhaite une bonne année 2022. Bisouskes ?

Billeterie EMDay 2021 : C’est parti !

Ça y est, la billetterie pour l’EMDay 2021 a commencé. Vous avez du recevoir aujourd’hui un email si vous étiez déjà dans nos bases ces 2 dernières années, sinon c’est ici que cela se passe !

Attention, il n’y a que 100 places disponibles et elles partent très très vite !!!

EMday 2021, ce sera les 8 et 9 novembre !

C’est officiel, il y aura bien un EMDay 2021 🙂 Il aura lieu les 8 et 9 novembre 2021 au même endroit que la dernière fois, au campus du Cély.

Très bientôt les billets seront mis en vente avec 2 particularités :

– les billets seront remboursables sans justification jusqu’à la veille
​- le nombre de participants est limité à 100 max

100 max, c’est peu compte tenu du nombre habituel de participants. Je vous conseille donc de vous ruer sur celles-ci dès qu’elles seront disponibles.

Emailing + Covid-19 = la fête du slip ?

Nous venons de traverser une période difficile dont nous ne prenons pas encore pleinement conscience de l’impact qu’elle va avoir sur l’ensemble de nos vie. Snipemail ayant pour vocation l’analyse de ce qui impacte l’emailing, certains comportements inhérents au Covid-19 trouvent donc leur place ici. 🙂

Les entreprises sont impactées économiquement

Cela n’a échappé à personne, les entreprises sont très durement impactées et leur sinistrose n’est pas seulement une vue de l’esprit. L’impact sur le chiffre d’affaire est présent, important voir massif pour certains. Les ventes sont tellement tendues que le moindre prospect, la moindre vente, la moindre bouffée d’oxygène en somme, sont perçus comme un réapprovisionnement du rayon pâtes.

De #nopainnogain à #questiondesurvie

La délivrabilité est fragile, les lecteurs ici le savent. J’ai pu observer quelques comportements qui, s’ils n’étaient pas les symptômes de la gravité de la situation, prêteraient bien à rire.

J’ai eu des demandes de prestations urgentes où l’on me demandait de shooter sur 10 ou 20.000 adresses. C’est souvent la même histoire ou en tout cas les même éléments qui reviennent dans le dossier :

  • Le routeur habituel les a bloqué sans raisons
  • La provenance des bases est confuse (fichier retrouvé, nouveau commercial, on exploite enfin les données qu’on a en interne, etc.)
  • La provenance des bases peut aussi être assumée (scraping sur le net, aspirateur de données, pluggin collecteur, et même piratage d’un concurrent ! etc.)
  • Toujours le même objectif, (très/trop) court terme : Faire du chiffre !
  • les dommages collatéraux sont connus : IP blacklistées, domaine brulé, réputation bousillée, conséquences des plaintes
  • Le RGPD, on connaît mais on s’en fout !
  • on veut faire de l’emailing en mode #nofuture parce qu’on ne sait pas si on sera encore là demain.

Ayant plus de temps que d’habitude, j’ai pu parfois discuter assez longuement avec ces personnes. J’ai noté quelques passages chocs, mais ces conversations étaient vraiment symptomatique d’un syndrome « marche ou crève ».

Un contact téléphonique quand on lui explique qu’il faut le consentement avant tout envoi personnel

Rien à foutre du RGPD, je dois faire du chiffre tout de suite ou je coule ma boîte

Un autre contact, quand je lui explique que shooter sur une base scrapée illégalement, j’assimile cela à une mission de mercenaire

Tu peux appeler cela être un mercenaire, je m’en fous de comment t’appelle ça, je veux que tu me rapporte du fric

Un contact qui veut faire appel à un « vrai professionnel » mais pour faire la même chose que les « tocards » qu’il reçoit par email. Oui, il veut le blacklist d’IP, le brulage de domaine, et la réputation bousillée, tout pareil, mais par un pro 🙂

Tous les mails que je reçois, ils ont l’air d’être des rigolos, et moi je veux faire appel à un gars top number one

Non seulement il a piraté la base client de son concurrent, mais il a vraiment une dent contre lui.

Ok, je comprends que c’est dangereux de le faire pour moi. Mais est ce qu’on peut envoyer avec le nom de mon concurrent ?

Ce ne sont que quelques exemples, des demandes téléphoniques issues de cette ère Covidesque, pré mais surtout post-confinement. J’avais de temps en temps des appels de clients fantaisistes, mais je constate une importante recrudescence à mon niveau. Je filtre énormément les demandes téléphoniques, les premières questions suffisent généralement à identifier si le client est compatible avec ma vision de l’emailing et l’envie de déployer une stratégie pérenne.

Tu veux de la fraîche ?

C’est la principale demande des prospects, il leur faut de nouveaux leads pour faire de la croissance externe. C’est une vision tronquée de la réalité du terrain, basée sur la croyance que le monde d’avant va revenir et que nous continuerons de fonctionner de la même manière.

Il n’y a pas de remise en question des contenus envoyés. Je ne parle pas du texte d’accompagnement, mis à jour à la sauce Covid, ni du respect des mesures sanitaires. Je parle de l’absence de valeur ajoutée pour la personne qui reçoit le mail.

On a tout bien fait comme il faut, on à un paragraphe qui dit que nos employés portent des masques, des gants et respectent les gestes barrière.
Le reste du mail ? Non, c’est le même qu’avant.

Un contact conscient des changements apportés par le Covid-19 dans sa manière de communiquer. Ou pas…

Il y avait un bon coup à jouer, lors de cette crise. Rendre vos emailing plus humains, vous intéresser aux personnes et pas juste à ce que vous leur vendez.

Tu vas bien ?

Le sens de « tu vas bien ? » à changé, il a pris une couleur plus humaine, profonde, issue du partage des difficultés vécues ensemble, solidairement.
Vos clients vous font vivre, mais quand vous êtes vous soucié sincèrement d’eux, en tant qu’humain ? Ceux qui ont pu apporter cette touche humaine dans leur communication, surtout en B2B où il n’y a pas spécifiquement de rapport à la marque comme avec les particuliers, auront gagné une part pouvant peser dans la balance lors d’arbitrages futurs.

Là encore, c’est pas juste du wording dans votre communication. C’est pas « Tu vas bien ? Au fait je déménage et j’ai besoin de bras demain » ou « Tu vas bien ? J’aurais besoin que tu me prêtes ta tronçonneuse ». Non, ça doit être le centre du sujet et pas juste une introduction commerciale 😉

Marketing Automation : Pensez à le débrancher !

J’espère que vous allez tous bien, vous, votre famille et vos proches. Les deux mantras que j’ai en tête ces jours ci sont « Tremble mais avance » et « ça aussi, cela passera ». Même si le contenu de ce billet peut paraître bien futile, au vu de la situation, certains ont peut-être le goût de se plonger dans le travail, n’ayant rien d’autre à faire. Courage ! Et surtout prenez soin de vous et de vos proches.

Parmi les nombreux enseignements à tirer de l’épreuve actuelle, l’importance du lien humain vient immédiatement à l’esprit. Nous sommes des humains, voulant avoir du contact humain et des rapports humains. Les machines et les robots ont leur utilité mais comme nous ne voulons plus être un numéro noyé dans la masse, comme nous avons le besoin d’exister dans notre unicité, nous ne voulons plus de relations aseptisées pré-enregistrées.

Une vue globale sur ses scénarios

Le problème n’est pas récent, il existait déjà à l’aube du marketing automation avec les APIs, et je l’avais déjà souligné il y a 6 ans avec le cas de la grève SNCF : quand les APIs déraillent. Avec le confinement, le même problème se pose aujourd’hui : Il faut avoir une vue globale sur les scénarios de MA actifs afin de suspendre ceux qui sont inutiles voire contre-productifs. Il est inutile de recevoir une relance suite à un passage sur site web, pour me faire la promo des magasins physiques proches de chez moi. Je fais quoi de 10% de remise en boutique quand celles-ci sont fermées !? Oui, FRUSTRE-MOI avec ton coupon, donne moi bien la haine, toi qui me rappelle que je suis bloqué avec les enfants sans aucune échappatoire ! FAIS-MOI PÊTER UN CABLE avec ta promo si je réserve une table. Poignarde-moi avec ta demande d’avis vérifié pour ce spectacle réservé 6 mois à l’avance qui ne s’est pas joué ! NON j’ai pas kiffé le spectacle et NON, je n’ai pas pu rire.

Utile ou futile ?

Le monde entier est cloisonné à la maison et tu estimes qu’il est important de me proposer tes dernières nouveautés, ta dernière collection. Saches que t’as tout faux car la tendance actuelle c’est masque ou gants, rien d’autre ! Et pour ceux qui essayent de me proposer un essai pour acheter une nouvelle voiture, je doute que ce soit un cas compatible avec l’autorisation de sortie.

Profitez donc de ce temps plus calme pour faire un état des lieux complets de tous les scénarios qui tournent chez vous, faites en une bible exhaustive et classez les pour savoir, en cas de crise, quels sont ceux à suspendre et ceux qui peuvent être conservés.

Adaptez les contenus

Pour les scénarios qui peuvent être maintenus, pensez à en adapter les contenus, textes et images. Non, le petit footer qui vante les joies des randos, quand t’es confiné dans 30m², cela ne fait pas rêver ! Les images conviviales de personnes qui trinquent en terrasse, quand t’es célibataire et que tu souffres psychologiquement du manque de contacts sociaux, c’est pas la panacée. Les vidéos de personnalités faisant du jogging en forêt et qui te balancent #restezchezvous ça fait grincer les dents…

Ce n’est qu’une question de wording et de ton, mais cela doit être révisé pour éviter les frustrations.

Pensez aux partenaires extérieurs !

Si vos outils de Marketing Automation sont connectés avec des plateformes externes, pensez également à adapter votre communication sur ceux-ci. Certes le commerce en ligne continue de fonctionner mais désactivez les avis des produits qui ne sont plus commercialisés/commercialisables. Pour les spectacles par exemple…

Je n’ai pas de mots pour ceux qui continuent à essayer de générer du lead pour des entreprises fermées… Quel gâchis !

Même la génération de lead doit être repensée dans le contexte actuel. Oui, il y aura un « après », mais il n’aura rien de comparable avec le monde que nous avions avant. Vous ne pouvez pas communiquer traditionnellement, il faut adapter vos textes pour qu’ils soient acceptables à l’instant présent, sinon vous provoquerez une situation de rejet, et plus la frustration de votre contact sera grande, plus le rejet sera massif.

Utilisez le Marketing Automation là où il est utile !

Je reviens sur mes déboires de spectacles annulés. Je reçois un mail pour donner mon avis sur un spectacle qui n’a pas eu lieu, mais rien sur l’annulation, ni sur une date de report ou les conditions de remboursement. Ben vous êtes où là les gars ? C’est justement là qu’il faut communiquer, renseigner et rassurer. Certes ce n’est jamais agréable de rembourser mais c’est là qu’on fait la différence, c’est là qu’on construit quelque chose avec ses clients, qu’on gagne leur respect et leur loyauté. C’est là qu’on construit la relation de demain !

On pense à vous !

D’habitude tu m’envoies des mails pour me vendre tes produits, pour me faire « profiter » de tes offres. C’est maintenant, alors que tu n’as peut-être pas la possibilité de me vendre quelque chose, que tu peux me faire un petit mail pour me dire combien tu penses à moi, combien je suis important pour toi, MOI, et pas simplement ma carte bleue. Comme on dit : « C’est dans les moments difficiles qu’on sait sur qui on peut vraiment compter ! » Montre-moi que tu te soucies sincèrement de moi.

Des idées en vrac ?

Tes clients c’est une communauté, que normalement tu connais bien. C’est l’occasion de faire connaissance, de mieux se connaître, de remettre l’humain au centre des choses. Présente-toi, montre-moi tes coulisses, donne-moi des conseils ou des occupations, des bons plans de confinement, même s’ils sont loin de tes activités habituelles. C’est l’occasion de mettre en avant ta community manager et faire une démonstration de ce qu’est une communauté vivante ! Pas juste jouer à la marchande ou à la pionne de cour d’école 🙂

L’EMDay2020 aura lieu les 14 et 15 mai 2020

Bloquez le créneau dans vos agendas, le prochain EMDay aura lieu les jeudi 14 et vendredi 15 mai, dans le même superbe cocon que l’année dernière.
On vous tient au courant dès que les early birds ouvrent. 😉

Gmail détrône l’Apple Iphone et devient l’outil de messagerie numéro 1

Litmus vient de sortir son étude sur le top 10 des clients Email.
Evolution ou révolution ? Big change ou montagne qui accouche d’une souris ? En fait, les 2 à la fois 🙂
Comme toujours, les sources sont en bas de l’article.

Gmail premier mais Apple reste dominant

Pour la première fois, Gmail est le 1er outil utilisé pour lire ses emails, juste devant l’Iphone d’Apple. Avec respectivement 27,8% et 27,6%, la victoire n’est que d’une très courte tête mais elle est significative. Le 3ème client de messagerie est Outlook à 9,1%.

Certes Gmail a gagné, mais si on agrège les scores par univers, Apple garde le contrôle du marché car L’Iphone, l’Ipad et Apple Mail font 43,6% au total. Apple reste donc bien placé dans l’univers de la lecture des mails, et il faudra donc encore optimiser nos emails pour lui.

Gmail a bien progressé dans ce classement parce que ses boîtes sont très bien protégées contre le spam depuis qu’ils ont mis en place leur outil de deep learning. Les usagers utilisent l’outil qui sert le mieux leurs intérêts 🙂

Qu’est ce que cela change pour nous ?

Normalement, pas grand chose si vous êtes déjà au top de l’état de l’art en emailing et que vous suivez et appliquez régulièrement ce qui se dit sur les blogs spécialisés. Cela signifie que vous êtes déjà en responsive, totalement optimisé Gmail et Apple, avec une petite couche d’Outlook si vous êtes en B2B. A cela, ajoutez que vous êtes aussi à jour sur DMARC et que vous avez une bonne hygiène de base et une bonne réputation pour pouvoir profiter de BIMI et d’AMP. La première place de Gmail va poussez en avant ces 2 technos et c’est tant mieux pour les marketeurs 🙂

Mais y’a pas de piège ? Elle est où l’embrouille ?

Je reconnais bien là mon lecteur adoré 😉 Oui, je ne ferais pas un article sur une étude s’il n’y avait pas qqch à lire entre les lignes 😉

La première place de Gmail est en fait un cadeau empoisonné pour les marketeurs. Depuis que l’outil de Deep Learning de Gmail tourne, et lorsqu’il sera couplé à une IA, ce qui sera fait tôt ou tard, nous aurons un monstre froid et implacable, une sorte de terminator, qui s’occupera de protéger les boîtes mail des utilisateurs de Gmail. Le travail de ce terminator sera de faire le tri dans les emails reçus par la cible pour ne garder que ceux qui présentent un intérêt pour celle-ci. C’est là que réside le danger pour les marketeurs. Il leur faut dès à présent absolument mettre de la valeur ajoutée dans leurs envois pour que leurs destinataires manifestent un comportemental positif. Sans cela, ces mails sans intérêt pour le destinataire finiront inexorablement triés d’une manière ou d’une autre…

Si cette menace vous interpelle, je vous invite à lire cet article où vous pourrez visionner la conférence que j’ai donné à l’EMDay sur ce sujet.

Et où je retrouve l’étude de Litmus ?

Toutes les sources sont sur le site de Litmus, dans cet article.

1 cas concret de spear-phishing

Coïncidence ou synchronicité, suite à mon post de ce matin sur le spear-phishing, qui avait été déclenché suite à la réception d’un spear basé sur un template de marketing automation, j’ai reçu 2 autres spear-phishing, basés sur des fuites de datas bien connues.

J’ai reçu l’habituel mail comme quoi un hacker avait pris le contrôle de mon ordinateur, et blablabla. J’en avais déjà parlé ici en octobre 2018 pour vous rassurer quand vous recevez ces spams. La nouvelle version peut faire bien plus peur vu qu’elle commence avec un de mes vrais mots de passe. Le contenu du mail était déjà bien connu donc je sais que c’est du flan, mais pour une personne moins renseignée, il y a de quoi avoir les chocottes.

Comme il s’agit d’un envoi personnalisé de phishing, nous sommes bien dans un cas de spear-phishing, qui a été automatisé pour être envoyé en masse.

Un petit tour sur le site d’analyse de fuite Have I been Powned ? me permet de confirmer qu’il s’agit bien d’une fuite du site 500px.

Les fuites connues dont mon adresse fait partie.

C’est un exemple très concret de ce que je vous exprimais ce matin. Avec des datas personnalisées, la cible sait qu’il y a du concret dans le mail. De là à faire confiance au contenu du mail, il n’y a qu’un pas !
Par exemple, si je ne suis pas au courant de la fuite, je peux recevoir un message d’alerte qui me demande de changer mon mot de passe. Reconnaissant celui-ci, je vais m’empresser de cliquer sur le lien présenté !
La seule protection que je peux avoir, c’est que mon outil de messagerie détecte que l’émetteur du mail n’est pas celui du site incriminé. Et pour que cette protection fonctionne, il faut que ledit site aie fait ce qu’il faut en matière de DMARC pour protéger ses envois. Si cela arrive à une petite structure, c’est pas gagné, croyez-moi ! 🙁

Quelles sont donc mes datas qui ont fuité et se retrouvent librement (enfin pour qq dollars) sur le darknet ?

Pour la fuite de 500px : Email, date de naissance, genre, zone géographique, nom, pseudo, password.
Dans le cas de la fuite de Verification.io, il y a même des datas complémentaires disponibles, comme l’employeur, le titre/fonction, le numéro de téléphone et l’adresse physique.

C’est un pack complet excellent pour se créer de quoi faire une intrusion par spear-phishing cela non ? et couplé avec les spymails dont j’ai parlé lors de ma conférence à l’EMDay, yabon l’intrusion !

Le spear-phishing est clairement la prochaine menace qui pèse sur l’emailing, du point de vue des destinataires. Surtout une fois que les apprentis-pirates auront appris à coupler les templates de phish avec la fusion des datas ou du marketing automation. J’ai déjà clairement en tête quelques scénarios dantesques qui pourraient arriver.

Les entreprises doivent se protéger, protéger leurs utilisateurs, leurs destinataires, mais également changer leurs pratiques emailing. Certaines ont clairement inculqué à leurs utilisateurs de cliquer sur leurs liens dans les emails. Oui, elles ont appris à leurs utilisateurs à se faire phisher ! C’est une chose qu’il ne faut plus faire aujourd’hui pour les envois qui concernent la sécurité. Mais cela fera l’objet d’un prochain article 😉

Êtes-vous bien protégés contre le spear-phishing ?

La menace du spam n’est pas révolue mais aujourd’hui les filtres nous protègent assez efficacement et seule une toute petite frange des spams arrivent finalement en boîte de réception.
Une autre menace, bien plus dangereuse, nous arrive : l’automatisation et la systématisation du spear-phishing. Et cela va vraiment nous impacter sérieusement, ça va faire mal !

Le phishing, c’est la réception de mails qui veulent se faire passer pour autre chose afin de vous tromper sur son expéditeur, son contenu, vers ce qu’il pointe, ou vous infecter au moyen d’une pièce jointe ou un lien infecté. Le but est de vous voler des informations sensibles, personnelles, ou de prendre la main sur votre ordinateur. C’est par exemple la réception de ce mail disant que les conditions de votre banque ont changée, alors qu’il ne s’agit pas de votre banque 🙂
Le phish c’est une sorte de spam donc un envoi en masse, mais la finalité du phish n’est pas commerciale, elle est délictueuse.

Le spear-phishing est plus dangereux parce le phish vous est personnellement destiné. Il a été fait spécifiquement pour vous et donc il va matcher avec vous. Cela semble bien être votre banque, votre agent d’assurance, votre comptable, votre cousin ou votre tante, cela parle de votre contrat, de votre voiture, votre entreprise, de vos dernières vacances, bref le contenu VOUS parle et vous rend plus enclin à baisser votre vigilance donc votre garde.

La différence entre spam et phishing peut se résumer ainsi : Spam is annoying, phishing hurt. Le spam est agaçant, le phishing fait MAL.

Le phishing quand il impacte sa cible, ce sont de vrais dégâts, du vrai argent, de vraies datas qui sont volés. La cible a mal, elle pleure son passé envolé, elle est ruinée.

Charles Boone

Pour se prémunir, il FAUT utiliser une vraie protection informatique sur son ordinateur, sa tablette, son téléphone. Les outils nomades sont souvent bien moins protégés que les ordinateurs. Il faut également mettre souvent à jour ses programmes, son système d’exploitation. C’est une obligation car les informations circulent très vite et en moins de 24h, les failles découvertes sont déjà utilisées par les pirates, et la puissance actuelle des réseaux corrompus font que des millions de machines peuvent être impactées en seulement quelques heures.

Cela ne touche pas que les particuliers, les entreprises sont concernées également. Pourtant elles n’en ont pas vraiment totalement conscience. Les entreprises avec lesquelles j’ai échangé sont concernées par le phishing pour la réception de leurs messages. Elles mettent donc en place des protections pour les emails entrants, pour protéger leurs employés. Par contre, que font-elles pour leurs clients ? Souvent, la réponse est RIEN.

DMARC le premier niveau de sécurité pour toutes les entreprises.

DMARC est un protocole email qui permet aux serveurs réceptionnant les emails de savoir ce qu’ils doivent faire des mails quand ceux-ci arrivent d’une autre source que celle qui est prévue. Il est conseillé, une fois la configuration bien vérifiée, de forcer un rejet ou une destruction du mail par les serveurs distant. Ainsi, si jamais un pirate voulait envoyer un message forgé avec mon email, mon domaine mais envoyé d’un serveur pirate, le mail ne serait pas distribué au destinataire, et je reçois un rapport de tous les mails qui ont essayé de se faire passer pour moi. Je peux donc réagir rapidement en cas de campagne de phishing visant mon domaine.

Pourquoi cela me concerne, je ne suis pas une banque ou une grosse société ?

C’est exactement la réponse que m’ont donné la plupart des entreprises avec qui j’ai discuté. J Elles ne se sentent pas concernées en tant que petites PME/TPE. Et pourtant…

Le but du phisher est de faire ouvrir les mails à ses victimes. S’il récupère quelques données personnelles, même peu sensibles, cela lui donne le matériel pour faire baisser la vigilance de ses victimes. Il suffit d’un hack de compte, d’un vol même partiel de base, et votre clientèle peut se retrouver être une cible sans défense.

Je reçois un email d’une société de location de vélo de laquelle j’ai été client lors de mes dernières vacances. Elle me propose un bon à télécharger pour ma prochaine location. Si je repars au même endroit, je vais me dire que c’est une bonne aubaine et je me retrouvé phishé ! Je reçois un email de satisfaction qualité suite à un achat d’un produit que j’ai effectué il y a quelques mois. Le pirate à le détail des commandes passées, il peut donc me rassurer en produisant des éléments réels, et je peux télécharger son enquête de satisfaction, visiter le lien envoyé, lire le document word qu’il m’envoie, etc.

Je viens de recevoir mes premiers mails de phishing issus du marketing automation. C’est un mail qui ressemble à du retargeting suite à une visite de site web, à une offre anniversaire, à une offre fidélité. Le seul but est de vous faire cliquer une fois, juste une fois ! Le cyberdélinquant n’a qu’à utiliser les codes traditionnels du webmarketing, c’est beaucoup plus simple que de faire croire à un mail d’une banque !

Sur le marché noir, plusieurs millions d’adresses françaises issues de plusieurs centaines de bases volées sont disponibles à la vente. Il y a de grande chance que votre email y soit, laissant une ouverture potentielle pour un phisher de vous faire baisser votre garde.

Tous nos comptes Snipemail permettent d’envoyer des emails en ayant tous les protocoles bien configurés, et DMARC peut être configuré pour rejeter vos emails s’ils sont émis d’une autre source que celle certifiée. Ne laissez pas les phishers avoir un coup d’avance sur vous.
Et si vous ne savez pas quoi ou comment faire, appelez-nous ! 🙂

Spymails et Deep Learning, plongée dans un monde où les marketeurs pourraient devenir aveugles

Le 17 mai 2019, j’ai présenté, pour clore les 2 jours de l’EMDay, une conférence mettant en garde les marketeurs. 2 menaces planent sur notre écosystème : le couplage de l’intelligence artificielle et du deep learning d’une part, et l’impact que pourraient avoir les spymails sur nos rapports statistiques d’autre part.
Vous pouvez visionnez la conférence comme si vous y étiez en bas de ce post.

DEEPLIA sera t’il votre terminator ?

DEEPLIA est l’association du Deep Learning couplé avec une Intelligence Artificielle. C’est le nom que je lui ai donné parce que c’est bien plus simple à prononcer quand on doit le faire 30 fois dans une présentation 🙂 Même si ce petit nom lui donne un côté sympathique, ne vous y trompez pas, DEEPLIA peut devenir le pire de vos cauchemars !

Il faut comprendre que le but de DEEPLIA est la satisfaction de l’utilisateur quand il consulte sa boîte mail. Il ne doit y trouver que les mails désirés. Exit donc les spams, mais aussi le greymail et le greyspam. Seule une petite partie du greybulk va être récupérée, le reste finira sans doute à la poubelle.

Si vos mails, même légitimes à vos yeux, ne suscitent pas de réactivité, ou pire, suscitent un comportemental négatif, il y a de forte chances qu’à terme, ils soient zappés de la boîte du destinataire, voire de l’écosystème tout entier. Et si vous êtes un annonceur qui n’est pas propre, et que vous avez tendance à utiliser plusieurs prestataires différents, DEEPLIA l’intègre, vous identifie comme un élément négatif et vous élimine. La machine voit, juge et sanctionne. Les annonceurs vont devoir faire très attention avec qui ils travaillent pour éviter d’en payer le prix fort ! Certains devront même remettre à plat toute leur stratégie de communication.

Vous aurez beau crier « Je suis un dauphin ! Je suis un dauphin ! », si l’analyse factuelle porte à croire que vous n’en êtes pas, vous finirez en boîte de thon ou plutôt en boîte de spam.

Spymails, nos emails peuvent-ils être trop indiscrets ?

Les spymails sont la seconde menace que je dévoile. Ils permettent de collecter trop d’informations, sont trop intrusifs et surtout peuvent être utilisés à nos dépends. Sans rentrer dans des considérations légales (RGPD, CNIL, etc.) je parle ici d’une régulation qui sera sans doute à terme systémique, et qui entrainera la perte de pertinence de nos rapports statistiques, même si ceux-ci sont déjà bancals.

Evoluez ou disparaissez

J’espère que cette conférence vous plaira, que vous comprendrez ces menaces et adapterez vos comportements. De toute manière, il n’y a que 2 positionnement : Evoluez ou disparaissez.

La bonne nouvelle pour les survivants ? Plus de place en boîte, plus de temps de cerveau disponible et donc normalement plus de rentabilité pour les bons marketeurs 😉

J’espère avoir le plaisir de vous (re)voir au prochain EMDay 😉