Pour gérer les emails commerciaux, se désinscrire semble la solution. Cependant, cette démarche peut entraîner des risques de sécurité. Des experts avertissent que cliquer sur le lien de désinscription pourrait exposer les utilisateurs à des menaces, soulignant l’importance de la prudence dans ce domaine.
Une règle commune suggère de se désinscrire des emails commerciaux jugés ennuyeux ou indésirables. Cependant, certains experts mettent en garde contre ce conseil, car cliquer sur le bouton « se désinscrire » peut exposer les utilisateurs à des risques supplémentaires et à des problèmes de sécurité.
Selon TK Keanini, CTO de DNSFilter, l’option « cliquez pour vous désinscrire » présente en bas de nombreux emails commerciaux peut devenir un risque de sécurité au fil du temps. Les utilisateurs cliquent souvent sur ces liens les yeux fermés pour tenter d’arrêter l’afflux de messages indésirables, mais Keanini avertit qu’un clic sur 644 peut mener à un site potentiellement malveillant.
Lors d’une récente interview avec The Wall Street Journal, Keanini a souligné que les utilisateurs ne devraient pas faire confiance aux emails qu’ils reçoivent – même s’ils font confiance au client mail utilisé. Cliquer sur le lien de désinscription éloigne les utilisateurs d’un environnement sûr et structuré, les plongeant dans le web ouvert, un espace risqué rempli de dangers liés au spam.
Au niveau de menace le plus bas, cliquer sur « se désinscrire » peut aider un cybercriminel à vérifier qu’une adresse email est active. Une fois qu’un utilisateur confirme sans le vouloir que son adresse est valide et surveillée, l’attaquant peut intensifier ses efforts par le biais d’ingénierie sociale ou de tactiques malveillantes plus avancées.
Selon Michael Bargury, co-fondateur de la société de sécurité Zenity, les liens de désinscription non vérifiés peuvent également rediriger les utilisateurs vers des sites de phishing. Ces pages cherchent généralement à voler des mots de passe ou d’autres informations d’identification, ou tentent même de déployer des logiciels malveillants sur le dispositif ciblé. Si un site redirigé demande un mot de passe pour se désinscrire, il est préférable de ne pas répondre à cette demande (probablement malveillante), a averti Bargury.
Charles Henderson, vice-président exécutif de la société de sécurité Coalfire, a ajouté que même si quelques vendeurs légitimes demandent aux utilisateurs de saisir à nouveau leur adresse email pour confirmer la désinscription, la confiance est un facteur critique. Si l’on ne fait pas confiance à l’entreprise qui a envoyé l’email, il est peu probable que l’on fasse confiance au processus de désinscription sur son site.
D’après les trois experts interrogés, l’une des manières les plus sûres de se désinscrire consiste à utiliser les « en-têtes de liste de désinscription » fournis par les services de messagerie. Ces en-têtes apparaissent généralement comme des boutons intégrés dans votre client mail, et sont généralement sécurisés car ils ne font pas partie du corps principal de l’email et n’incluent pas de code web suspect.
Mais que faire si l’en-tête ne contient pas de lien ou est cachée dans le code source de l’email ? Dans ce cas, les utilisateurs sont souvent contraints de compter sur leur filtre anti-spam, ou ils peuvent simplement mettre l’expéditeur sur liste noire après des infractions répétées. Utiliser des adresses email jetables lors de l’inscription sur des sites nouveaux ou peu fiables est aussi une bonne pratique, bien que cela puisse compliquer la gestion des comptes ou les achats en ligne.