Régis Novi (MailinBlack) : « La guerre du spam n’est pas technologique »
DG de MailinBlack, Régis Novi présente sa solution antispam comme efficace à 100 % et, surtout, sans risque d’élimination des e-mails valides.
Fondée en juin 2003 par Régis Novi (directeur général) et Christophe Baralotto (président), la société MailinBlack propose une solution antispam assez originale : plutôt que de chercher à définir ce qu’est un spam pour mieux l’arrêter, MailinBlack s’appuie sur l’authentification de l’expéditeur. La solution s’inspire en ce sens du test d’Alan Turing qui permet de distinguer un correspondant humain d’un robot.
Vnunet.fr : Quelle est l’originalité de votre solution ?
Régis Novi : MailinBlack repose sur l’authentification de l’expéditeur. L’application propose en fait un serveur intermédiaire qui valide le courrier électronique selon l’adresse Internet de l’expéditeur. Quand celui-ci envoie un e-mail à un destinataire protégé par MailinBlack, il reçoit une demande personnalisée d’authentification qui lui demande de recopier un code affiché sur la page, ce que ne sait pas faire un robot. Une fois l’authentification réalisée, opération à faire une seule et unique fois, l’expéditeur est automatiquement inscrit dans la liste des correspondants autorisés. En revanche, en cas d’absence de réponse, l’e-mail est considéré comme du spam et reste bloqué sur le serveur de MailinBlack jusqu’à ce que le correspondant en décide éventuellement autrement. L’utilisateur peut également importer sa liste de contacts réguliers et sûrs pour leur éviter d’avoir à s’authentifier. Enfin, notre système permet de personnaliser la demande d’authentification avec un texte personnel, l’ajout d’une image comme la photo du correspondant ou le logo de l’entreprise et le texte de l’e-mail original. Ce qui est de nature à rassurer les expéditeurs méfiants. C’est aussi le seul moyen de ne pas éliminer accidentellement les faux positifs, les e-mails réellement destinés au correspondant. Notre offre entreprise commence à 9,52 euros HT par adresse e-mail et par an, un tarif dégressif selon le volume.
Vous présentez votre solution comme efficace à 100 %. Mais si l’adresse e-mail d’un utilisateur authentifié est usurpée, le système devient inefficace…
RN : C’est pourquoi nous associons l’antivirus BitDefender à notre solution, même si nous ne le mettons pas forcément en avant. Un spam envoyé à partir d’une adresse e-mail usurpée a de grandes chances de véhiculer une pièce jointe virale. Donc, avant de vérifier la nature du courrier par authentification de l’expéditeur, nous passons tous les e-mails à l’antivirus. La probabilité pour qu’un e-mail d’une adresse usurpée soit expédié sans charge virale existe mais elle est infime, voire inexistante. L’antivirus nous sert donc à déjouer l’usurpation d’adresses. Utilisé par 120 millions de personnes dans le monde, BitDefender n’est pas encore très développé en France. L’éditeur nous offre sa base de signatures contre de la visibilité.
Si les spammeurs mettaient au point un système de reconnaissance du code à saisir pour authentifier l’expéditeur, votre solution perdrait de son intérêt…
RN : Ce système ne répond pas au modèle économique des spammeurs. Un tel procédé leur coûterait trop d’argent. La guerre ne se situe pas sur la technologie. Et si malgré tout on arrive à un tel système, nous mettrons à niveau notre solution en renforçant la complexité, pour un robot, du test d’authentification à travers des textes cognitifs (chercher l’intrus dans une suite de mots) ou de description d’image.
Votre solution fonctionne-t-elle avec les webmails ?
RN : MainlinBlack fonctionne avec les comptes POP et IMAP uniquement, pas avec les webmails. Mais la plupart des messageries de types webmail (Hotmail, Caramail, Yahoo…) proposent désormais des comptes POP ou IMAP.
Les solutions d’authentification au niveau du réseau comme Sender ID de Microsoft ne risquent-elles pas, si elles sont un jour appliquées, de mettre en péril votre activité ?
RN : Présentée en 2004, Sender ID a été rejetée tant par les organismes d’homologation du réseau que par la communauté des serveurs Apache à qui Microsoft imposait une modification. De plus, sa solution laissait passer 16 % des spams. Simplement parce que les éditeurs de spams s’identifiaient auprès de Sender ID et étaient ensuite vus par le système comme des expéditeurs authentifiés. Au delà des problèmes technologiques, je pense que les gros éditeurs ont tendance à faire des annonces importantes dans le seul but de geler le développement des petites entreprises. Mais tout le monde s’accorde à dire qu’il n’y aura pas de solution globale avant 2008. Nous ajusterons notre offre en fonction de ces évolutions.
Globalement, quel est l’état du spam en 2005 ?
RN : Il est toujours en progression, mais une progression moins importante qu’il y a un an et demi environ. Le nombre de spams émis reste en augmentation mais celui des spams reçus est en légère baisse, du fait que les fournisseurs d’accès se sont équipés de solutions antispam. Mais les méthodologies des spammeurs ont aussi évolué pour continuer à passer à travers les différents filtres. Ainsi, nous avons notamment constaté le retour des mots ASCII, c’est-à-dire des messages écrits de manière imagée à l’aide de caractères. De plus, les spams ne véhiculent plus seulement des messages publicitaires mais aussi des spywares, virus et autres chevaux de Troie pour infecter le poste client et en faire un PC zombie, lequel servira à son tour de serveur de spams. Globalement, depuis deux ans, le spam représente entre 70 et 80 % des e-mails reçus.
Dans le livre blanc que MailinBlack vient de publier, vous reprenez des chiffres de Mirapoint-Radicati qui estiment que 31 % des spammés cliquent sur un lien (autre que le lien de désabonnement) et 10 % vont jusqu’à passer commande. Ces chiffres ont-ils évolué depuis leur publication en mars 2005 ?
RN : On s’aperçoit que les gens sont assez dupes et, d’une manière empirique, je ne pense pas que ce taux ait baissé. D’autant que la démocratisation d’Internet génère l’arrivée d’un nombre croissant d’utilisateurs novices qui ne sont pas toujours au fait des pratiques des spammeurs. Enfin, les produits proposés évoluent. On y trouve toujours du viagra, des fausses Rolex ou des offres de placements financiers mais j’ai été surpris de voir des publicités pour la vente de CD vierges, par exemple.
Les lois comme le CanSpam Act aux Etats-Unis ou la LCEN en France ont-elle influencé ce trafic ?
RN : Pas fondamentalement. Les lois en question ont permis de mettre en place un cadre pour les sociétés de marketing et elles offrent une base légale indispensable en cas de retour. Mais, pour faire l’analogie avec le code de la route, il faudrait mettre un policier derrière chaque conducteur pour s’assurer qu’il n’y ait aucun excès de vitesse, ce qui est impossible. Depuis le CanSpam Act aux Etats-Unis, les spammeurs délocalisent leurs serveurs en Russie ou en Corée du Nord. Et les quelques arrestations et condamnations qui ont eu lieu sont certes exemplaires mais pas très dissuasives.
Dans votre libre blanc vous reprenez les statistiques d’éditeurs concurrents ou d’études externes. Pourquoi ne pas vous appuyer sur vos propres analyses ?
RN : D’une manière générale, on le sait, les éditeurs ont tendance à exagérer le danger pour inciter les consommateurs à s’équiper. Nous ne souhaitons pas entrer dans cette logique et préférons donner une image d’honnêteté et de transparence. Or, si nous publions nos propres statistiques, nous risquons d’être accusés de gonfler les chiffres à notre tour. Le meilleur moyen d’éviter cela est donc de ne pas publier nos résultats.
Quelle est votre offre et qui sont vos clients ?
RN : Nous proposons trois offres. MailinBlack Online s’adresse aux particuliers, professions libérales, artisans, TPE voire petites PME, qui passent par leur fournisseur d’accès pour gérer leurs e-mails. Deux autres solutions sont proposées aux entreprises et grands comptes : MailinBlack ASP et Pro. La première offre un serveur hébergé dans notre centre de données. Nous y analysons et filtrons les e-mails avant de les renvoyer vers leur destinataire. La seconde propose un serveur passerelle pour permettre aux grands comptes et aux PME qui disposent de leur propre serveur de messagerie (Lotus Notes, Exchange, etc.) de gérer en interne le serveur dédié. Celui-ci est installé dans la DMZ de l’entreprise [zone sécurisée avec contrôle des ports et des accès du serveur, Ndlr] pour garantir son intégrité. Notre offre est compatible avec tous les systèmes et toutes les solutions puisqu’elle n’installe rien sur le poste client. MailinBlack Online, qui nous sert de vitrine sur le Web génère environ 30 % de notre chiffre d’affaire. Environ 80 % sont des utilisateurs professionnels contre 20 % de particuliers. Cette solution se développe toute seule : environ 60 % des clients l’adoptent après s’être authentifiés. Le gros de l’activité vient des offres professionnelles, plutôt des grandes PME et grands comptes. La moitié de nos clients sont des sociétés de plus de 300 employés.
Quelle est votre stratégie de développement ?
RN : Nous déployons notre offre par l’intermédiaire d’un distributeur, Feeder en l’occurrence, qui commercialise notre offre auprès des revendeurs. Nous comptons plusieurs dizaines de milliers de clients, essentiellement dans les pays francophones (Belgique, Suisse, Quebec, Afrique…). Mais nous souhaitons nous développer à l’international en Allemagne et en Angleterre dès 2006 et dans sept autres pays européens en 2007. Pour cela, nous comptons sur une levée de fonds qui devrait intervenir avant la fin de l’année. Elle nous permettra d’embaucher des commerciaux et des animateurs de réseaux afin d’appliquer à l’international notre modèle français. Pour des raisons stratégiques, nous ne communiquons pas sur le montant recherché, ni sur notre chiffre d’affaires.
Souhaitez-vous déployer votre offre auprès des FAI grand public ?
RN : Nous préférons viser les FAI pour professionnels car nous voulons véhiculer l’image d’une société de services, avec des interventions humaines rapides quand c’est nécessaire. De plus, notre offre étant payante, il faudrait que les FAI répercutent ce prix sur leur offre d’accès. Ils disposent d’ailleurs, avec plus ou moins de réussite, de leurs propres solutions, comme Spamassassin. De plus, la mission de la société n’est pas seulement d’éliminer les spams mais surtout de faire gagner du temps. Je pense que, contrairement à l’entreprise, le particulier est moins sensible à cette notion de gain de temps. Enfin, il peut changer une adresse trop spammée, ce qui est moins évident pour une entreprise.
(Article corrigé le 20 septembre 2005.)