Cliquer sur les liens de désabonnement d’une liste de diffusion dans le cadre d’un mail reçu, peut se révéler risqué pour vos données personnelles, selon des experts en cybersécurité interrogés par le Wall Street Journal.
Face aux boîtes email submergées par les newsletters, les publicités et autres offres promotionnelles, le réflexe est souvent le même : cliquer sur le fameux lien « Se désabonner » qui apparaît généralement en bas de chaque message.
Un geste apparemment libérateur pour échapper au flot de mails non sollicités. Gare toutefois aux apparences. Cette pratique, longtemps considérée comme la solution évidente pour nettoyer sa boîte de réception, pourrait vous exposer à de nombreux risques de sécurité, comme l’indiquent des experts consultés par le Wall Street Journal (WSJ).
Selon une étude récente citée par le quotidien américain et provenant de la solution de sécurité informatique DNSFilter, un clic sur 644 effectués sur des liens de désabonnement conduit les utilisateurs vers des sites potentiellement malveillants.
Le ratio peut paraître insignifiant pris isolément, mais devient très conséquent multiplié par des millions d’emails. À cet effet, la plateforme Email Tool Tester, estime à environ 376,4 milliards le nombre d’emails qui seront envoyés chaque jour cette année. Un chiffre qui devrait continuer d’augmenter pour atteindre 408,2 milliards d’ici fin 2027.
Quand se désabonner équivaut à se révéler
Le premier risque, le plus insidieux, concerne la validation de votre adresse email. En cliquant sur le lien de désabonnement, vous confirmez involontairement aux cybercriminels que votre adresse est active et qu’une personne réelle, et non pas un bot, interagit avec les emails, explique Michael Bargury, directeur technologique de Zenity, entreprise spécialisée dans la sécurité des agents d’intelligence artificielle.
Cela permet aux acteurs malveillants de vous considérer comme une cible potentielle dans le cadre de leurs stratégies d’hameçonnage, d’après Charles Henderson, vice-président exécutif des services de cybersécurité chez Coalfire.
Dans la même veine, le lien de désabonnement peut vous rediriger vers une autre page web, en dehors de votre messagerie. « Vous avez quitté l’environnement sûr et structuré de votre client email et êtes entré dans le web ouvert », souligne TK Keanini, directeur technologique chez DNSFilter.
Quelques bonnes pratiques à adopter
« Si le site vers lequel vous êtes redirigé vous demande votre mot de passe pour vous désabonner, c’est un signal d’alarme », alerte Bargury à propos de ces pages minutieusement conçues pour tromper l’utilisateur.
Face à ces risques, plusieurs pratiques permettent de se protéger. La plus sûre consiste à utiliser les « en-têtes de désabonnement de liste » intégrés par de nombreux fournisseurs de services email et positionnés dans l’en-tête des messages, réputées plus sûres.
Si cette option n’est pas disponible ou si l’expéditeur vous paraît suspect, la solution la plus simple reste de marquer l’email comme spam. Vous pouvez également créer des filtres automatiques qui redirigeront tous les emails de cet expéditeur vers votre dossier « indésirable ».